NIS2コンプライアンスフレームワーク: 実施のためのステップ

制御技術(OT)の欧州市場は年率7%で成長しており、2028年には90億米ドルの規模になると予想されています^[1]。

ヨーロッパ全土で、インフラの製造メーカと事業者は、接続されたデバイスとサービスに投資しています。このように工場現場にネットワーク化されたインテリジェンスを導入することで、1平方メートル当たり1日当たり1ドル余分に相当する生産性を向上させることができます^[2]。

今こそその投資を保護する時であり、その必要性はますます高まっています。2022年12月に、EU委員会は、通称NIS2として知られるネットワーク･情報システム指令の改訂版を発表しました。

貴社のサイバーセキュリティ態勢はNIS2に対応していますか?

貴社の施設がすでに2016年のオリジナルのNIS指令の対象となり、それに準拠していたとしても、NIS2にはいくつかの重要な変更が導入されるため、注意を払う必要があります。

NIS2の新機能にはどのようなものがあるでしょうか。NIS2では特に以下の点が新しくなりました。

• この指令は、水、廃棄物管理、重要な製造業など、当初のNIS指令では対象外だった新しい分野にも適用される。
• NIS2に該当する事業者は、自社のサイバーセキュリティ態勢をリスク分析した上で、セキュリティプロセスとインシデント処理手順を策定し、文書化しなければならない。
• サプライチェーンも対象となったため、影響を受ける事業者はサプライチェーンのセキュリティを評価し、適切なリスク管理策を策定しなければならない。
• インシデント通知のルールはより厳しくなった。事業体は、ITまたはOTネットワークに影響を及ぼす悪意のある行為が疑われる場合、24時間以内に当局に通知しなければならない^[3]。

これらの新規則は、2024年10月17日までに各EU加盟国によって国内法に移管されます。EU全域の議会が、NIS2を発効させるための新しい法律の制定に取り組んでいます。

工場や主要なインフラを運営している場合、自社のサイバーセキュリティ態勢がこれらの変化に対応できているかどうかを自問する必要があります。

OTネットワークのセキュリティは複雑です。平均的な工場やインフラには、何千ものセンサやデバイスが接続されている可能性があります。多くの場合、これらは古く、パッチが適用されていなかったり、サイバーセキュリティを考慮して設計されていない可能性があります。

また、これらの接続されたデバイスは文書化されていないため、定期的なメンテナンスやセキュリティ更新の対象外になっていることもあります。このため、組織は二重の脆弱性を抱えることになります。NISに準拠できないだけでなく、この事実を知らない可能性があります。

このような問題を解決することは、不作為がもたらす結果を考えれば、さらに緊急性を増します。NIS2の下では、経営陣はデータ漏洩に対して個人的に責任を負うことになります。また、企業自体には最高1,000万ユーロまたは全世界の年間売上高の2%の罰金が科される可能性があります^[4]。
 

NIS2準拠のために今すぐ行動を起こす方法

では、複雑で異種が混在していることが多く、文書化されていないこともあるOTネットワークを運用している企業は、どのようにすれば、来るべきサイバーセキュリティ指令へのコンプライアンスを迅速に開始できるのでしょうか。それは困難な問題ですが、ロックウェル･オートメーションはその答えで企業を支援することができます。今準備することで、よりスムーズな移行と規制要件の遵守が可能になります。

その答えは、技術的なスキル、プロセス、ポリシー、手順に関する知識を持ち、今すぐOTネットワークを規格に適合させることができる外部パートナと協力することです。

NIS2への準拠を目指す企業は、次のような重要なステップを踏まなければなりません。

1. 現在のオペレーションを監査し、ITおよびOTネットワーク全体で現在使用されているデバイス、手順、テクノロジを発見します。
2. 監査の結果を使用してギャップ分析を行ない、NIS2準拠のためにITおよびOTネットワークを強化し、アップグレードする必要がある箇所を特定します。
3. NIST SP 800-82やIEC 62443などの確立されたサイバーセキュリティフレームワークと関連する専門知識を活用して、カスタマイズされたNIS2コンプライアンスフレームワークを作成します。
4. 専門エンジニア、プロセス専門家、コンサルタントと協力して、フレームワークを実装し、組織をNIS2に対応させます。
5. 手順、モニタ、リスク･危機管理、インシデント対応、最適化、継続的改善のプログラムを実施し、コンプライアンスを維持し、脅威に対して組織が安全であることを確認します。
6. サイバーセキュリティを中心とした文化を醸成してください。強固なサイバーセキュリティ文化を構築することは、コンプライアンスを永続させるために不可欠です。
7. 研修と意識向上プログラムを実施し、あらゆるレベルの従業員を教育して、サイバー脅威を認識し緩和できるようにしてください。

独自のNIS2コンプライアンスフレームワークを開発し、実装するためのステップを今日から始めることができます。ほとんどすべての組織にとって、これを行なう最善の方法は、OTネットワークのサイバーセキュリティとコンプライアンスに関する知識と経験を持ち、NIS2指令を熟知している外部パートナと協力することです。

ロックウェル･オートメーションは、製造業およびインフラプロバイダ向けのサイバーセキュリティのマーケットリーダです。

ロックウェル･オートメーションと連携することで、NIS2対策に必要な技術、専門知識、経験をすぐに利用できます。
 

[1] https://www.databridgemarketresearch.com/reports/europe-operational-technology-market
[2] https://www.wired.com/sponsored/story/ericsson-5g-manufacturing
[3] https://www.rockwellautomation.com/en-us/company/news/blogs/nis2-ot-cybersecurity.html
[4] https://eur-lex.europa.eu/eli/dir/2022/2555#art_34