ネットワークおよび情報システム規則2018（NIS規則）

ネットワークおよび情報システム（NIS）規則2018は、2018年5月10日に施行された英国の法律です。この規則は、英国全体でネットワークおよび情報システムのセキュリティを高い共通レベルにすることを目的としています。NIS規則は、重要なサービスおよびデジタルサービスの提供に不可欠なシステムに焦点を当て、組織がサイバーリスクを管理する方法に新しいアプローチをもたらします。

NIS規則は、各セクターに関連する特定の規制機関である適格機関によって実施および施行されます。これらの機関は、それぞれのセクターのセキュリティ対策を評価し、必要に応じて改善を促進する役割を担っています。

NIS規則2018とは何ですか？

NIS規則2018は、一般にNIS指令と呼ばれる欧州連合のネットワークおよび情報システムのセキュリティに関する指令に由来しています。当時EUの一員であった英国は、この指令を国内法に統合する義務があり、その結果としてNIS規則2018が制定されました。NIS 2指令は2020年に制定されました。

英国はEUを離脱しましたが、NIS規則は引き続き適用されており、英国における高いレベルのサイバーセキュリティへの継続的なコミットメントを反映しています。

NIS規則の構造

NIS規則は、6つの部分に分かれた35の規則で構成されています：

• 一般
• 重要サービスの運営者
• デジタルサービスプロバイダー
• 適格機関と単一の連絡窓口
• 罰則
• 最終規定

各部分はNIS規則の特定の領域をカバーしており、要件、役割と責任、施行、非遵守に対する罰則についての詳細を提供しています。

NIS規則には、重要サービスの運営者を特定するための基準、施行通知、異議申し立て手続きなどの側面をさらに詳述する複数のスケジュールも含まれています。

NIS規則2018と欧州連合のNIS指令：類似点と相違点

NIS規則とEUのNIS指令は、重要なサービスおよびデジタルサービスプロバイダー全体のサイバーセキュリティを向上させることに焦点を当てた同じ目的と原則を共有しています。しかし、英国の特定の国家的考慮事項とリスクプロファイルにより、適用と施行において違いがあります。

さらに、NIS指令は加盟国に対し、指令の適用を監視する単一の適格機関を指定することを要求していますが、英国はNIS規則の下で、各セクターに特化した複数の適格機関を持っています。

NIS規則の目的

NIS規則の主な目的は、英国におけるネットワークおよび情報システムの高いセキュリティレベルを達成することです。情報システムおよびデジタルサービスへの依存が大幅に増加しているため、これらはサイバー脅威の主要なターゲットとなっています。厳格なセキュリティ対策の実施により、これらの脅威に関連するリスクを大幅に軽減することができます。

NIS規則はまた、サイバーインシデントが発生した場合に加盟国間の協力と情報共有を促進するための枠組みを確立することを目指しています。この国境を越えた協力は、重大なサイバー脅威や攻撃に対する強力で効果的な対応を確保するために不可欠です。

NIS規則の適用範囲は何ですか？

NIS規則は、主に2つのタイプのエンティティに適用されます：

• 重要サービスの運営者（OES）
• デジタルサービスプロバイダー（DSP）

規則は、OESまたはDSPを構成する具体的な内容がセクターによって異なる可能性があることを認識しています。したがって、適格機関は、規則で定められた基準を満たすセクター内のエンティティを特定します。

重要サービスの運営者（OES）は、重要な社会的または経済的活動の維持に不可欠なサービスを提供する組織です。これらのサービスは、ネットワークおよび情報システムに依存する提供基準、提供に重大な破壊的影響を及ぼす影響、英国に設立されたエンティティである場合の基準を満たす必要があります。OESの例としては、エネルギー、輸送、健康、飲料水供給および配布、デジタルインフラストラクチャなどのセクターのエンティティが含まれます。

デジタルサービスプロバイダー（DSP）は、特定のタイプのデジタルサービス、すなわちオンラインマーケットプレイス、検索エンジン、クラウドコンピューティングサービスを提供するエンティティです。DSPは高いセキュリティレベルを確保し、重大なインシデントについて適格機関に通知する必要があります。規則はまた、DSPのコンプライアンスを確保するために情報を取得し、指示を発行する権限を適格機関に付与しています。

重要サービスの運営者の特定

NIS規則は、適格機関に対し、基準に基づいてセクター内の重要サービスの運営者を特定することを要求しています。これらの基準は、サービスの種類、インシデントの潜在的な影響、影響を受けるユーザーの数などの側面を考慮しています。

これらの運営者の特定は、各セクターに関連するリスクを反映し続けるように見直されています。

NIS規則の管轄

NIS規則は、英国に本社を置くOESおよびDSP、または本社が英国外にある場合は英国に代表者を指定するOESおよびDSPに適用されます。しかし、デジタルサービスのグローバルな性質とサイバーインシデントの潜在的な広範な影響により、規則には本質的に国際的な側面があります。

この点で、NIS規則は、重大なサイバーインシデントへの対応の国境を越えた調整、協力の促進、および加盟国間の情報共有のための枠組みを提供しています。

NIS規則2018の主要な規定

NIS規則2018は、国家のサイバーセキュリティ能力を向上させ、EU加盟国間の協力を強化し、英国全体のネットワークおよび情報システムを保護することを目的としています。規則の主要な規定には以下が含まれます：

運用および技術的措置

NIS規則は、OESおよびDSPの両方に対し、ネットワークおよび情報システムのリスクを管理するために適切かつ比例した運用および技術的措置を実施することを要求しています。これらの措置は、サービスのセキュリティ、整合性、継続性、および可用性を確保する必要があります。

これらの措置の詳細に関するガイダンスは、各セクターに関連する特定の性質とリスクに合わせて、適格機関によって提供されます。これには、セキュリティポリシー、無許可アクセスに対する保護、インシデント処理手順、事業継続計画などの措置が含まれます。

セキュリティ侵害通知要件

NIS規則の下で、OESおよびDSPは、提供する重要なサービスの継続性に重大な影響を与えるインシデントを報告する義務があります。インシデントは、関連する適格機関に不当な遅延なく、インシデントを認識してから72時間以内に報告する必要があります。

通知には、インシデントの説明、その影響、および取られたまたは取られる予定の是正措置が含まれるべきです。目的は、適格機関が国境を越えた影響を評価し、効果的な対応を調整できるようにすることです。

インシデント報告メカニズム

NIS規則は、適格機関による効果的なインシデント報告メカニズムの作成を義務付けています。これらのメカニズムは、OESおよびDSPがインシデント報告義務を遵守し、脅威やインシデントに関する情報の共有を促進することを可能にするべきです。

これらのメカニズムはまた、サイバーセキュリティリスクに関する意識を高め、OESおよびDSPの間でセキュリティとレジリエンスの文化を促進するためのツールとしても機能します。

リスク管理義務

NIS規則は、OESおよびDSPに対し、リスク管理の実践を採用する義務を課しています。これらの実践は、運用に使用するネットワークおよび情報システムに対するリスクの特定、評価、および処理を可能にするべきです。

このような実践には、包括的なリスク評価、特定されたリスクを軽減するための適切な措置の実施、およびこれらの措置の有効性の定期的なテストと評価が含まれます。

非遵守に対する罰則

NIS規則に従わない場合、重大な罰則が科される可能性があります。適格機関は、是正および罰則通知を発行する権限を持ち、生命に対する即時の脅威または英国経済に対する重大な悪影響をもたらすインシデントに対して最大£17百万の罰金を科すことができます。

罰金の額は、非遵守の性質、重大性、期間によって決定され、被害の程度、個人および広範な社会への影響、過去の違反などの要因を考慮します。

NIS規則の下での適格機関の役割

NIS規則の下で、適格機関は、特定のセクターまたはサブセクター内でNIS指令の実行を確保および監視する責任を負っています。

適格機関の指定と責任

NIS規則の範囲内の各セクターには、そのセクター内で規則の実施および施行を担当する指定された適格機関があります。

適格機関の責任には、OESおよびDSPが適切かつ比例したセキュリティ対策を実施していることを確認し、これらの対策の有効性を評価し、必要に応じてコンプライアンスを強制することが含まれます。

NIS規則の下での適格機関の権限

適格機関は、NIS規則の下でコンプライアンスを確保するためのさまざまな権限を持っています。これには、OESおよびDSPに対して欠陥を是正するための指示を発行する権限、情報を要求または検査を実施する権限、非遵守に対する罰則を課す権限が含まれます。

これらの権限の行使は手続き上の保護措置の対象となり、ネットワークおよび情報システムのセキュリティを確保する必要性と規制対象の権利を保護する必要性の間でバランスの取れたアプローチを確保します。

適格機関と規制対象エンティティの間の相互作用

NIS規則は、適格機関と規制対象エンティティの間でサイバーセキュリティに対する協力的なアプローチを創出することを目指しています。適格機関は、OESおよびDSPが義務を理解し、適切な措置を実施するのを支援するためのガイダンスとサポートを提供します。

また、脅威、インシデント、およびベストプラクティスに関する情報のオープンな交換を奨励するための定期的な対話の要件もあります。

NIS規則のコンプライアンス要件

以下は、NIS規則の主要なコンプライアンス要件のいくつかです：

NIS規則の下でのコンプライアンス監査

NIS規則は、適格機関にコンプライアンスを評価するための監査を実施する権限を与えています。これには、エンティティのセキュリティ実践、リスク管理プロセス、インシデント対応能力、およびネットワークおよび情報システムのセキュリティの他の側面の評価が含まれる場合があります。これらの監査の結果は、改善のための推奨事項をもたらす可能性があり、重大な欠陥がある場合には、施行措置が取られることがあります。

重要サービスの運営者のコンプライアンス

重要サービスの運営者は、NIS規則の下で一連の義務を遵守する必要があります。これには、適切かつ比例したセキュリティ対策の実施、インシデント報告要件の遵守、適格機関との協力、および必要に応じて監査および検査の実施が含まれます。OESが義務を理解し、満たすのを支援するために、適格機関からのガイダンスとサポートが利用可能です。

デジタルサービスプロバイダーのコンプライアンス

デジタルサービスプロバイダーもNIS規則の下でコンプライアンス要件の対象となります。セキュリティ対策の選択においてはより柔軟性が与えられていますが、ネットワークおよび情報システムの高いセキュリティレベルを確保する必要があります。これには、インシデント報告要件の遵守と適格機関との協力が含まれます。OESと同様に、DSPがコンプライアンスを達成するのを支援するために、適格機関からのガイダンスとサポートが提供されます。

コンプライアンスを確保するためのベストプラクティス

NIS規則のコンプライアンスを確保するには、義務の包括的な理解を深め、効果的なセキュリティおよびリスク管理措置を確立し、組織内でサイバーセキュリティの文化を育成し、適格機関との定期的な対話を維持することが含まれます。

国際基準に合わせたベストプラクティスの採用、措置の定期的なテストと更新、他のエンティティとの情報共有も、コンプライアンスの達成に大きく貢献することができます。

KiteworksはNIS規則2018のコンプライアンスを支援します

NIS規則2018はすべての業界に適用され、組織がネットワークおよび情報システムを危険にさらすリスクを管理するために適切かつ比例した措置を講じることを要求しています。

Kiteworksのプライベートコンテンツネットワーク（PCN）は、機密コンテンツの送信と保存のための安全なプラットフォームを提供し、組織がNIS規則に従って情報システムの整合性と機密性を維持できるようにします。

Kiteworksは、メール、ファイル共有、マネージドファイル転送（MFT）、ウェブフォーム、SFTPを含む第三者の通信チャネルを統合し、これらの脆弱なアプリケーションの攻撃面を縮小する強化された仮想アプライアンスを通じて実行します。Kiteworksは、安全な展開オプション、詳細なアクセス制御、自動エンドツーエンド暗号化、多要素認証、すべてのファイル活動の可視性、包括的な監査ログなど、さまざまなセキュリティ機能を使用して、これらのチャネルで共有される機密コンテンツを保護します。

これらおよびその他の機能により、組織は、カリフォルニア州消費者プライバシー法（CCPA）、一般データ保護規則（GDPR）、医療保険の相互運用性と説明責任に関する法律（HIPAA）、EU・米国間データプライバシーフレームワーク、サイバーエッセンシャルプラス、NIS 2指令など、数多くの州、国家、地域、業界のデータプライバシー規制に準拠して、組織内外に出入りする機密コンテンツを管理、保護、追跡することができます。

今日、Kiteworksプライベートコンテンツネットワークのカスタムデモをスケジュールして、NISデータをどのように保護するかを学びましょう。

リスク＆コンプライアンス用語集に戻る