EU 組織向けの NIS2 準拠セキュリティ評価
NIS2 指令 (2024 年 10 月までに国内法に移行) は、EU 加盟国全体のサイバーセキュリティ義務の範囲を大幅に拡大します。 KENSAI は、継続的な脆弱性評価により、不可欠かつ重要な組織が NIS2 第 21 条の要件を満たすのを支援します。
NIS2 評価を開始 → デモを予約するNIS2 の対象となるのは誰ですか?
NIS2 は NIS1 の範囲を大幅に拡張し、次の 2 つのエンティティ カテゴリをカバーするようになりました。
| カテゴリ | セクター | 監督 |
|---|---|---|
| 必須のエンティティ | エネルギー、交通、銀行、金融市場インフラ、健康、水、デジタルインフラ、ICTサービス管理、行政、宇宙 | 積極的な監督。強制監査 |
| 重要な存在 | 郵便サービス、廃棄物管理、化学薬品、食品、製造、デジタルプロバイダー、研究 | 事後対応型の監督。捜査がきっかけとなった |
規模のしきい値: 通常、中規模以上の企業 (従業員数 50 人以上、または売上高 1,000 万ユーロ以上) に適用されます。一部のセクター (重要インフラ) にはサイズのしきい値がありません。
NIS2 第 21 条:サイバーセキュリティリスク管理措置
第 21 条では、「適切かつ比例した技術的、運用的および組織的措置」が求められています。脆弱性管理に関連する主な要件:
重要なサービスの提供に使用されるシステムの脆弱性の体系的な特定を含む、リスク分析のポリシー。
脆弱性管理や開示ポリシーなど、システムのライフサイクル全体にわたるセキュリティ対策。
組織は、サイバーセキュリティのリスク管理対策の有効性を評価する手順を確立する必要があります。セキュリティ テストは主要な技術メカニズムです。
直接サプライヤーやサービスプロバイダーのセキュリティ慣行の評価など、サプライチェーンの脆弱性に対処するセキュリティ対策。
🚨 NIS2 罰金: 最大 1,000 万ユーロ、または世界売上高の 2%
重要な事業体には、最大 1,000 万ユーロまたは全世界年間総売上高の 2% のいずれか高い方の罰金が科せられます。重要な企業は、世界売上高の 1.4% に相当する 700 万ユーロに直面します。 NIS2 では、経営陣に対する個人責任も導入されています。上級管理職は、NIS2 違反につながる過失に対して個人責任を負う可能性があります。
NIS2 脆弱性管理要件
欧州連合サイバーセキュリティ庁 (ENISA) は、NIS2 の技術要件を明確にした実装ガイダンスを発行しました。脆弱性管理には次のような期待が含まれます。
- 資産目録:重要なサービスの提供に使用されるすべての ICT 資産の包括的なインベントリ
- 定期的な脆弱性スキャン:脆弱性の体系的な特定 - リスクに比例した頻度
- 侵入テスト:エンティティの分類とリスク プロファイルに応じた定期的なセキュリティ テスト
- パッチ管理:セキュリティ パッチのタイムリーな適用 - 定義された SLA 内の重要なパッチ
- 脆弱性の開示:外部研究者からの脆弱性開示の受け取りと処理に関するポリシー
- サプライチェーンのセキュリティテスト:ICTサプライヤーとサービスプロバイダーの評価
KENSAI が NIS2 準拠をサポートする方法
✓ 重要なサービス資産の発見
NIS2 準拠の基盤である重要なサービスの提供に関与するすべての ICT 資産を自動的に検出し、インベントリを作成します。
✓ 適切なリスクスキャン
資産の重要度に応じてスキャンの頻度と深さを構成します。重要なサービス システムはより頻繁に、より詳細なテストを実施します。
✓ サプライチェーンの評価
ICT サプライヤー向けの外部攻撃対象領域管理は、NIS2 第 21 条 (2) (h) のサプライ チェーン セキュリティ要件を満たしています。
✓ 経営報告
NIS2 は経営陣に個人責任を負わせます。KENSAI は、脆弱性リスクを取締役会レベルで可視化するためのエグゼクティブ ダッシュボードを提供しています。
✓ NIS2 証拠パッケージ
スキャン履歴、修復記録、政策証拠など、国の管轄当局の検査用に監査対応の文書を生成します。
✓ インシデントの相関関係
脆弱性を 24 時間のインシデント通知要件に関連付けます。脆弱性が悪用されている時点ですぐにわかります。
NIS2 と NIS1: セキュリティ テストの変更点
| 側面 | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| 範囲 | 必須サービスのみのオペレーター | 必須 + 重要なエンティティ (10 倍以上の組織) |
| セキュリティ対策 | 曖昧な「適切な対応」 | 具体的なセキュリティ対策10項目一覧 |
| 監督 | 軽いタッチの国家的アプローチ | EU全体の調和のとれた積極的な監督 |
| 罰金 | 加盟国によって異なる | 調和された最大値 (1,000 万ユーロ / 売上高 2%) |
| 経営責任 | 指定されていない | 経営陣の個人責任 |
| サプライチェーン | 不要 | 明示的に必要 |
KENSAI で NIS2 サイバーセキュリティ要件を満たします
経営陣の個人責任と世界売上高の最大 2% の罰金が課されるため、NIS2 コンプライアンスは取締役会レベルの問題です。 KENSAI は、自動化された脆弱性管理と、NIS2 への準拠を国の管轄当局に証明するために必要な文書を提供します。
NIS2 準拠を開始 → NIS2 エキスパートに相談する