剣 KENSAI
← All posts · regulations · 2026-01-01 · 3 min

EU 組織向けの NIS2 準拠セキュリティ評価

NIS2 指令 (2024 年 10 月までに国内法に移行) は、EU 加盟国全体のサイバーセキュリティ義務の範囲を大幅に拡大します。 KENSAI は、継続的な脆弱性評価により、不可欠かつ重要な組織が NIS2 第 21 条の要件を満たすのを支援します。

NIS2 評価を開始 → デモを予約する

NIS2 の対象となるのは誰ですか?

NIS2 は NIS1 の範囲を大幅に拡張し、次の 2 つのエンティティ カテゴリをカバーするようになりました。

カテゴリセクター監督
必須のエンティティエネルギー、交通、銀行、金融市場インフラ、健康、水、デジタルインフラ、ICTサービス管理、行政、宇宙積極的な監督。強制監査
重要な存在郵便サービス、廃棄物管理、化学薬品、食品、製造、デジタルプロバイダー、研究事後対応型の監督。捜査がきっかけとなった

規模のしきい値: 通常、中規模以上の企業 (従業員数 50 人以上、または売上高 1,000 万ユーロ以上) に適用されます。一部のセクター (重要インフラ) にはサイズのしきい値がありません。

NIS2 第 21 条:サイバーセキュリティリスク管理措置

第 21 条では、「適切かつ比例した技術的、運用的および組織的措置」が求められています。脆弱性管理に関連する主な要件:

第 21 条(2)(a) — リスク分析と情報セキュリティ ポリシー

重要なサービスの提供に使用されるシステムの脆弱性の体系的な特定を含む、リスク分析のポリシー。

第 21 条(2)(e) — 取得、開発、および保守におけるセキュリティ

脆弱性管理や開示ポリシーなど、システムのライフサイクル全体にわたるセキュリティ対策。

第 21 条(2)(f) — 有効性を評価するためのポリシーと手順

組織は、サイバーセキュリティのリスク管理対策の有効性を評価する手順を確立する必要があります。セキュリティ テストは主要な技術メカニズムです。

第 21 条(2)(h) — サプライチェーンのセキュリティ

直接サプライヤーやサービスプロバイダーのセキュリティ慣行の評価など、サプライチェーンの脆弱性に対処するセキュリティ対策。

🚨 NIS2 罰金: 最大 1,000 万ユーロ、または世界売上高の 2%

重要な事業体には、最大 1,000 万ユーロまたは全世界年間総売上高の 2% のいずれか高い方の罰金が科せられます。重要な企業は、世界売上高の 1.4% に相当する 700 万ユーロに直面します。 NIS2 では、経営陣に対する個人責任も導入されています。上級管理職は、NIS2 違反につながる過失に対して個人責任を負う可能性があります。

NIS2 脆弱性管理要件

欧州連合サイバーセキュリティ庁 (ENISA) は、NIS2 の技術要件を明確にした実装ガイダンスを発行しました。脆弱性管理には次のような期待が含まれます。

KENSAI が NIS2 準拠をサポートする方法

✓ 重要なサービス資産の発見

NIS2 準拠の基盤である重要なサービスの提供に関与するすべての ICT 資産を自動的に検出し、インベントリを作成します。

✓ 適切なリスクスキャン

資産の重要度に応じてスキャンの頻度と深さを構成します。重要なサービス システムはより頻繁に、より詳細なテストを実施します。

✓ サプライチェーンの評価

ICT サプライヤー向けの外部攻撃対象領域管理は、NIS2 第 21 条 (2) (h) のサプライ チェーン セキュリティ要件を満たしています。

✓ 経営報告

NIS2 は経営陣に個人責任を負わせます。KENSAI は、脆弱性リスクを取締役会レベルで可視化するためのエグゼクティブ ダッシュボードを提供しています。

✓ NIS2 証拠パッケージ

スキャン履歴、修復記録、政策証拠など、国の管轄当局の検査用に監査対応の文書を生成します。

✓ インシデントの相関関係

脆弱性を 24 時間のインシデント通知要件に関連付けます。脆弱性が悪用されている時点ですぐにわかります。

NIS2 と NIS1: セキュリティ テストの変更点

側面NIS1 (2016)NIS2 (2022)
範囲必須サービスのみのオペレーター必須 + 重要なエンティティ (10 倍以上の組織)
セキュリティ対策曖昧な「適切な対応」具体的なセキュリティ対策10項目一覧
監督軽いタッチの国家的アプローチEU全体の調和のとれた積極的な監督
罰金加盟国によって異なる調和された最大値 (1,000 万ユーロ / 売上高 2%)
経営責任指定されていない経営陣の個人責任
サプライチェーン不要明示的に必要

KENSAI で NIS2 サイバーセキュリティ要件を満たします

経営陣の個人責任と世界売上高の最大 2% の罰金が課されるため、NIS2 コンプライアンスは取締役会レベルの問題です。 KENSAI は、自動化された脆弱性管理と、NIS2 への準拠を国の管轄当局に証明するために必要な文書を提供します。

NIS2 準拠を開始 → NIS2 エキスパートに相談する

関連記事