Skip to content
検索
  • There are no suggestions because the search field is empty.
キャンセル
採用情報

    KnowBe4 ブログ

    各国バラバラ、規制もバラバラ?NIS2の導入実情

    NIS2指令(The Network and Information Systems Directive 2022)は、欧州連合(EU)全体の重要インフラにおけるサイバーセキュリティのレジリエンスを強化するために策定されました。

    Evangelists-Martin Kraemer (1)

    しかし、加盟国には2024年10月までにNIS2を自国の法律に取り入れることが求められていたにもかかわらず、多くの国がこの期限を守ることができませんでした。

    その結果、2024年11月28日に欧州委員会は義務を果たさなかった23の加盟国に対して、違反手続を開始しました。

    NIS2は、エネルギー、医療、デジタルサービスなどの重要分野におけるサイバーレジリエンスを高めることを目的とした、10項目のセキュリティ対策を導入しています。これらには、サイバーリスクマネジメント、サプライチェーンのセキュリティ、そしてトレーニングと教育の義務化などが含まれます。しかし、導入の進捗状況にはばらつきがあり、規制の不透明さを生み出し、多くの組織が複雑で断片化されたコンプライアンスの状況に直面しています。

    EU加盟国におけるNIS2の実装状況:理想と現実のギャップ

    2024年10月の移行期限が過ぎると、NIS2の自国法への取り込み方には各国で大きな違いがあることが明らかになりました。ベルギー、クロアチア、ハンガリー、イタリア、ラトビア、リトアニアなど一部の国では指令がすでに取り込まれ、コンプライアンス措置の施行準備が整っていました。一方で、フランス、デンマーク、オランダは導入の遅延を発表し、実施を2025年初頭に延期をしました。ドイツでは、2024年7月に連邦政府がNIS2法案を承認したものの、議会での承認が停滞し、施行は2025年3月にずれ込む見込みです。

    また、実施時期だけでなく、指令の解釈にもばらつきがあります。例えば、フランスは地方自治体を適用対象に含めている一方で、ドイツは含めていません。こうした違いにより、欧州全域で事業を展開する企業は、統一されたサイバーセキュリティフレームワークではなく、国ごとに異なる規制に準拠する必要に迫られています。

    このような規制の断片化は、当初、多くの組織が抱いていた理想とは対照的です。2024年6月時点では、企業の8割がNIS2要件に対応できると考えていましたが、実際に準拠していたのはわずか14%でした。多くの組織が、各国の立法の遅れによって準備期間が延びると想定していましたが、根本的な課題は解消されませんでした。実際、53%の組織が指令の要件の理解に対する自信がないと回答しています。また、49%の組織は経営層のサポートが不十分であると回答しています。IT部門が技術的に準備できていたとしても、経営層の理解と関与がなければ、組織全体としての対応は進みません。

    そして2025年1月時点で、多くの組織が抱いていた懸念が現実となりました。16カ国ではまだ自国の法整備手続きが続いており、2カ国では草案すら公表されていない状況です。当初期待されていた規制の統一性は達成されず、多くの組織が対応戦略を固めきれずにいます。初期の理想と現状のギャップが一層明確になりました。

    ギャップを埋めるために:組織が取るべき対策とは

    各国の法整備が遅れているとはいえ、組織がNIS2準拠に向けて受け身の姿勢をとる余裕はありません。加盟国が指令を国内法に移行する際に直面している課題は、企業にとっての警鐘となるべきです。規制の明確化を待つのではなく、自社のサイバーセキュリティ体制を主体的に整備する必要があります。

    重要な課題のひとつは、企業経営層の関与の欠如です。多くの組織がNIS2の要件を正しく理解できておらず、経営陣の関与がないままでは、予算も確保できず、対策は後回しになってしまいます。サイバーセキュリティはもはやIT部門だけの問題ではなく、経営者個人がコンプライアンスに対して責任を問われる領域となっています。組織は、経営層がリスクマネジメントに積極的に関与する”セキュリティファーストの文化”を育む必要があります。

    準備には積極的な姿勢が不可欠です。ISO27001のような国際的に認知されたサイバーセキュリティ規格の導入は、準拠体制の基盤として有効です。また、自社の重要な脆弱性を洗い出すリスクアセスメントを実施し、それに基づいた対策を講じることも不可欠です。また、従業員トレーニングは、最も重要な要素のひとつです。人為的ミスは攻撃の主要な入り口であるため、継続的な教育への投資によってレジリエンスを高める必要があります。

    NIS2は単なるコンプライアンスの要件にとどまらず、組織にとっての警鐘でもあります。特に重要インフラ分野の企業は、この猶予期間を活用して、自社のセキュリティ態勢を強化すべきです。国家、ハクティビスト、サイバー犯罪者などによる脅威が高まる中で、サイバーセキュリティを優先することは、罰則を回避するためだけでなく、事業継続や顧客の保護、そして長期的な企業の存続を確保するためにも欠かせません。

     

    原典:Martin Kraemer著 2025年4月1日発信 https://blog.knowbe4.com/the-state-of-nis2-a-fragmented-implementation-across-the-eu

    Topics: フィッシング, KnowBe4 SATブログ, セキュリティ文化

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews