IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NIS2指令準拠に向けた影響評価・対応計画策定支援
EUのネットワークおよび情報システムに関する指令(Network and Information Systems Directive:通称NIS指令)の改訂版であるNIS2指令の制定に伴い、対象となる事業者の拡大だけでなく、求められる要求度の高度化や、厳しい違反金によって、影響範囲とレベルがともに高まりつつあります。
NIS2指令はGDPRと同様に、準拠できない場合に高額な違反金が課されており、セキュリティ部門の問題として取り組むのではなく、ビジネスリスクの1つとして捉える必要があります。PwCコンサルティングでは、事業者が準拠に向けて対応できるよう、現状とNIS2指令とのギャップやリスクをクイックに明確化し、是正のための対策を立案します。その上で、対応の優先度を設定し、対応計画の策定を支援します。
NIS2指令改正の背景
EUでは、サイバーセキュリティに関する法令として、ネットワークおよび情報システムに関する指令(Network and Information Systems Directive:通称NIS指令)が2016年に成立・施行となりました。
EU域内において、各国が国境を越えたサービスを提供する中で、加盟国によって求めるセキュリティ対策のレベル感が異なると、一部の加盟国がサイバー脅威に対して脆弱になり、EU全体に波及する可能性があります。
そのため、加盟国間の大きな相違を解消することを目的に、NIS指令が廃止され、改正版として新たにNIS2指令が制定されることとなりました。
図表1:NIS2指令の構成
章番号 |
項目 |
条文番号 |
第1章 |
GENERAL PROVISIONS |
第1条~第6条 |
第2章 |
COORDINATED CYBERSECURITY FRAMEWORKS |
第7条~第13条 |
第3章 |
COOPERATION AT UNION AND INTERNATIONAL LEVEL |
第14条~第19条 |
第4章 |
CYBERSECURITY RISK-MANAGEMENT MEASURES AND REPORTING OBLIGATIONS |
第20条~第25条 |
第5章 |
JURISDICTION AND REGISTRATION |
第26条~第28条 |
第6章 |
INFORMATION SHARING |
第29条、第30条 |
第7章 |
SUPERVISION AND ENFORCEMENT |
第31条~第37条 |
第8章 |
DELEGATED AND IMPLEMENTING ACTS |
第38条、第39条 |
第9章 |
FINAL PROVISIONS |
第40条~第46条 |
NIS2指令の制定に伴う影響
NIS指令においてはヘルスケア、交通、金融など対象範囲が限定されていましたが、NIS2指令ではその範囲が大きく拡大するとともに、新たに必須事業体と重要事業体という2つの分類が加えられています。
図表2:NIS2指令の改正に伴う影響
範囲の拡大だけでなく、違反時の罰則についても、NIS指令では各加盟国の裁量でしたが、NIS2指令では、必須事業体では最高で1,000万ユーロ、または事業者の全世界年間総売上高の2%のいずれか高い方の額の罰金となり、重要事業体においては最高で700万ユーロ、または事業者の全世界の年間総売上高の1.4%のいずれかの高い方の額の罰金となります。
また、必須事業体においては定期的な監査が行われ、インシデントの発生などにより本指令に違反していることが発覚した場合には、必須事業体、重要事業体にかかわらず監査が行われます。
NIS2指令が自社に適用されるかどうか不明な場合は、下記の「NIS2指令対象ご確認フォーム」をご参照ください。
NIS2指令で厳しくなる要求ポイントとは
NIS2指令では、その影響範囲の拡大や、違反金などの金銭面だけでなく、要求される内容についても高度化しています。
有事の対応準備やプロセス整備、サプライチェーンセキュリティの強化といった包括的なサイバーセキュリティリスクの管理や、発覚から24時間、72時間以内の報告、中間・最終報告のほか、経営陣にはサイバーセキュリティリスク管理策の承認・実施監督・違反に対する管理責任が求められています。
NIS2要件の指標化・ギャップ分析・リスクの可視化
NIS2指令においては法令という性質上、表現の分かりにくさや、具体的にどこまで実施すればよいのかが見えづらいことから、対応が必要であるのかの判断が難しいため、過剰な投資を行ったり、対応漏れ・遅れによる制裁金を負ったりするリスクがあります。
PwCコンサルティングでは、NIS2指令における曖昧な要求群を該当する国際規格や類似法令との紐づけ、要求内容を指標化することで、ギャップ分析ができる状態へ組み換えを行い、短期かつ低コストで評価することを可能にします。
社内のポリシー体系やルールに関する文書をインプットに、机上アセスメントを実施し、NIS2要件とのギャップや想定されるリスクを可視化します。
図表3:NIS2要件の指標化
ギャップ分析結果を踏まえた施策定義・計画策定
ギャップ解消に向けた必要な施策を整理し、ギャップ分析により得られたリスクなども踏まえた上で、どの施策から進めていく必要があるのか、施策の優先度を設定します。施策の優先度に鑑み、施策実施に向けた対応計画を策定します。
※対応計画に基づく推進に関する支援も別途可能です。
図表4:施策の定義と計画策定
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
54 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
インサイト/ニュース
20 results
Loading...
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
日経Digital Governanceフォーラム「グローバルビジネス、勝つためのデジタル法規制対応」
「NIKKEI Digital Governance 」が主催する本フォーラムでは、各国のデジタル法規制の最新動向を専門家が解説。さらに、日本企業がこれらのデジタル法規制に対応し、競争力をどのように維持・向上させるかについて議論します。
Loading...
セミナー
3 results
Loading...
