{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
NIS2指令準拠に向けた影響評価・対応計画策定支援
EUのネットワークおよび情報システムに関する指令(Network and Information Systems Directive:通称NIS指令)の改訂版であるNIS2指令の制定に伴い、対象となる事業者の拡大だけでなく、求められる要求度の高度化や、厳しい違反金によって、影響範囲とレベルがともに高まりつつあります。
NIS2指令はGDPRと同様に、準拠できない場合に高額な違反金が課されており、セキュリティ部門の問題として取り組むのではなく、ビジネスリスクの1つとして捉える必要があります。PwCコンサルティングでは、事業者が準拠に向けて対応できるよう、現状とNIS2指令とのギャップやリスクをクイックに明確化し、是正のための対策を立案します。その上で、対応の優先度を設定し、対応計画の策定を支援します。
NIS2指令改正の背景
EUでは、サイバーセキュリティに関する法令として、ネットワークおよび情報システムに関する指令(Network and Information Systems Directive:通称NIS指令)が2016年に成立・施行となりました。
EU域内において、各国が国境を越えたサービスを提供する中で、加盟国によって求めるセキュリティ対策のレベル感が異なると、一部の加盟国がサイバー脅威に対して脆弱になり、EU全体に波及する可能性があります。
そのため、加盟国間の大きな相違を解消することを目的に、NIS指令が廃止され、改正版として新たにNIS2指令が制定されることとなりました。
図表1:NIS2指令の構成
章番号 |
項目 |
条文番号 |
第1章 |
GENERAL PROVISIONS |
第1条~第6条 |
第2章 |
COORDINATED CYBERSECURITY FRAMEWORKS |
第7条~第13条 |
第3章 |
COOPERATION AT UNION AND INTERNATIONAL LEVEL |
第14条~第19条 |
第4章 |
CYBERSECURITY RISK-MANAGEMENT MEASURES AND REPORTING OBLIGATIONS |
第20条~第25条 |
第5章 |
JURISDICTION AND REGISTRATION |
第26条~第28条 |
第6章 |
INFORMATION SHARING |
第29条、第30条 |
第7章 |
SUPERVISION AND ENFORCEMENT |
第31条~第37条 |
第8章 |
DELEGATED AND IMPLEMENTING ACTS |
第38条、第39条 |
第9章 |
FINAL PROVISIONS |
第40条~第46条 |
NIS2指令の制定に伴う影響
NIS指令においてはヘルスケア、交通、金融など対象範囲が限定されていましたが、NIS2指令ではその範囲が大きく拡大するとともに、新たに必須事業体と重要事業体という2つの分類が加えられています。
図表2:NIS2指令の改正に伴う影響
範囲の拡大だけでなく、違反時の罰則についても、NIS指令では各加盟国の裁量でしたが、NIS2指令では、必須事業体では最高で1,000万ユーロ、または事業者の全世界年間総売上高の2%のいずれか高い方の額の罰金となり、重要事業体においては最高で700万ユーロ、または事業者の全世界の年間総売上高の1.4%のいずれかの高い方の額の罰金となります。
また、必須事業体においては定期的な監査が行われ、インシデントの発生などにより本指令に違反していることが発覚した場合には、必須事業体、重要事業体にかかわらず監査が行われます。
NIS2指令で厳しくなる要求ポイントとは
NIS2指令では、その影響範囲の拡大や、違反金などの金銭面だけでなく、要求される内容についても高度化しています。
有事の対応準備やプロセス整備、サプライチェーンセキュリティの強化といった包括的なサイバーセキュリティリスクの管理や、発覚から24時間、72時間以内の報告、中間・最終報告のほか、経営陣にはサイバーセキュリティリスク管理策の承認・実施監督・違反に対する管理責任が求められています。
NIS2要件の指標化・ギャップ分析・リスクの可視化
NIS2指令においては法令という性質上、表現の分かりにくさや、具体的にどこまで実施すればよいのかが見えづらいことから、対応が必要であるのかの判断が難しいため、過剰な投資を行ったり、対応漏れ・遅れによる制裁金を負ったりするリスクがあります。
PwCコンサルティングでは、NIS2指令における曖昧な要求群を該当する国際規格や類似法令との紐づけ、要求内容を指標化することで、ギャップ分析ができる状態へ組み換えを行い、短期かつ低コストで評価することを可能にします。
社内のポリシー体系やルールに関する文書をインプットに、机上アセスメントを実施し、NIS2要件とのギャップや想定されるリスクを可視化します。
図表3:NIS2要件の指標化
ギャップ分析結果を踏まえた施策定義・計画策定
ギャップ解消に向けた必要な施策を整理し、ギャップ分析により得られたリスクなども踏まえた上で、どの施策から進めていく必要があるのか、施策の優先度を設定します。施策の優先度に鑑み、施策実施に向けた対応計画を策定します。
※対応計画に基づく推進に関する支援も別途可能です。
図表4:施策の定義と計画策定
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
