NIS2指令について知るべきすべて:対象者、要件、最大1,000万ユーロの罰則、期限、コンプライアンスに向けた組織の準備方法。
NIS2指令(指令(EU) 2022/2555)は、EUのサイバーセキュリティ規制における10年間で最も重要な改革を代表しています。組織が欧州で事業を行っている場合、この法律はサイバーセキュリティへのアプローチを根本的に変えることになります — そしてコンプライアンス違反の罰則は厳しいものです。
本ガイドでは、知るべきすべてを網羅します:NIS2とは何か、対象者、具体的な要件、期限、罰則、およびコンプライアンス達成に向けた明確なロードマップ。
NIS2指令は、全加盟国にわたってサイバーセキュリティの高い共通水準を確保するためのEUの最新フレームワークです。実装の不一致と今日の脅威の状況に対して範囲が狭すぎると広く批判されていた元のNIS指令(2016/1148)を置き換えるものです。
2022年11月28日に欧州議会で採択されたNIS2は、義務的なサイバーセキュリティ義務の対象となる組織の数を劇的に拡大しています。欧州委員会の推定では、元のNIS指令はEU全域で約15,000の事業体を対象としていました。NIS2の下では、その数は160,000以上の組織に跳ね上がります — 10倍の増加です。
元のNIS指令にはあまりにも多くのギャップがありました:
NIS2は統一された要件、拡大された範囲、実効性のある執行メカニズムにより、これらすべての欠点に対処しています。
NIS2はセクターベースの分類と組み合わせた規模基準ルールを使用しています。組織はEssential事業体(重要事業体)またはImportant事業体(重要事業体)に分類されます。
これらのセクターは社会と経済の機能にとって不可欠と見なされています:
NIS2は上記セクターの組織で、以下の基準の少なくとも1つを満たす場合に適用されます:
重要な例外:以下を含む特定の事業体は規模に関係なく対象となります: - DNSサービスプロバイダー - TLDレジストリ - 公衆電子通信ネットワークのプロバイダー - トラストサービスプロバイダー - 加盟国で社会的/経済的活動に不可欠なサービスの唯一のプロバイダー
組織がNIS2の直接的な対象に含まれなくても、サプライチェーン要件を通じて影響を受ける場合があります。EssentialおよびImportant事業体はサプライチェーンに対するサイバーセキュリティリスク管理対策を実装しなければならず、コンプライアンス要件をベンダーやパートナーに対して下流に押し出すことになります。
NIS2第21条は、対象となるすべての事業体が実装しなければならない10の最低限のサイバーセキュリティリスク管理対策を概説しています:
リスク分析と情報システムセキュリティのための包括的なポリシーを確立します。定期的なリスク評価、文書化されたセキュリティポリシー、サイバーセキュリティのためのガバナンスフレームワークを含みます。
サイバーセキュリティインシデントの予防、検出、対応のための手順を実装します。これには以下が含まれます: - インシデント対応計画 - インシデント検出能力 - インシデント中の通信手順
以下を通じて業務のレジリエンスを確保します: - バックアップ管理 - 災害復旧計画 - 危機管理手順 - 継続計画の定期的なテスト
直接のサプライヤーおよびサービスプロバイダーとの関係におけるセキュリティリスクに対処します。サプライヤーのサイバーセキュリティプラクティスに対するデューデリジェンスを実施し、契約にセキュリティ要件を含めます。
脆弱性の取り扱いと開示を含む、ネットワークと情報システムの取得、開発、保守をカバーするセキュリティ対策を実装します。
サイバーセキュリティリスク管理対策の有効性を評価するためのポリシーと手順を確立します。定期的な監査と評価が必要です。
サイバー衛生プラクティスを実装し、経営陣を含むすべてのスタッフに定期的なサイバーセキュリティ啓発トレーニングを提供します。
転送中および保存中のデータを保護するための暗号技術の使用、および適切な場合には暗号化に関するポリシーと手順を確立します。
適切なアクセス制御ポリシー、資産管理手順、多要素認証または継続的認証ソリューションを実装します。
組織内でセキュアな音声、ビデオ、テキスト通信、およびセキュアな緊急通信システムを使用します。
NIS2は前身よりも大幅に厳しい多段階インシデント報告義務を導入しています:
| 段階 | 期限 | 要件 |
|---|---|---|
| 早期警告 | 24時間以内 | 重大インシデントについてCSIRTまたは管轄当局に通知 |
| インシデント通知 | 72時間以内 | 重大度、影響、侵害指標を含む初期評価を提供 |
| 中間報告 | 要求に応じて | インシデントと対応措置の状況更新 |
| 最終報告 | 1ヶ月以内 | 詳細な記述、根本原因、緩和措置、国境を越える影響 |
重大インシデントは以下のように定義されます: - 重大な業務中断または経済的損失を引き起こした、または引き起こす可能性がある - 相当な物的または非物的損害を引き起こすことにより、他の自然人または法人に影響を与えた、または影響を与える可能性がある
NIS2の執行規定は元の指令からの段階的な変化を表しています:
NIS2の最も重大な規定の一つは第20条であり、以下を要求しています: - 経営陣がサイバーセキュリティリスク管理対策を承認すること - 経営陣がこれらの対策の実施を監督すること - 経営陣のメンバーがサイバーセキュリティのトレーニングを受けること - 経営陣が違反に対して個人的に責任を負う可能性があること
これは、サイバーセキュリティがIT部門に完全に委任できるものではなくなったことを意味します。取締役会メンバーとCスイートの経営幹部が直接的な責任を負います。
指令は2023年1月16日に発効し、加盟国は2024年10月17日までに国内法に移行することが求められていました。
ドイツ — NIS2-Umsetzungsgesetz(NIS2UmsuCG)は遅延しましたが、2025年に施行される見込みです。ドイツだけで推定29,000の組織に影響します — 元のKRITIS規制下の約2,000から増加。ドイツの実装は指令の最低要件をいくつかの分野で上回っています。
オーストリア — NISG 2024(ネットワーク・情報システムセキュリティ法)は最終段階にあります。オーストリアでは約4,000の組織が対象となる見込みです。
スイス — EU加盟国ではありませんが、スイスはNIS2の原則にサイバーセキュリティフレームワークを整合させています。改正されたInformationssicherheitsgesetz(ISG)には同様の要件が含まれており、EUでビジネスを行うスイス企業はNIS2に直接準拠する必要があります。
フランス — フランスは既に堅牢なANSSIフレームワークに基づいて、指令をほぼ期限通りに移行しました。
オランダ — Wet beveiliging netwerk- en informatiesystemen 2(Wbni 2)が最終化されており、約10,000のオランダの組織にカバレッジが拡大されます。
上記のセクターリストと規模基準の閾値を使用して、組織がEssentialまたはImportant事業体に該当するか評価してください。サプライチェーンの義務も考慮することを忘れないでください — 直接対象範囲に含まれなくても、顧客がNIS2準拠のセキュリティプラクティスを要求する場合があります。
現在のサイバーセキュリティ体制を第21条の10の最低限の対策と比較してください。以下のギャップを特定します: - リスク管理プロセス - インシデント検出・対応能力 - 事業継続計画 - サプライチェーンセキュリティプラクティス - 従業員のトレーニングと意識向上
存在を把握していないものは保護できません。以下を含む外部の攻撃対象面の徹底的な評価を実施してください: - Webアプリケーションとapi - クラウドサービスとインフラ - サードパーティ統合 - インターネットに露出したレガシーシステム
KENSAIは、外部フットプリント全体をマッピングし、攻撃者より先に脆弱性を特定する自動化されたAI搭載の攻撃対象面スキャンを提供します。従来のポイントインタイム評価とは異なり、KENSAIはNIS2が求める継続的なリスク管理と整合した継続的スキャンを提供します。
ギャップ分析に基づいて、必要な技術的コントロールを展開します: - ネットワークセグメンテーションと監視 - エンドポイント検出・対応(EDR) - 多要素認証 - 転送中および保存中のデータの暗号化 - 定期的なスキャンによる脆弱性管理 - Webアプリケーションファイアウォールとapiセキュリティ
NIS2は文書化されたポリシーと手順を要求しています。最低限、以下が必要です: - 情報セキュリティポリシー - リスク評価の方法論とレポート - インシデント対応計画 - 事業継続と災害復旧計画 - サプライチェーンセキュリティポリシー - トレーニング記録
24時間の早期警告要件は以下を必要とします: - 24時間365日の監視能力(またはアウトソーシングのSOCサービス) - 事前定義されたインシデント分類基準 - CSIRT通知のための通信テンプレート - 明確な役割を持つ指定されたインシデント対応チーム
NIS2は経営陣とスタッフに対するサイバーセキュリティトレーニングを義務付けています。以下を実装してください: - すべての従業員に対する定期的なセキュリティ啓発トレーニング - 監督責任に関する経営陣向けの具体的なトレーニング - ITおよびセキュリティスタッフ向けの技術トレーニング - フィッシングシミュレーションとセキュリティ演習
サプライヤー関係を見直し、以下を行ってください: - 重要サプライヤーのサイバーセキュリティ体制を評価 - 調達基準と契約にセキュリティ要件を含める - 主要サプライヤーとの情報共有メカニズムを確立 - 継続的にサプライヤーのセキュリティを監視
NIS2の継続的なリスク管理要件を満たす最も効果的な方法の一つは、自動セキュリティテストです。指令は脆弱性の取り扱いとサイバーセキュリティ対策の定期的な評価を明示的に要求しており、手動の年次ペネトレーションテストだけでは不十分です。
KENSAIの自動脆弱性スキャンプラットフォームにより、組織は以下が可能になります:
NIS2に備える組織にとって、自動スキャンはオプションではありません — 指令が要求する「適切かつ比例的な」技術的対策を実証するために不可欠です。
はい。組織がEU内でサービスを提供している場合、または対象セクターのEU拠点の事業体にサービスを提供している場合、NIS2が適用されます。EU域外の企業はEUに代理人を指定する必要があります。
NIS2とGDPRは補完的です。GDPRは個人データ保護に焦点を当て、NIS2はネットワークと情報システムのサイバーセキュリティに焦点を当てています。データ侵害は両方の規制の下で義務をトリガーする可能性があります。NIS2はNIS2の罰則を評価する際にGDPRの罰金を考慮すべきと明記しています。
ISO 27001は強固な基盤を提供しますが、自動的にNIS2コンプライアンスを意味するものではありません。NIS2には特定の要件(24時間のインシデント報告など)があり、ISO 27001を超えています。ただし、ISO 27001認証を持つ組織は移行が大幅に容易になります。
国内移行が遅延していても、指令の要件は明確です。組織は今すぐ準備を開始すべきです。国内法が施行されると、執行は即座に開始される可能性があります — 猶予期間がない場合があります。
NIS2には特別法の規定が含まれています:セクター固有のEU法がNIS2と少なくとも同等のサイバーセキュリティ要件を課している場合、セクター固有のルールが優先されます。例として金融セクターのDORAがあります。
NIS2は遠い将来の規制上の脅威ではありません — すでに到来しており、ヨーロッパ全域で執行が強化されています。準備を遅らせる組織は規制上の罰金だけでなく、不十分なサイバーセキュリティに伴う評判的・業務的損害のリスクも負います。
指令の要件は包括的ですが達成可能であり、特に適切なツールとアプローチがあれば実現できます。対象範囲の理解から始め、ギャップを評価し、体系的で継続的なセキュリティ対策を実装してください。
執行措置が始まるのを待たないでください。KENSAIのAI搭載セキュリティプラットフォームは、脆弱性の特定、攻撃対象面の評価、NIS2が求める継続的なセキュリティ監視の実証を支援します。
👉 kensai.app/free-scanで無料セキュリティスキャンを取得 — 数ヶ月ではなく数分でエクスポージャーを確認。
KENSAIセキュリティリサーチにより公開 — AI搭載サイバーセキュリティプラットフォーム
Get a free security scan of your website in 60 seconds
Free Security Scan →