当初の2016年NIS指令は、EUの主要な相互接続サービスを保護するための中核的なサイバーセキュリティ対策の確立に主眼を置いていた。その焦点は、(エネルギー、水、輸送、医療、銀行など)不可欠とみなされ、指令が定める基本的な保護の対象となるインフラに当てられていた。
NIS2指令は当初のNIS指令の範囲を拡大し、新たなセクターや事業体を包含している。エネルギー、輸送、銀行・金融市場インフラ、ヘルスケア、水供給、デジタルインフラ(オンラインマーケットプレイス、クラウドコンピューティング、検索エンジンなど)といったセクターの必須サービス事業者(OES)、およびOESをサポートする組織を対象としている。
NIS2に含まれる組織は、2024年10月17日までにその指令に準拠する必要がある。NIS2は、効果的なサイバーセキュリティに関する勧告を提供するだけでなく、特定の状況において遵守しなかった組織には、全世界の売上高の最高2%の罰金が科される。
しかし、NIS2は、誰がこの指令に従う必要があるのか、また、従わなかった場合にどのような罰則が科されるのかについては明確にしていますが、どのように組織が準備すべきなのかについては定義していません。そこで、NIS2ガイドラインと、コンプライアンスを満たし、新たな脅威から身を守るために組織が取るべきベストプラクティスを確認しよう。
含まれる必要がある組織をより明確にするために、セクターと規模という2つの基本的な基準が設定された。セクターについては、NIS2付属文書1および2で、「極めて重要なセクター」(別名、不可欠な組織)と「重要なセクター」(別名、重要な組織)を特定している。高度に重要なセクターは、エネルギー、輸送、銀行、水道サービス、ヘルスケア、デジタル・インフラ、政府、宇宙など、主にその国の経済の日常業務に関連する11のセクターである。クリティカル・セクターは、食品、化学品、物品の製造・流通、廃棄物管理、インターネット・サービス・プロバイダー(ISP)などのデジタル・プロバイダー、研究など、国の経済を支える重要なサービスに関連するセクターである。
NIS2は、組織の規模を大企業と中堅企業に分類している。 大組織とは、従業員250人以上、売上高5,000万ユーロ以上の組織。 中規模組織とは、従業員数が250人未満で、年間売上高が5,000万ユーロを超えない組織である。
NIS2はまた、連携に対処するため、インシデントを報告するための仕組みも定めている。これには、所轄官庁、単一窓口、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)などの構成要素の形成が含まれる。第23条では、報告すべき内容とスケジュールを定めている。
施行は、推奨されるサイバーセキュリティ・リスク管理対策および報告要件の実施に対する組織の遵守状況によって定義される。これらの企業のコンプライアンス違反に対する罰金は、「高度に重要な」事業体の場合は1,000万ユーロ(または全世界の売上高の最大2%)、「重要な」事業体の場合は700万ユーロという高額になる可能性がある。
2024年10月17日までに、加盟国はNIS2指令を遵守するために必要な措置を採択し、公表しなければならない。しかし、影響を受ける企業にとって、それは具体的に何を意味するのだろうか?
NIS2は、多要素認証(MFA)の利用、アクセス制御ポリシーと資産管理、基本的なサイバー衛生、トレーニングなど、EU全域のセクターとデジタルインフラ組織が実施すべき主要な対策を概説している。
NIS2は、これらの手段を満たすための方法を定義していません。その代わりに、組織がコンプライアンスを達成するために従うべきガイドラインとして、ISO、CIS、NIST、またはIECのような他の標準をゼロトラストの信条とともに参照している。
これらの基準は ID セキュリティを優先している。 ISO27002 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護基準は、アクセス制御、 アイデンティティ管理、安全な認証、および NIS2 と整合するその他の機能を進める上で有用なガイダ ンスを提供している。NIS2 はまた、NIST の 信頼ゼロの7つの信条, また、IDのセキュリティ管理にも重点を置いている。
これら2つのアプローチに従うことで、影響を受ける組織はNIS2コンプライアンスを達成するための徹底した方法論を手に入れ、最も頻繁に発生する有害なサイバー攻撃から身を守ることができる。
組織は良い危機を決して無駄にすべきではないという古いことわざがあるが、NIS2の場合もそうであり、組織は自社のセキュリティ・プロトコルのあらゆる側面を評価し、自社のビジネスに適用されるゼロ・トラストの信条と関連する標準に焦点を当てることを余儀なくされる。そうすることで、組織はNIS2を「危機」としてとらえる必要はない。 チェックボックス運動サイバーセキュリティ態勢を評価するために時間を割いているのであれば、最も頻繁に発生し、最も大きな影響を及ぼす脅威を防御する機能に投資すべきである。
ほとんどの場合、それはIDである傾向がある。2023 Verizon Data Breach Investigations Report は、「攻撃者が組織にアクセスする3つの主な方法は、盗まれた認証情報、フィッシング、脆弱性の悪用である」ことを明らかにしました。さらに、盗まれたクレデンシャルの使用は、昨年1年間で、「侵害の最も一般的なエントリーポイントになった」。報告書によると、すべてのデータ侵害のうち49%がクレデンシャルに関係していた。
IDがほとんどの攻撃で侵害されるドメインであるというだけでなく、ID関連の攻撃は組織に最も大きな損害を与える傾向があるということです。IBMのCost of a Data Breach Report 2023によると、最も頻繁に発生する最初の攻撃ベクトルはフィッシングであり、これは最も高額な攻撃ベクトルの1つでもあり、組織に平均$476万円の損害を与えています。
すべてのセキュリティ領域が重要である一方で、ID は、特にハイブリッドな作業環境において、組織の安全性を確保する上で重要な役割を果たす。組織は、アイデンティティに特化したセキュリティ・パートナーを指名して NIS2 評価を実施し、自動化されたアイデンティティ・インテリジェンス、認証、アクセス管理、およびガバナンスとライフサイクル・ソリューションの最適な組み合わせを推奨して、NIS2 指令で規定されたすべてのリソース、アイデンティティ、および環境を保護できるようにすべきである。
組織は、統合 ID プラットフォームが、完全かつ包括的なエンドツーエンドのレビューと、すべての NIS2 要件を上回るように確立され、ビジネスおよびセキュリティ要件が進化するにつれて将来のニーズを満たすように拡張できる一連のソリューショ ンを確保する最も簡単な方法であることに気づくだろう。
詳細については、RSAにお問い合わせいただき、NIS2アイデンティティ・セキュリティ評価を開始してください。
