What is the NIS2 Directive?

Directive (EU) 2022/2555, more commonly known as NIS2 is the second iteration of the EU’s Network and Information Security (NIS) directive, and it is the primary cybersecurity standard in the EU. NIS2 updates NIS by expanding the sectors affected by the law and its requirements. By October 17, 2024, EU member states are required to implement NIS2 in their national laws, so all organizations affected by NIS2 must be in compliance by Q4 2024.

Infinity Global Services エキスパートに問い合わせる

What is the NIS2 Directive?

NIS2指令の重要性

NIS2 は、EU 加盟国に必要不可欠なサービスまたは重要なサービスを提供する組織向けのサイバーセキュリティ要件の標準セットを作成します。 これにより、これらの組織に対するサイバー攻撃がEU市民に重大な影響を与えるリスクを軽減します。

NIS2指令の影響を受けるセクター

Organizations that meet all three of the following criteria must comply with the NIS2 Directive by October 18, 2024

NIS

NIS2指令は、セクターを必須エンティティと重要エンティティに分類します。 エッセンシャルエンティティ(EE)の例は次のとおりです。

  • Energy
  • 運輸
  • 金融
  • 行政
  • 医療
  • 給水
  • デジタルインフラストラクチャ

NIS2 は、次のような重要なエンティティ (IE) にも影響を与えます。

  • 郵便サービス
  • 廃棄物管理
  • 化学薬品
  • 調査
  • 食べ物
  • 製造
  • デジタルプロバイダー

NIS Providers

NIS2 コンプライアンスは、セクターに加えて、組織の規模によっても影響を受けます。 一般に、EEは少なくとも250人の従業員を持ち、年間売上高が5,000万ユーロ以上、または貸借対照表が4,300万ユーロである必要があります。 IEは通常、少なくとも50人の従業員を擁し、年間売上高または貸借対照表が少なくとも1,000万ユーロである必要があります。 ただし、これらのルールはセクターによって異なります。 さらに、EU加盟国内で特定のサービスを単独で提供している企業は、規模に関係なくEEまたはIEに分類される場合があります。

NIS2 の要件とは何ですか?

NIS2 は、次のような 4 つの高レベルの組織要件を作成します。

  • リスク管理:組織は、インシデント対応、サプライ チェーン セキュリティ、ネットワーク セキュリティ、アクセス制御、暗号化の使用を通じてサイバー リスクを管理する必要があります。
  • 企業の説明責任: 企業の経営陣は、組織のセキュリティに責任を持ち、サイバーリスク管理において積極的かつ情報に基づいた役割を果たす必要があります。
  • 報告義務: NIS2 は、24 時間の「早期警告」を含む、重大なセキュリティインシデントの報告要件を定義しています。
  • 事業継続性: 影響を受ける組織は、復旧計画の作成、緊急時の手順、危機対応チームなど、事業継続戦略を策定する必要があります。

さらに、次のような 10 個の最小要件のセットが指定されています。

  1. ITシステム のリスク評価 とセキュリティポリシーの実装。
  2. 暗号化と暗号化の使用に関するポリシーと手順を実装します。
  3. システム調達における脆弱性の保護と管理。
  4. 機密データにアクセスできるユーザーに対するセキュリティ手順の実装。
  5. 必要に応じて、多要素認証 (MFA) 、継続的な認証、暗号化された通信を使用します。
  6. 実施されたセキュリティ制御の有効性を評価します。
  7. インシデントの検出と対応の計画。
  8. 基本的なコンピューター衛生に関する従業員へのトレーニング。
  9. ビジネス継続性とディザスター リカバリーの計画 (バックアップ、継続的なアクセスなど)
  10. サプライチェーンのセキュリティを確保し、企業がサードパーティとの関係における潜在的な脆弱性をどのように管理するか。

NIS2違反に対する罰則

NIS2 は、非コンプライアンスに対して組織に対して課せられる、次のようなさまざまな種類の罰則を定めています。

  • 非金銭的罰則: 各国の監督当局は、組織にコンプライアンスの遵守、拘束力のある指示の遵守、セキュリティ監査の実施、または潜在的な脅威についての顧客への通知を強制することが許可されています。

Non Monetary Penalties

  • Administrative Fines: Administrative penalties depend on the type of entity. While significant penalties can be imposed for failure to comply, there are a series of steps that must be taken before an entity is required to pay a monetary fine. The first step is a simple warning, then temporary suspension of the right to provide services within the EU, and only then fines. EEs are subject to fines of the greater of 10 million euros or 2% of global annual revenue. IEs can be fined up to 7 million euros or 1.4% of global annual revenue.
  • 刑事制裁: 重大な過失が発生した場合、NIS2は、セキュリティインシデントに対してトップマネジメントが個人的に責任を負うことを認めています。 これには、コンプライアンス違反を公表し、どのような違反が起こったのか、誰が責任を負うのかを公表するよう会社に命じることや、個人が管理職に就くことを一時的に禁止することなどが含まれます。

貴社のビジネスが IGS を使用した NIS2 とコンプライアンスにあることを確認してください

NIS2指令は、EU内の重要かつ重要な事業体に対するサイバー攻撃が、EU市民へのサービス提供能力に影響を与えるリスクを制限するように設計されています。 この改訂版は、元のNISに対するもので、指令の範囲が拡大され、更新された要件が実施され、規制当局がその要件を遵守しない組織に対して、より厳しい追加罰則を課す権限が与えられます。

2024 年第 4 四半期の期限までに NIS2 指令への準拠を達成することは、影響を受けるすべての組織にとって不可欠であり、堅牢なサイバーセキュリティ プログラムの実装が必要です。 チェック・ポイントは、Infinity Global Services プログラムを通じて、この目標およびその他のサイバーセキュリティ目標を達成しようとしている企業をサポートします。

Check Point’s External Risk Management offering helps with compliance in several ways, from supply chain monitoring, to attack surface management. See below an overview.

NIS2 Coverage

Demo it here 

チェック・ポイントのNIS2/DORA 準備評価には、 NIS2 指令に対する組織の既存のコンプライアンスの上級チェック・ポイント コンサルタントによるオンサイト評価が含まれます。 この評価に基づいて、チェック・ポイントは、組織が特定されたセキュリティギャップを解消し、基準に従ってコンプライアンスを達成する方法についてのガイダンスを提供します。 期限までに NIS2 コンプライアンス目標を達成する方法の詳細については、お問い合わせください