ヨーロッパでのNIS2への対応：業務上の戦略的優先事項

要旨

欧州連合（EU）の新たなサイバーセキュリティ規制である「ネットワーク・情報システム指令2（NIS2）」と「サイバーレジリエンス法（CRA）」は、合わせて、ネットワーク接続デバイスの製造業者にとっての大きな転換点とされています。

この2つの規制のうち、NIS2指令は、組織レベルでのサイバーセキュリティと事業継続の両面に対処することで、重要かつ不可欠な組織のレジリエンス（耐久性、耐障害性）を強化するものとなります。同指令は、組織に対し、インシデント（障害、事故）の予防、検知、対応、復旧を網羅するリスクベースの技術的、運用上、および組織的な措置を実施することを義務付ける一方で、重要サービスの継続性を確保することを求めています。

次のステップへ

企業はAIoTで素晴らしい成果を上げています。きっとできます。

世界をリードするローコード・セルフサービスAIoTプラットフォームCumulocityで実現できる可能性を発見してください。

デモを予約する

つまり、「サイバーレジリエンス法（CRA）」などの補完的な取り組みが製品レベルのセキュリティに対処している一方で、NIS2は組織全体のレジリエンスと事業継続性に焦点を当て続けています。

NIS2は顧客に影響を与えるだけでなく、貴社組織にも直接適用される可能性があります。この指令は、EU域内で事業を展開する、あるいはEU市場にサービスを提供する製造業者を含む、幅広いセクターにサイバーセキュリティおよびリスク管理の義務を拡大しています。

貴社が直接の対象範囲外であっても、貴社の製品、サービス、およびプロセスは、顧客のリスク管理や報告義務の対象となる可能性があります。つまり、貴社のサイバーセキュリティ対策、事業継続性、およびインシデント対応能力は、顧客のコンプライアンスに直接影響を与える可能性があるということです。

NIS2の要件を念頭に置くことにより、自社のコンプライアンス体制を強化し、顧客の期待に応え、信頼を維持し、サプライチェーン全体での円滑な業務運営を確保することができます。

要するに、機器メーカーにとってNIS2は単なるコンプライアンス対応ではなく、他社との差別化を図る機会でもあります。顧客、パートナー、規制当局は、セキュリティとレジリエンスが後付けではなく、最初から組み込まれていることを強く求めるようになってきています。セキュアな開発、透明性の高い脆弱性管理、リアルタイムのデバイス可視化を通じて、NIS2およびCRAの原則を早期に採用するメーカーは、規制要件を満たすだけでなく、顧客の信頼をさらに高め、競争上の優位性を獲得することができるでしょう。

本稿では、これら2つのEU規制が互いに補完し合い、セキュリティと説明責任の水準をいかに引き上げているかを考察します。また、機器メーカーにとっての意義、コンプライアンス達成における主な課題、そしてCumulocityが、セキュリティを負担ではなくビジネス上の強みと捉え、安全でコンプライアンスに準拠し、将来を視野に入れたAIoTエコシステムの構築をどのように支援するかについて概説します。

はじめに

スマートマニュファクチャリングでは、監視、分析、自動化のために接続されたデバイスへの依存度が高まっており、サイバーセキュリティは、従来のITネットワークにとどまらず、それらを支えるデバイスやその運用にまで及ぶ極めて重要な優先事項となっています。従来のNIS指令に代わるNIS2指令と、サイバーレジリエンス法（CRA）は、互いに補完し合う形でこの課題に取り組んでいます。NIS2は組織のレジリエンスに焦点を当て、リスク管理、インシデント報告、および経営陣の説明責任を義務付ける一方、CRAは製品が設計段階から安全であり、ライフサイクル全体を通じて維持されることを保証します。

これらの規制は単なるコンプライアンス要件の一つに過ぎないように思えるかもしれませんが、IT、OT（オペレーショナルテクノロジー）、および接続された産業用IoTシステム全体にセキュリティ対策が実施されていない場合、企業は重大かつ多額のコストを伴うリスクに直面することになります。今日の環境において、サイバーセキュリティは贅沢品ではなく、業務を保護し、信頼を維持し、事業継続を確保するためには不可欠なものです。

適用範囲が拡大し、執行も厳格化されたNIS2は、製造業者に対し、サイバーセキュリティを業務上の緊急事態と同等の緊急度で扱うことを求めています。具体的には、業務やサプライチェーン全体にセキュリティを組み込み、インシデントに迅速に対応し、監査やデバイス管理を日常業務に統合することが求められます。

NIS2とCRAは一体となり、コンプライアンスの確保にとどまらず、スマート製造におけるレジリエンス、信頼、そして長期的な競争力を支える枠組みを提供します。

NIS2とは？

適用範囲と目的： EU域内で事業を展開し、重要サービスを提供する組織にとって、NIS2は理解し、対応しなければならない法規制です。この規制は、製造業者にとどまらずサプライチェーン全体に及ぶ、サイバーセキュリティに対する統一的なアプローチを推進するものです。数多くの重大なインシデントが示すように、広範なサプライチェーンは脆弱であり、悪用されやすい性質を持っています。NIS2は、組織的および運用上のレジリエンスの強化に重点を置き、企業が自社の事業およびサプライチェーン全体において、サイバーインシデントを予防し、耐え抜き、対応し、復旧できるようにすることを保証します。

注目すべき要件の一つは、侵害の報告期限が24時間と義務付けられている点であり、これはGDPRの下での72時間の報告期間よりも大幅に短縮されています。また、NIS2はサイバーセキュリティ上の失敗に対する経営陣の説明責任を更新し、組織全体で継続的なセキュリティ改善、イノベーション、および責任感の文化を育むことを促進します。

したがって、この規制の主な目的は、重要セクター全体におけるサイバーセキュリティ、組織的および業務上のレジリエンスを強化し、迅速な侵害報告を通じてインシデント対応時間を短縮し、サプライチェーンのリスク管理を強化し、経営陣の説明責任と継続的なセキュリティ改善の文化を組織全体に浸透させることにあると言えます。

実施スケジュールと執行： NIS2は2024年10月に発効し、EU加盟国全域ですでに施行が進められています。この指令は共通の枠組みを定めるものですが、その実施方法は国によって異なる可能性があるため、組織はEUレベルの要件と各国の国内法の双方に対応する必要があります。規定に違反した場合、世界全体の売上高の最大2％に相当する罰金、法的紛争の発生、欧州市場からの排除など、重大なリスクが伴います。

NIS2コンプライアンスの主要な考慮事項

NIS２に基づく迅速なインシデント報告： 製造業者は、重大なサイバーセキュリティインシデントを24時間以内に検知、評価、報告しなければなりません。これには、接続されたデバイスやネットワークのリアルタイム監視、自動検知・アラートシステム、およびインシデントの評価とエスカレーションのための明確に定義された内部ワークフローが求められます。報告義務を履行するには、規制当局との安全かつ迅速なコミュニケーションが不可欠です。

サプライチェーンリスク管理： この指令では、製造業者がサプライチェーン全体を包括的に監督することが求められています。これには、すべてのパートナーのサイバーセキュリティ対策の評価、調達および契約へのリスク管理策の組み込み、サードパーティのコンプライアンス状況の継続的な監視、ならびにサプライヤーや下請け業者に起因するインシデントに対する緊急対応計画の策定が含まれます。

経営陣の説明責任： サイバーセキュリティの責任は取締役会レベルにまで引き上げられています。経営陣は、組織のリスク態勢を明確に理解し、セキュリティ対策への十分な投資を確保し、コンプライアンスおよび監査プロセスを監督するとともに、過失や不履行があった場合には個人的な責任を負わなければなりません。

統合されたサイバーセキュリティ運用： コンプライアンスを達成するには、サイバーセキュリティを日常業務に組み込む必要があります。これには、製造品質チェックと連動した定期的なセキュリティ監査、従業員へのトレーニングおよび啓発プログラム、定期的なインシデント対応計画の策定とテスト、パッチ適用を含む継続的な脆弱性管理などが含まれます。

CumulocityによるNIS2コンプライアンスへの支援

Cumulocityは、NIS2がもたらす運用面およびサイバーセキュリティ上の課題に対処するために設計されたAIoTプラットフォームを提供します。このプラットフォームは、全デバイス群のステータスとセキュリティ状況を継続的かつリアルタイムで可視化する機能に加え、インシデントの自動検出および報告機能により、侵害通知のワークフローを効率化します。安全な無線アップデート（OTA）により、脆弱性へのパッチ適用を迅速に行い、攻撃の機会を最小限に抑えます。

役割ベースの権限設定と多要素認証を活用したきめ細かなアクセス制御により、データとデバイスの運用を保護します。包括的な監査証跡により、説明責任を確保し、規制当局への報告を簡素化します。

NIS2において同等に重要なのが、サプライチェーンのセキュリティです。この指令により、製造業者は自社のシステムだけでなく、パートナーやサプライヤーのサイバーセキュリティ対策についても責任を負うことになります。パートナーのホワイトリスト登録、認証情報管理、リスクセグメンテーションといった機能により、稼働環境に誰が、何が接続しているかを継続的に監視することが可能になります。バリューチェーン全体にわたって可視性と制御を拡大することで、製造業者はサードパーティによるリスクを低減し、コンプライアンスを証明し、より強靭な運用エコシステムを構築することができます。

Cumulocityは、これらの機能を統合プラットフォームに組み込むことで、製造業者がNIS2の原則を運用に反映することを可能にします。これにより、コンプライアンスを規制上の負担から競争上の優位性へと転換し、運用リスクを低減すると同時に、顧客やパートナーとの永続的な信頼関係を構築します。

デバイス製造業者は、まず顧客の立場に立つべきです。そして、顧客がNIS2やCRAに準拠するために何が必要かを理解し、可能な限りコンプライアンスの達成を支援すべきです。

NIS2対応の運用体制を構築するためのベストプラクティス

• 運用上の要素

  顧客の視点に立つと、メーカーはコンプライアンスとレジリエンスを簡素化するデバイスやプラットフォームを提供すべきです。ベストプラクティスとしては、迅速なインシデントの検知と対応を可能にするセキュリティ機能と監視機能を組み込んだIoTおよびデバイス管理プラットフォームの導入、サプライチェーンのすべてのパートナーがCRA要件を遵守し、同じセキュリティ原則を共有していることの確認、定期的なペネトレーションテストの実施、ITおよびOTのインシデント対応計画の整合化、そして堅牢な事業継続対策の維持などが挙げられます。

• 組織的要素

  メーカーは、ガバナンスおよび報告体制にサイバーセキュリティの責任体制を組み込むことで、顧客を支援すべきです。ベストプラクティスとしては、コンプライアンスを簡素化するツール、文書、監査証跡の提供、従業員向けのトレーニングおよび意識向上プログラムの実施、製品開発における「セキュリティ・バイ・デザイン」の原則の適用などが挙げられます。これらの施策は、メーカーと顧客双方において、継続的な改善と予防的なセキュリティを重視する文化を育みます。

顧客の視点に立ち、これらのベストプラクティスに従うことで、組織はNIS2およびCRAへの準拠を支援するだけでなく、サプライチェーン全体において信頼、レジリエンス、そして競争優位性を構築することができます。

機器メーカーが次に行うべきこと

NIS2に対応した業務体制を構築するためには、メーカーは顧客の視点に立ち、NIS2およびCRAへの準拠に必要な要件を理解し、可能な限り準拠を支援すべきです。

主な優先事項は以下の通りです：

1. 自社のリスクと準備状況の把握 重要資産、コネクテッドデバイス、既存のセキュリティ対策を把握します。インシデントの検知・報告能力、ならびに運用面および組織面でのレジリエンスを査定します。

2. サプライチェーンの可視化と管理 サプライヤー、パートナーを文書化し、セキュリティ成熟度を評価し、CRAコンプライアンスがサプライチェーン全体に及ぶようにします。同じセキュリティ原則に従い、継続的な監視プロトコルを実施しているパートナーを選定します。

3. IoT及びデバイス管理の強化 リアルタイム監視、セキュアなパッチ適用、きめ細かなアクセス制御、デバイスの健全性に関する可視性を提供するCumulocityのようなプラットフォームを導入します。これらのプラットフォームは、運用レジリエンスを維持しつつ、顧客のコンプライアンス対応を簡素化します。

4. 経営陣およびコンプライアンスチームの積極的関与 サイバーセキュリティをガバナンスおよび報告体制に組み込み、経営陣の責任を明確にします。明確な役割分担、監査証跡、文書化を実行し、継続的な改善とセキュリティを重視する企業文化を育成します。

5. インシデント対応および事業継続計画の策定 NIS2のタイムラインに沿った、迅速な検知、報告、復旧のためのワークフローを定義します。ITおよびOTシステムを含め、運用および組織のレジリエンスを維持するために、計画がサプライチェーン全体を網羅していることを確認します。

結論

NIS2は、欧州の産業分野全体におけるサイバーセキュリティの基準を引き上げ、製造業者に対し、組織的および運用上のレジリエンスを強化することを求めています。顧客や製造業者はこれらの要件への対応に課題を抱えていますが、この指令は、サプライチェーンのセキュリティを強化し、経営陣の責任を明確にし、信頼を構築する明確な機会を提供しています。

リアルタイムのデバイス可視化、堅牢なサプライチェーン・リスク管理、セキュリティ・バイ・デザイン（設計段階からのセキュリティ）の原則といったベストプラクティスを採用する企業は、コンプライアンスを達成するだけでなく、セキュリティ意識の高い市場において競争上の優位性を獲得することになるでしょう。

次のステップを踏み出しましょう

コンプライアンスへの道は、可視化と管理から始まります。サイバーセキュリティリスクを管理・保護し、先手を打って対応する体制をチームに整えましょう。

当社のスペシャリストにぜひご相談ください。Cumulocityが、NIS2の要件を満たし、将来を見据えた安全な運用に向けたロードマップを構築する上で、どのように役立つかを一緒に検討しましょう。