リサーチ
2026年2月22日
10分で読めます
NIS2コンプライアンスチェックリスト:期限までに準備する10のステップ
NIS2コンプライアンスに向けた組織準備のための実践的な10ステップチェックリスト — スコーピングとリスク評価からインシデント報告と継続的改善まで。
NIS2コンプライアンスチェックリスト:期限までに準備する10のステップ
NIS2指令はヨーロッパ全域のサイバーセキュリティ義務を再構築しており、期限が迫っています。加盟国が指令を国内法に移行し、施行が近づく中、組織はコンプライアンスを達成するための明確で実行可能なロードマップが必要です。
このチェックリストはNIS2の準備を10の具体的なステップに分解しています — 各ステップには今日実行できる具体的なアクションが含まれています。ゼロから始める場合でも、既存のセキュリティプログラムを基盤とする場合でも、このガイドはギャップを特定し、取り組みの優先順位付けに役立ちます。
ステップ1:対象範囲に含まれるか判断する
なぜ重要か:NIS2はサイバーセキュリティ義務の対象となる組織の数を劇的に拡大しました。対象外だと想定している場合、それは間違いかもしれません。
アクション:
- セクターを確認:NIS2は2つの附属書にわたる18のセクターをカバーしています。附属書I(重要事業体)にはエネルギー、運輸、銀行、医療、デジタルインフラ、ICTサービスが含まれます。附属書II(重要事業体)には郵便サービス、廃棄物管理、化学、食品、製造、デジタルプロバイダーが含まれます
- 規模を確認:指令は対象セクターの中規模組織(従業員50人以上または売上高1,000万ユーロ以上)および大規模組織(従業員250人以上または売上高5,000万ユーロ以上)に適用されます
- 例外を確認:一部の事業体タイプは規模に関係なく対象となります — DNSプロバイダー、TLDレジストリ、公衆通信ネットワーク、トラストサービスプロバイダー
- サプライチェーンの影響を評価:直接対象範囲に含まれなくても、対象セクターの顧客がサプライヤーにNIS2準拠のセキュリティを要求する場合があります
KENSAIの活用方法:KENSAIのプラットフォームはNIS2対象範囲の組織向けに設計されており、指令が求める継続的な脆弱性管理とレポートを提供します。無料スキャンから始めることで、現在のセキュリティ体制を即座に可視化できます。
ステップ2:事業体タイプを分類する
なぜ重要か:重要事業体(Essential)は重要事業体(Important)よりも厳しい監督と高い罰金に直面します。分類によって義務が決まります。
アクション:
- 重要事業体(Essential)(附属書Iセクター、大規模組織):現地検査や定期監査を含む予防的な規制監督の対象。最大罰金は1,000万ユーロまたはグローバル売上高の2%
- 重要事業体(Important)(附属書IIセクター、中規模組織):事後的な監督(インシデント後またはコンプライアンス違反の証拠がある場合)の対象。最大罰金は700万ユーロまたはグローバル売上高の1.4%
- 分類とその根拠を文書化
- 国内移行法を確認 — 一部の加盟国はより厳しい基準を適用する場合があります。例えばドイツのNIS2UmsuCGは追加のカテゴリーを導入しています
KENSAIの活用方法:KENSAIのコンプライアンスレポートは、お客様の事業体分類に適用される特定の要件に検出結果をマッピングし、セキュリティエビデンスが義務に一致することを保証します。
ステップ3:経営陣の賛同と説明責任を確保する
なぜ重要か:NIS2第20条は経営陣にサイバーセキュリティの個人的な責任を課しています。これは提案ではなく、個人の法的責任を伴う法的要件です。
アクション:
- NIS2要件と個人の法的責任について取締役会とCスイートにブリーフィング
- サイバーセキュリティ監督の責任者を指名(CISO、CTO、または同等の役職)
- 経営陣がサイバーセキュリティポリシーを正式に承認し、リスク評価をレビューするガバナンス構造を確立
- すべての経営陣メンバーに対する義務的なサイバーセキュリティトレーニングをスケジュール — NIS2はこれを明示的に要求しています
- 監査目的でサイバーセキュリティの決定への経営陣の関与を文書化
- サイバーセキュリティを取締役会の常設議題として含める
KENSAIの活用方法:KENSAIはエグゼクティブダッシュボードとトレンドレポートを提供し、深い技術的専門知識を必要とせずに経営陣が監督責任を果たすために必要な可視性を提供します。
ステップ4:包括的なリスク評価を実施する
なぜ重要か:NIS2第21条はリスク評価に基づいた「適切かつ比例的な」技術的および組織的措置を要求しています。文書化されたリスク評価がなければ、措置が比例的であることを証明できません。
アクション:
- 重要資産を特定:重要サービスを支えるすべてのネットワークおよび情報システムをマッピング
- 脅威を評価:セクターと地域に関連する脅威の状況を文書化(ランサムウェア、国家支援攻撃、サプライチェーン侵害、内部脅威)
- 脆弱性を評価:インフラ、アプリケーション、プロセスの技術的な脆弱性評価を実施
- 影響を判断:特定されたリスクごとに、サービス継続性、データ整合性、影響を受ける関係者への潜在的影響を評価
- リスクレベルを算出:一貫した方法論(可能性×影響)を使用してリスクの優先順位付け
- すべてを文書化:リスク評価は書面で作成し、レビューし、定期的に更新する必要があります
KENSAIの活用方法:KENSAIの自動脆弱性スキャンは、リスク評価に必要な技術的脆弱性データを提供します。ポイントインタイムの手動評価に依存する代わりに、KENSAIはリスク評価を最新の状態に保つ継続的な脆弱性インテリジェンスを提供します。
ステップ5:攻撃対象面をマッピングする
なぜ重要か:NIS2はネットワークおよび情報システムに対するセキュリティ対策を要求しています。存在を把握していないものを保護することはできません。
アクション:
- すべての外部向け資産のインベントリ作成:Webアプリケーション、API、メールサーバー、VPNエンドポイント、クラウドサービス、サブドメイン
- シャドーITの特定:無許可のクラウドサービス、忘れられたテスト環境、レガシーシステムを発見
- サードパーティ接続のマッピング:サプライヤーやパートナーとのすべての外部統合、API接続、データフローを文書化
- クラウド露出の評価:IaaS、PaaS、SaaS構成の設定ミスや過剰な権限を確認
- 調査結果を文書化:攻撃対象面の最新インベントリを維持
KENSAIの活用方法:KENSAIの攻撃対象面発見機能は、忘れられたサブドメインや内部インベントリでは見落とされがちな公開サービスを含む、外部向け資産を自動的に特定します。無料スキャンを実行して、攻撃者の視点から攻撃対象面を確認してください。
ステップ6:10の最低限のセキュリティ対策を実装する
なぜ重要か:NIS2第21条(2)は、対象となるすべての事業体が実装しなければならない10の具体的なセキュリティ対策カテゴリーを列挙しています。これらは任意ではありません。
各対策のアクション:
- 情報セキュリティポリシーを策定・文書化
- 定期的なレビューサイクルを持つリスク管理フレームワークを確立
b) インシデント対応
- 明確な役割、責任、エスカレーション手順を持つインシデント対応計画を作成
- インシデント検出・監視能力を実装
- 定期的なインシデント対応訓練を実施
c) 事業継続と危機管理
- 重要サービスの事業継続計画を策定
- バックアップと災害復旧手順を実装・テスト
- オフライン/不変バックアップの存在を確認(ランサムウェア耐性に重要)
d) サプライチェーンセキュリティ
- 重要サプライヤーのサイバーセキュリティプラクティスを評価
- 調達・契約にセキュリティ要件を含める
- 継続的にサプライヤーのセキュリティを監視
e) 取得・開発・保守におけるセキュリティ
- セキュア開発プラクティス(SDLC)を実装
- 脆弱性対応と定期的なセキュリティテストを実施
- パッチ管理手順を確立
f) 有効性評価
- 定期的なセキュリティ監査と評価をスケジュール
- セキュリティメトリクスとKPIを実装
- 評価結果に基づいて対策を見直し・更新
g) サイバー衛生とトレーニング
- 全従業員向けのセキュリティ啓発トレーニングを展開
- フィッシングシミュレーションプログラムを実装
- 基本的なサイバー衛生基準を確立(パスワードポリシー、クリーンデスクなど)
h) 暗号技術と暗号化
- 転送中のデータを暗号化(すべてのサービスでTLS 1.2以上)
- 機密情報の保存時データを暗号化
- ベストプラクティスに従って暗号鍵を管理
i) 人的資源セキュリティとアクセス制御
- すべての重要システムに多要素認証を実装
- 最小権限の原則を適用
- アクセスレビュープロセスを確立
j) セキュア通信
- 機密性の高い議論に暗号化通信チャネルを展開
- 主要システムが侵害された場合に機能する緊急通信手順を確立
KENSAIの活用方法:KENSAIは対策(e)、(f)、および(a)と(d)の脆弱性対応の側面を直接サポートします。継続的な自動スキャンにより、検証可能なエビデンスで「定期的なテスト」と「脆弱性対応」の要件を確実に満たします。
ステップ7:インシデント報告能力を確立する
なぜ重要か:NIS2は厳格な多段階インシデント報告要件を導入しています。24時間の早期警告期限を逃すと、インシデント自体とは独立して罰則が科される場合があります。
アクション:
- NIS2の定義(重大な業務中断、経済的損失、または他者への相当な損害)に沿った、組織の「重大インシデント」基準を定義
- リアルタイムで重大インシデントを検出できる24時間365日の監視を実装 — 検出していないものは報告できません
- 国のCSIRTと管轄当局を特定 — どこにどう報告するか正確に把握
- 各段階の報告テンプレートを準備:
- 24時間早期警告:基本的なインシデント事実、違法または悪意のあるものと疑われるか、潜在的な国境を越える影響
- 72時間通知:初期評価、重大度、影響、侵害指標
- 1ヶ月最終報告:詳細な記述、根本原因分析、緩和措置、国境を越える影響
- インシデント報告者を指名・訓練 — 複数のチームメンバーが報告を提出できるようにする
- 報告プロセスを練習 — 報告タイムラインを含む机上演習を実施
KENSAIの活用方法:KENSAIの継続的な監視により、脆弱性はインシデントになる前に検出・報告されます。問題が発見された場合、KENSAIの詳細な技術レポートは迅速なインシデント報告に必要な侵害指標と技術的詳細を提供します。
ステップ8:サプライチェーンセキュリティに対応する
なぜ重要か:NIS2はサプライチェーンにおけるサイバーセキュリティリスクの管理を組織に明示的に要求しています。指令は多くの重大な侵害が信頼されたサプライヤーを通じて発生することを認識しています。
アクション:
- 重要サプライヤーを特定:システム、データ、ネットワークへのアクセス権を持つサプライヤーをマッピング
- サプライヤーのセキュリティ体制を評価:セキュリティ認証(ISO 27001、SOC 2)を要求、アンケートを実施、または第三者評価を要求
- 契約にセキュリティ要件を含める:最低限のセキュリティ基準、インシデント通知義務、監査権、セキュリティ不備に対する契約解除条項を定義
- 継続的にサプライヤーのセキュリティを監視:オンボーディング時だけでなく定期的にレビューを実施
- サプライヤーインシデント対応手順を策定:サプライヤーが侵害された場合の対応を把握
- 重要な依存関係を多様化:サプライチェーンの単一障害点を回避
KENSAIの活用方法:KENSAIはサプライヤーの外部向けインフラ(許可を得た上で)をスキャンし、セキュリティ体制の客観的な見解を提供します。これにより、自己申告のアンケートのみに依存するのではなく、検証可能なデータを得ることができます。
ステップ9:監査対応のためにすべてを文書化する
なぜ重要か:NIS2の監督には監査、検査、証拠要求を実施する権限が含まれています。文書によってコンプライアンスを証明できなければ、コンプライアンスを満たしていないことになります。
アクション:
- すべてのポリシー、手順、リスク評価、テスト結果を含むコンプライアンスエビデンスリポジトリを維持
- 「重大」基準を満たしたかどうかに関わらず、すべてのセキュリティインシデントと対応アクションの記録を保管
- 経営陣の承認を文書化 — すべてのポリシー承認、リスク受容、予算決定
- タイムスタンプ付きのセキュリティテスト結果をアーカイブ — 継続的なスキャンは年次レポートよりも強力なエビデンスを提供
- すべてのスタッフのトレーニング完了を追跡、特に経営陣のトレーニングに注意
- サプライチェーン評価と契約のセキュリティ条項を記録
- すべてのセキュリティ関連ポリシーと手順の変更ログを維持
KENSAIの活用方法:KENSAIはタイムスタンプ付きのスキャンレポート、脆弱性追跡履歴、修正タイムラインを自動生成します。これにより、継続的なセキュリティテストを実証する継続的な監査証跡が作成されます — 単一の年次ペネトレーションテストレポートよりも規制当局にとってはるかに説得力があります。
ステップ10:継続的改善を実装する
なぜ重要か:NIS2は一度きりのチェックボックス演習ではありません。指令は継続的なリスク管理と対策の有効性の定期的な評価を要求しています。規制当局は静的なコンプライアンスではなく、継続的な改善のエビデンスを求めています。
アクション:
- 実装された対策の有効性を評価するための四半期ごとのセキュリティレビューをスケジュール
- セキュリティメトリクスを時系列で追跡:脆弱性数、平均修正時間、インシデント頻度、トレーニング完了率
- 脅威の状況が変化した場合、重大インシデント後、または少なくとも年次でリスク評価を更新
- フレームワークに対するベンチマーク:ISO 27001、NIST CSF、CIS Controlsを成熟度ベンチマークとして使用
- 情報共有に参加:セクター固有のISAC(情報共有分析センター)に参加し、国のCSIRTと連携
- このチェックリストを見直し・更新 — 四半期ごとにNIS2コンプライアンスの状況を再確認
- 規制の進化に備える:NIS2は見直しと更新の可能性があります。セキュリティプログラムに柔軟性を組み込んでください
KENSAIの活用方法:KENSAIの継続的スキャンモデルは本質的に継続的改善と整合しています。各スキャンは以前の結果を基に構築し、修正された脆弱性、新たな脆弱性、全体的なセキュリティ体制のトレンドを追跡します。プラットフォームは、監査人や規制当局に改善を実証するメトリクスとトレンドデータを提供します。
NIS2コンプライアンスタイムライン
このチェックリストを実装するための現実的なタイムラインは以下の通りです:
1〜2ヶ月目:評価フェーズ
- ステップ1-2:対象範囲の決定と分類
- ステップ3:経営陣へのブリーフィングと賛同獲得
- ステップ4:リスク評価の開始
- ステップ5:攻撃対象面のマッピング(KENSAI無料スキャンで開始)
3〜4ヶ月目:基盤構築フェーズ
- ステップ4:リスク評価の完了
- ステップ6:10の最低限の対策の実装開始(ギャップを優先)
- ステップ7:インシデント報告能力の確立
5〜6ヶ月目:実装フェーズ
- ステップ6:最低限の対策の実装を継続
- ステップ8:サプライチェーンセキュリティへの対応
- ステップ9:文書化とエビデンス管理の設定
7ヶ月目以降:継続フェーズ
- ステップ10:継続的な改善、監視、評価
- すべてのステップにわたる定期的なレビューと更新
避けるべき一般的な間違い
- NIS2をIT部門だけのプロジェクトとして扱う:経営陣の関与と部門横断的な協力が必要です
- 国内移行法を待つ:要件は明確です。今すぐ開始してください
- 認証に過度に依存する:ISO 27001は強固な基盤ですが、自動的にNIS2コンプライアンスと同等にはなりません
- サプライチェーンの義務を軽視する:多くの組織がここで準備不足に陥ります
- 一度きりのコンプライアンス:NIS2は年次演習ではなく、継続的なリスク管理を要求しています
- 24時間報告要件を無視する:これにはポリシー文書だけでなく、監視能力が必要です
可視性から始める
見えないものは修正できません。NIS2コンプライアンスの最初のステップは、現在のセキュリティ体制を理解することです。
👉 kensai.app/free-scanでKENSAI無料セキュリティスキャンを取得 — 数分で攻撃対象面をマッピングし、脆弱性を特定します。
KENSAIを無料で試す
数分でインフラの脆弱性をスキャン — クレジットカード不要。
無料スキャンを開始 →
KENSAIセキュリティリサーチにより公開 — AI搭載サイバーセキュリティプラットフォーム