Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > 規制コンプライアンス > NIS2指令:あなたのビジネスにとって何を意味するのか
Blog Banner - NIS 2 Directive What it Means for Your Business

NIS2指令:あなたのビジネスにとって何を意味するのか

by Danielle Kinsella updated 1月 16, 2025 規制コンプライアンス
Reading Time: < 1 minutes

ネットワークおよび情報セキュリティ指令(NIS指令)は、サイバーセキュリティを強化し、重要なサービスやインフラをサイバー脅威から保護するために、2016年に欧州連合(EU)によって採択された法律です。NIS指令は、EU加盟国に対して、ネットワークおよび情報セキュリティの国家的な枠組みを確立し、特定の重要サービス運営者(OES)およびデジタルサービスプロバイダー(DSP)を「重要インフラ」として指定し、サイバーセキュリティ基準を満たすことを要求しています。また、インシデント報告要件を義務付け、加盟国がサイバーセキュリティ問題で協力することを求めています。

NIS指令の進化

NIS指令は、加盟国間の協力を強化し、経済や社会にとって重要な産業全体にセキュリティ文化を提供し、デジタルサービスプロバイダーと重要サービス運営者が必要なサイバーセキュリティ要件を満たすことを目的としていました。

しかし、急速なデジタルトランスフォーメーションとサイバー脅威の増加に伴い、より包括的な法律が必要となりました。これにより、欧州委員会は2020年12月にNIS 2指令を提案しました。

NIS 2指令は、NIS指令のアップグレード版であり、セキュリティ要件や主要なデジタルサービスプロバイダーの監視に関連するギャップや不整合を解決することを目的としています。また、郵便・宅配サービス、廃水管理などのより多くのセクターをカバーする範囲を広げ、より厳格な監督措置を導入しています。

NIS 2指令は、企業のセキュリティ義務をさらに調和させ、規制環境を簡素化し、フォーラムショッピングを防止することも目指しています。

2022年11月、欧州連合は、サイバー脆弱性と脅威に対抗するための解決策として、ネットワークおよび情報システム(NIS)指令の範囲を拡大する意向を発表しました。これらの改革は現在NIS 2と呼ばれ、アウトソーシングされたITプロバイダーやマネージドサービスプロバイダー(MSP)を指令の現行カバレッジに追加することで、より強力なサイバーレジリエンスを確立することを目指しています。予想通り、新しい規則は、エネルギー、医療、輸送、水などの重要なサービスプロバイダーに影響を与え、規制に従わない場合、英国では最大£17百万、EUでは最大€10百万または世界売上高の2%の罰金を課されるリスクがあります。

NIS 2の正式な承認は2022年11月10日に行われ、2023年1月16日に正式に発効しました。これにより、EU加盟国は発効日から21ヶ月以内に実施を開始しなければなりません。したがって、実施は2024年10月17日までに完了する必要があります。

コンプライアンスと認証の表

Kiteworksは、コンプライアンスと認証の実績を誇ります。

NIS 2指令: 主要な変更点

NIS 2指令は、元のNIS指令を廃止し、EU内で活動を行う組織に対して、より広範で標準化されたサイバーセキュリティのルールを作成します。NIS 2には、以下のような主要な変更が含まれています:

NIS 2指令のカバレッジ範囲の拡大

NIS 2指令の対象となる組織の数は、元のNIS指令に比べて大幅に増加しました。新しいNIS 2指令は、義務が適用される組織を具体的に定義しています。郵便サービス、廃棄物管理、化学製品の生産と流通、農業食品セクターの追加により、NIS 2指令でカバーされるセクターの数は19から35に増加します。

さらに、NIS 2は、これらのセクター内のどのエンティティが要件の対象となるかについて、より詳細に説明しています。従業員が250人以上で、年間売上高が€50百万以上、または年間貸借対照表が€43百万以上のエンティティが対象です。また、特定の状況では、会社の規模に関係なく、公共の電子通信ネットワークプロバイダーなどのエンティティも遵守しなければなりません。

NIS 2指令におけるセキュリティ要件の強化

NIS 2指令は、リスク管理アプローチを強制し、適用すべき基本的なセキュリティ要素の最低リストを提供することで、企業のセキュリティ要件を強化します。さらに、インシデント報告のプロセス、報告内容、タイミング(すなわち、インシデント発見から24時間以内)について、より具体的な規定を導入しています。

NIS 2指令による協力の強化

NIS 2は、信頼を高め、EU加盟国間の情報共有を促進し、EUレベルでの大規模なサイバー危機の協調管理を強化することを目指しています。これにより、EUレベルでこれらのイニシアチブに特化した欧州サイバー危機連絡組織ネットワーク(EU CyCLONe)が設立されました。

NIS 2指令による迅速なインシデント報告

NIS 2は、主要かつ重要なエンティティが、サービスに重大な影響を与えるインシデントをそれぞれの国家コンピュータセキュリティインシデント対応チーム(CSIRT)または、該当する場合は関連する権限に通知することを義務付けています。取るべき手順には、インシデントを認識してから24時間以内に早期警告を送信し、インシデントが悪意のある行為の結果である可能性や国境を越えた影響があるかどうかを記載することが含まれます。72時間以内にインシデント通知を送り、インシデントの初期レビューとその規模および結果を提供し、CSIRTまたは権限が要求した場合は中間報告を送り、インシデント通知から1ヶ月以内に最終報告を送り、インシデントの原因、採用された緩和策、国境を越えた影響を詳細に記載する必要があります。

NIS 2指令のコンプライアンスの強制

EU加盟国は、検査、安全評価、データや文書の要求を行う権利を含む厳格な執行システムを使用することができます。NIS 2指令の違反は、厳しい財政的罰則をもたらす可能性があります:

  • OES(重要サービス運営者)に対して、最大€10百万または世界売上高の2%
  • DSP(デジタルサービスプロバイダー)に対して、最大€10百万または世界売上高の2%

NIS 2指令がサプライチェーンの第三者リスクを軽減

サプライチェーンはサイバー攻撃の焦点です。サプライチェーンリスク管理(SCRM)は、既存のセキュリティコントロール、潜在的な脆弱性、規制要件、ビジネス目標の違いを理解し、バランスを取ることを目指しています。NIS 2指令は、このサイバーセキュリティリスクを考慮し、サプライチェーンの厳格なリスク管理を要求しています。

NIS 2指令がもたらす、より厳格でリスクベースのセキュリティ要件

リスクベースのセキュリティアプローチは、NIS 2指令の新しいセキュリティ義務の基盤となっています。このアプローチは、一般データ保護規則(GDPR)などの他の規制と一致しています。インシデント対応、危機管理、リスク管理技術は、NIS 2のコンプライアンスにおいて重要な役割を果たし、指令で概説されているセキュリティ対策を実施するための基盤となるべきです。重要なサービスプロバイダー内で高いセキュリティレベルを維持するために、NIS 2は関連する組織に対して、以下の厳格な要件を遵守することを求めています:

  • リスク評価を完了し、十分な情報システムセキュリティポリシーを整備すること
  • インシデントを迅速に防止、検出、対応すること
  • 重大なサイバーインシデントの場合の危機管理と運用継続性
  • サプライチェーンのセキュリティを確保すること
  • ネットワークおよび情報システムのセキュリティを確保すること
  • 強力な暗号化を使用すること

企業がNIS 2指令のコンプライアンス準備を向上させる方法

企業は、以下のような対策を実施することで、NIS 2コンプライアンス準備を向上させることができます:

コンテンツ定義ゼロトラストモデル

ゼロトラストモデルは、「信頼せず、常に確認する」という原則に基づいており、認可されたユーザーのみが企業のネットワークやシステムにアクセスできるように制限します。認証ポリシーを実施して、ユーザーが多要素認証(MFA)やその他の確認プロセスを通じてシステムによって識別されない限り、アクセスが許可されないようにする必要があります。コンテンツ定義ゼロトラストアプローチには、細かいアクセス制御ポリシーとログ記録を含め、企業がサイバーおよびコンプライアンスリスクから機密コンテンツ通信を保護できるようにする必要があります。

サイバーセキュリティリスク管理

リスク管理は、組織のセキュリティ戦略の中心的な要素でなければなりません。リスク評価は、潜在的な脅威や脆弱性を特定するために定期的に実施されるべきです。ポリシーとコントロールも、特定された脅威に対抗するために導入されるべきです。これには、ファイアウォール、侵入検知システム、アンチウイルス/アンチマルウェア保護などの技術的なソリューションだけでなく、従業員のセキュリティトレーニングや潜在的なリスクを管理および監視する手順などの非技術的なソリューションも含まれます。

多要素認証

多要素認証は、ユーザー認証に追加のセキュリティ層を追加するために使用できます。これにより、ユーザーはシステムやリソースにアクセスするために、ユーザー名とパスワードなどの2つ以上の認証要素を入力する必要があります。これは特にリモートアクセスにおいて重要であり、SMSやメールで送信されるワンタイムコードなどの追加の確認プロセスが追加のセキュリティ層を提供します。

エンドツーエンド暗号化

エンドツーエンド暗号化は、ネットワーク上で保存または送信される機密データを保護するために重要です。これはデータをスクランブルし、適切なキーを使用してロック解除されるまで読み取れないようにするプロセスです。AES-256暗号化など、使用できる暗号化アルゴリズムはいくつかあります。暗号化は、データを匿名化するためや、認可されたユーザーのみがアクセスできるようにするためにも使用できます。

セキュアなファイル共有

これは、機密データが認可されていない個人と共有されるのを防ぐために、セキュアなファイル共有ソリューションを実装することを含みます。これには、認可された人員のみがデータにアクセスできるようにするアクセス制御ポリシーの使用や、どのスタッフメンバーがファイルを共有しているかを監視するツールの使用が含まれます。さらに、デジタル著作権管理(DRM)を使用して、誰がファイルを開いたり、編集したり、共有したりできるかを制御し、役割やユーザープロファイルに基づいてアクセスを制限することができます。

セキュアメール

メールはしばしばソーシャルエンジニアリングやフィッシング詐欺の最初のターゲットとなるため、メールがセキュアであり、機密情報が暗号化されていることを確認することが重要です。セキュアメールソリューションは、メッセージの不正アクセスや傍受を防ぐのに役立ち、暗号化、デジタル署名、その他のセキュリティ対策を含むことができます。

セキュリティトレーニングと意識向上プログラム

スタッフが適切なサイバーセキュリティの実践を認識し、潜在的な脅威を回避できるようにすることが不可欠です。これは、フィッシング詐欺、ソーシャルエンジニアリング戦術、強力なパスワードの作成などのトピックを含むセキュリティ意識向上トレーニングプログラムを通じて達成できます。さらに、従業員が新しいセキュリティ対策、ベストプラクティス、最新の脅威について最新の情報を保持することが重要です。

ネットワークセキュリティソリューション

ファイアウォール、侵入防止システム、アンチウイルス/アンチマルウェアソリューションは、包括的なネットワークセキュリティソリューションのすべての重要な要素です。ファイアウォールは、システムに出入りするトラフィックの流れを制御し、不正アクセスを防ぐために使用できます。侵入検知システムは、マルウェア、データ損失、ハッキングの試みなどの悪意のある活動を検出し、管理者に警告を発することができます。アンチウイルス/アンチマルウェアソリューションは、システム上に存在する可能性のある悪意のあるソフトウェアから保護します。さらに、効果的なセキュリティ戦略には、定期的なシステムおよびネットワークスキャン、アプリケーションのパッチ適用、監視、テストも含まれるべきです。

KiteworksはNIS 2指令に準拠したプライベートコンテンツネットワークで企業をサポート

Kiteworksは、組織がNIS 2指令のコンプライアンスを実証するのを支援します。どのように?Kiteworksプライベートコンテンツネットワークは、機密コンテンツの保存場所、アクセス権を持つ人、共有相手を含む、最高レベルの可視性と制御を提供します。これらの機能を組み合わせることで、NIS 2指令の厳格な要件に準拠することができます。Kiteworksプラットフォームは以下を通じてこれを実現します:

情報システムセキュリティポリシーのコンプライアンスの強制

Kiteworksは、顧客がメール、ファイル共有、モバイル、MFT、SFTPなどでセキュリティポリシーを標準化し、データプライバシーを保護するために細かいポリシーコントロールを適用する能力を提供します。管理者は、外部ユーザーに対して役割ベースの権限を定義することで、通信チャネル全体でNIS 2コンプライアンスを一貫して強制することができます。

ビジネス継続性のサポート

すべての活動と技術データの正確な記録を維持し、ユーザーフレンドリーなトラッキングディスプレイを使用して、監査ログがデータ侵害の調査と監査中のコンプライアンスの証拠提供の二重の目的を果たすことができるようにします。侵害が発生した場合、組織は何が流出したかを正確に確認でき、災害復旧にすぐに取り組み、コンプライアンスを維持しながら日常業務を続けることができます。

基本的なサイバー衛生実践の定義と強制

ISOは、Kiteworksがサイバーリスクから機密コンテンツを効果的に保護することを検証しています(ISO 27001)。クラウドサービスとして展開された場合も含め(ISO 27017)、個人識別情報(PII)の漏洩から組織を保護することをISO 27018によって検証しています。さらに、Kiteworksは、SOC 2コンプライアンスおよびSOC 2認証を含むコンプライアンス認証のライブラリを持っています。これらの認証は、シングルテナントアーキテクチャと多層ハードニングとともに、コンテンツ管理システムでコンテンツリスクを軽減し、NIS 2コンプライアンス内で基本的なサイバー衛生実践を維持するKiteworksの能力を検証しています。

暗号化によるコンテンツの保護

すべてのコンテンツの静止時のボリュームおよびファイルレベルの暗号化(AES-256暗号化)と、転送時のTLS暗号化を確保し、不正アクセス、データ破損、マルウェアからコンテンツを保護します。柔軟な暗号化により、Kiteworksのエンドツーエンド暗号化を使用し、OpenPGP、S/MIME、TLSなどの異なる標準を持つパートナーとブリッジすることができます。Kiteworksのセキュアメールは、暗号化と統一されたセキュリティコントロールを提供し、認証されたユーザーのみがメッセージを読むことができるようにするメール保護ゲートウェイ(EPG)を備えています。

アクセス制御ポリシーと資産管理の確立

Kiteworksの管理者は、機密コンテンツを保護し、コンプライアンスポリシーを強制するための細かいコントロールを設定し、ビジネスオーナーがコンテンツ、フォルダー、招待状、アクセスコントロールを簡単に管理して、すべてのコンテンツのNIS 2コンプライアンスを確保できるようにします。アクセス制御は、ジオフェンシング、アプリの有効化、ファイルタイプフィルタリング、メール転送制御を使用して、コンプライアンス内でさらに管理することができます。

Kiteworksは、情報システムセキュリティポリシーのコンプライアンスを強制し、効率的にインシデントを処理し、ビジネス継続性をサポートし、開発とメンテナンスにおける脆弱性を管理し、基本的なサイバー衛生実践を定義および強制し、暗号化でコンテンツを保護し、アクセス制御ポリシーと資産管理を確立し、多要素認証でユーザーを確認するための一連の機能を提供します。これらの機能により、組織はセキュリティインシデントを検出および対応し、脆弱性を管理し、NIS 2要件に準拠することができます。

EU全体でNIS 2指令のコンプライアンスを開始しようとしている企業は、Kiteworksプラットフォームについて詳しく学ぶためにカスタムデモをスケジュールすることができます。

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks