NIS2コンプライアンス
12分で読める
NIS2コンプライアンスチェックリスト:DACH企業が2027年までに完了すべき10のステップ
ドイツ、オーストリア、スイスはそれぞれ異なる方法でNIS2を実施しています。このDACH固有のチェックリストは、国別の要件、実際の期限、罰金額を含む正確な10のステップを提供します。
DACH企業にNIS2固有のチェックリストが必要な理由
EU NIS2指令(2022/2555)は2024年10月17日までに国内法化される予定でした。現実は異なります:ドイツのNIS2UmsuCGはまだ議会審議中、オーストリアは2025年半ばにNISG 2024を可決、スイスはISGをNIS2原則に整合させました。
施行は2026-2027年に到来し、罰金は1,000万ユーロまたはグローバル売上の2%に達します。
ステップ1:NIS2分類を決定する
- 必須エンティティ:エネルギー、輸送、銀行、医療、デジタルインフラ(従業員250人以上または売上5,000万ユーロ以上)
- 重要エンティティ:郵便、廃棄物、化学、食品、製造(従業員50人以上または売上1,000万ユーロ以上)
ステップ2:国家当局に登録する
- ドイツ:BSI — 3ヶ月以内に登録
- オーストリア:内務省
- スイス:重要インフラセクターはBACS
ステップ3:サイバーセキュリティガバナンスを確立する
- 経営陣への直接報告ラインを持つCISOを任命
- 経営陣の責任:NIS2第20条 — 個人責任
ステップ4:包括的なリスク評価を実施する
- 第21条に基づく全ハザードリスク評価
- BSI IT-Grundschutz、ISO 27005またはNIST CSF
ステップ5:技術的セキュリティ対策を実施する
- 第21.2条の10のサブ要件:セキュリティポリシー、インシデント管理、事業継続、サプライチェーン、暗号化、アクセス制御、MFA
ステップ6:インシデント報告手順を確立する
- 24時間:国家CSIRTへの早期警告
- 72時間:初期評価を含むインシデント通知
- 1ヶ月:詳細な最終報告書
ステップ7:継続的な脆弱性管理
ステップ8:サプライチェーンを保護する
ステップ9:監査に備える
- 罰金:最大1,000万ユーロまたはグローバル売上の2%
ステップ10:継続的コンプライアンス文化を構築する
- 四半期ごとのセキュリティレビュー
- 年次シミュレーション演習
施行を待たないでください
コンプライアンスの窓は急速に閉じています。今始める企業は、コンプライアンスへの構造化された道筋を得られます。
NIS2コンプライアンスの旅を始めましょう
今日の組織の状態を確認しましょう。KENSAIの無料外部スキャンでNIS2要件に対する攻撃面をチェックします。
無料NIS2スキャンを実行 →
Published by KENSAI Research Team · 2026-02-28