2023年1月17日(イタリアでは10月16日)に発効したNIS2指令は、従来のNIS指令からの大幅な変更を意味する。この規制の枠組みは、全EU加盟国に共通のサイバー戦略を構築することを目的としており、EU全域におけるデジタルサービスのセキュリティレベルを向上させることを主な目的としている。
欧州のNIS2指令の実施時期が正式に始まり、情報セキュリティ管理へのアプローチに大きな変化をもたらしている。
国家サイバーセキュリティ機構(NCA)が、抑圧・制裁プロセスの側面を、積極的な参加の促進に次いで重視するコミュニケーション努力を評価する一方で、指令の目的を実施するプロセスは、セキュリティ管理システムに対する形式的な服従--一般に「ペーパー・セキュリティ」と呼ばれるもの--だけでは解決できず、その代わりに、具体的かつ持続可能なセキュリティ目標を定義するための相当な努力が必要であることは明らかである。
NIS2指令は、欧州全体で共有されるサイバーセキュリティとレジリエンスの強化に向けた重要な一歩である。規制や指令というと、多くの企業はコンプライアンスを最終的な目標、つまり最低限の要件を満たすことで遵守しなければならないものと考えている。しかし、これはより高いレベルのサイバーセキュリティを実現するための出発点と考えるべきである。
NIS2指令は、NISの大幅な見直しに由来し、欧州サイバー戦略の完全な定義に向けた新たな重要な一歩を示すもので、セキュリティインシデント発生時にデジタルサービスの継続性を確保するため、加盟国による適切で協調的かつ革新的な対応を提供するものである。
NIS2は、廃棄物管理、輸送、食品産業、飲料水の供給・流通、デジタルインフラ、行政、医薬品・医療機器の生産・研究・開発、宇宙分野など、重要な分野を含み、以前のNIS指令に比べて適用範囲が大幅に拡大されている。
NIS2指令をイタリア法に移管する政令138/2024は、2024年10月16日から適用されるとしている。
この規制は、その企業がRCE指令の意味における「重要な」企業、公衆電子通信網のプロバイダー、信託サービス・プロバイダー、その他不可欠と考えられる特定のカテゴリーに該当しない限り、 中小企業には適用されない。
NIS2はまた、加盟国において必要不可欠なサービスを提供している場合、そのサービスが公共の安全、治安、健康にとって極めて重要である場合、あるいは必要不可欠な企業や重要な企業のサプライチェーンの一部である場合、従業員50人未満の企業にも適用される。
この運用の複雑さは、イタリアの立法者が「階層化」モデルを選択したことに反映されている。第一の層は、標準的なもの、すなわち、小企業の規模制限を超える必須または重要な対象である。第二の層は、規模や売上高にかかわらず、特定のカテゴリーに分類される企業で構成される。
重要な問題は、「関連企業」という概念に言及することで、その規模を実際に測定することである。
2つ以上の企業間のつながりは、理論的には、実際に形式化されたグループを形成する意図とは無関係であり、その結果、個別に考慮しても規則が規定する規模制限に達しない企業は、中小企業グループから除外される。
プロセスの理念性から具体的なアプローチに下っていくと、問題はむしろ異なってくる。基本的な構造が多数の中小企業で構成されているこの国の経済的側面とぶつかるからだ。このことは、NIS2の実施に大きな課題を投げかけており、中小企業にとっては過度の負担となりかねない。
欧州連合(EU)のサイバーセキュリティーを向上させる目的で制定されたNIS2指令の罰則は、純粋な行政罰と刑事罰である。重要な事業者には、最高1,000万ユーロまたは世界総売上高の2%の行政罰が課される可能性がある。一方、大手事業者は、最高700万ユーロまたは全世界の総売上高の1.4%の罰金が課せられる可能性がある。
この政令は、経営陣と管理機関の責任を明確にするものである。企業の経営陣は、法律の遵守に積極的な役割を果たすことが求められ、セキュリティ・リスク管理措置の実施を承認し、法律に定められた義務の履行を監督しなければならず、違反した場合には責任を問われることになる。
移管法令では、インシデント報告要件が強化され、サービス提供に重大な影響を及ぼすインシデントは、過度の遅延なくイタリアCSIRTに報告されなければならないと規定されている。通知プロセスでは、24時間以内の事前通知、発生から72時間以内の通知、発生から1ヶ月以内の最終報告という厳格なスケジュールが定められている。
NIS2指令は、高水準のサイバーセキュリティを確保するために組織が満たすべき主な要件をいくつか定めている。これらの要件には、リスク分析と情報システム・セキュリティ方針、リスク管理対策の有効性を評価するための戦略、基本的なデジタル衛生の実践とサイバーセキュリティ教育が含まれる。
NIS2指令の移管法は、極めて重要またはクリティカルとみなされる部門に焦点を当てるだけでなく、先見の明をもって、そのサプライヤーにも焦点を当てており、その結果、政令の適用によって影響を受ける可能性のある対象者の数を大幅に拡大していることが明らかになった。
NIS 2指令は、情報システムおよびネットワークにもたらされるセキュリティリスクを管理するために、義務を負う事業者が適切かつ相応の技術的、運用的、組織的措置を講じなければならないと規定しており、各事業者とその直接の供給業者またはサービス提供業者との関係に関するセキュリティ面を含むサプライチェーンのセキュリティも考慮しなければならない。
こうして、2026年10月までに完了しなければならないコンプライアンス競争が始まる。2025年初頭までに、NIS2の対象として特定された企業は、ITセキュリティ管理システムや管理責任など、計画されたすべての対策を運用開始しなければならない。2025年5月までに、企業は機関プラットフォームのデータを更新しなければならない。2026年1月には、重要なインシデントを適時に報告する正式な義務が発効し、2026年9月までに、企業は必要なセキュリティ対策をすべて実施しなければならない。
2024年10月16日より、新しいネットワークおよび情報セキュリティ(NIS)規制が施行される。ACNはNISの所轄官庁であり、唯一の窓口である。2024年12月1日から2025年2月28日まで、中堅・大企業、場合によっては中小・零細企業、および新法が適用される行政機関は、ACNのサービスポータルに登録しなければならない。
社会の相互接続とデジタル化が進むにつれ、機関、企業、市民はますますサイバー脅威にさらされている。
国家サイバーセキュリティ機構のトップは、このプロセスを持続可能なものにすることを公約している。文化的な転換点であることは明らかであり、直感的にわかるように、公園を散歩するようなものでも「コスト中立」でもないだろう。
したがって、NIS2への適応は、単に規格に準拠するという問題だけでなく、セキュリティ文化や技術的・組織的なベストプラクティスを企業に導入する良い機会ともなり、ITセキュリティのレベルを大幅に引き上げることができる。しかし、会社のさまざまな資産や人員を適切な定期的訓練サイクルに沿って段階的に導入していくためには、すぐに適応計画の準備に取り掛かることが重要である。
NIS2指令の遵守が義務付けられている企業でなくても、サイバーリスクに関する意識向上コースを開始することは、ビジネスの将来を守るために重要である。
したがって、NIS2はイタリア企業にとって複雑だが必要な課題である。新たな義務や責任を課すものであり、負担が重いと思われるかもしれないが、ITセキュリティを単なるコストとしてではなく、戦略的要素として見直す機会にもなる。
.svg)
.svg)
.svg)
.jpeg)
.jpeg)