NIS –セキュリティシステムは最新の指令に準拠していますか?

By | 02月 9日, 2024 | サイバーセキュリティ, ニュース&トレンド  0 comments

ネットワークと情報(NIS)の指令と、それがビジネスにとって何を意味するかを知っている方は、手を挙げてください。よく分からないですか?大丈夫、皆さんひとりだけではありません。NIS指令は、加盟国全体でサイバーセキュリティの全体的なレベルを高めるために設計されたEU全体の法律の最初の部分であり、EUの一般データ保護規則(GDPR)がスタートする数週間前に施行されました。

GDPRは、主に消費者の権利とオンラインプライバシーの理解により、はるかに高いレベルのメディア露出がありましたが、NIS指令は実際にはGDPRよりも重要であると言っていいほどです。NIS指令は、エネルギー、輸送、金融、デジタルインフラストラクチャなどの重要なインフラストラクチャサービスに対応していますエッセンシャルサービスのオペレーター(OES)またはデジタルサービスプロバイダー(DSP)として分類されるビジネスはすべて、この指令へのコンプライアンスを確保する必要があります。

この指令は、GDPRと同様に、コンプライアンス違反に対して相当な金銭的な罰則を科しています。たとえば、英国では、準拠していない企業には最大1700万ポンドあるいは世界売上高の4%分の金額が罰金として科される可能性があります。この指令の施行は、GDPRの施行よりもはるかに厳しくなるとも報告されています。これらの罰金は事業を衰弱させる可能性があるため、関連企業がその要件を満たすためにデューデリジェンス、つまりしかるべき正当な注意義務を果たす努力を行うことが不可欠です。

主なNIS指令のコンプライアンス要件

多くの場合、新しい法律は企業にとって多くの仕事が発生することを意味しますが、この指令に関して、そうしたことが起こるのは歓迎されるべきと言えます。2018年6月の壊滅的なNotPetyaサイバー攻撃をはじめとする洗練されたサイバー攻撃の数は増え続けており、巨大企業のMaersk社の件では復旧するのに3億ドルもの費用がかかりました。この攻撃により、同社は世界中の76カ所の海運ターミナルで業務を停止せざるを得なくなりました。NIS指令は、企業がネットワークやデータをそのような多数の脅威から保護するために、最も安全でスマートなセキュリティソリューションを確実に導入できるようにしています。

NIS指令に準拠するために、企業は多くの技術的および組織的な要件を満たす必要があります。技術的な要件は次のとおりです。

  • 資産の理解と未知のデバイスを識別するメカニズム
  • 成熟した脆弱性管理プログラム
  • 検出、識別、およびレポート機能を含む、成熟した脅威検出システム
  • 検出後72時間以内にインシデントを記録および報告するシステムを含む、効果的なインシデント報告メカニズム
  • 成熟したインシデント管理
  • 対応および復旧計画

組織的な要件は次のとおりです。

  • ネットワークおよび情報システムのセキュリティへのアプローチを管理するための適切な管理ポリシーとプロセス
  • リスク管理への組織的アプローチ
  • サプライチェーン全体のセキュリティリスクの理解と管理
  • ネットワークおよび情報システムのセキュリティに関する適切なスタッフトレーニングと認識

適切な技術ベンダーを選択する方法

現在では、あるビジネスの強さはその最も弱い箇所が基準となってしまうことは明らかです。最近のサイバー攻撃の多くが実証しているように、インターネットに接続されたデバイスに1つの小さな欠陥があれば、ネットワーク全体がダウンしてしまいます。NIS指令へのコンプライアンスを確保するには最新のセキュリティ制御を組み込んだ多層的なサイバー防御戦略が必要になるのは、このためです。つまり、適切な専門知識を持つベンダーを選択することが重要です。

新しいパートナーを検討する際、その企業は資産を追跡できるデバイスインベントリがあるかどうかを確認する必要があります。脆弱性を管理するポリシーがあるかどうか、そしてその企業とどのようにしてコミュニケーションを行うか、ということですまた、Cyber​​ Essentialsなど、業界で認められた認定を取得しているということも確認してみましょう。さらに、そうした企業は自分のサプライチェーンを管理し、適切なトレーニングを提供しているか?ということも知っておく必要があります。サプライヤーだけではNIS指令に準拠した体制を作ることはできませんが、セキュリティを考慮せずに開発および展開された技術を使用するとネットワークの整合性が損なわれる可能性があることを考えると、こうした取り組みは重要です。

適切なパートナーは、規制要件を満たすだけでなく、ビジネスを安全かつスマートに運営するのに役立つ最先端の技術ソリューションも提供します。

安全性を維持することに専念している当社の詳細をご覧ください。

サイバーセキュリティと3階層の保護

Tags: