ブログ

NIS2: サイバーセキュリティに新たな注目が集まる

バート・サラーエツのサムネイル
バート・サラーエツ
2023年9月29日公開

新しいEU指令により、より多くの企業がより優れたセキュリティ、可視性、制御を必要とするようになる

改訂されたネットワークおよび情報セキュリティ(NIS)指令では、厳格な新しい要件が課され、さらに多くの EU 企業がサイバーセキュリティを真剣に受け止めることが求められます。 

1 年も経たないうちに、NIS2 (新しい指令として知られています) により、さまざまな組織が内部システムを完全に保護し、外部インターフェースが攻撃やデータ盗難に対して脆弱ではないことを保証することが法的に義務付けられることになります。 

同社はリスク管理、報告、回復を重視しており、違反に対する罰金は1,000万ユーロまたは年間世界収益の2%(いずれか高い方)に設定されています。 

しかし、このような罰金は、はるかに大きな経済的氷山の一角に過ぎない可能性がある。

NIS2は前身よりもはるかに幅広い企業グループに適用されるため、その影響はサプライチェーン全体に波及するだろう。 サイバーセキュリティは調達プロセスにおける優先事項となり、どの企業が新規契約を獲得するかを決定する可能性があります。

残念ながら、ほとんどの組織では、特にシステムが複数のクラウド環境にまたがり、多数のスタッフが在宅勤務を続けていることから、新しい指令の多くの要件を管理するための社内スキルがありません。 

NIS2は完全な可視性を必須にする

NIS2 は、従業員数が 50 人以上で、年間売上高が 1,000 万ユーロを超えるあらゆる企業を対象とし、通信、食品、廃棄物管理、デジタル プラットフォーム、公共機関、配送サービスに適用されます。 また、エネルギー、医療、銀行、交通など、元のNISでカバーされている重要なサービスにも大きな影響を与えるでしょう。

NIS2 は EU 加盟国によって導入されるため、影響を受ける企業は、顧客やサプライヤーとのやり取りに使用されるアプリケーションを含むすべての外部インターフェースが保護されていることを確認する必要があります。 

違反が発生した場合、インシデントを認識してから24時間以内に早期警告レポートを提出し、その後72時間以内に初期評価を行い、1か月以内に最終レポートを提出する必要があります。 

したがって、企業にとって、自社のデジタル業務や、顧客、パートナー、サプライヤーとのデジタルインターフェースで何が起こっているかを完全に把握することが不可欠になります。 

理想的な世界では、規制による圧力は実際には必要ないはずです。現在、ほとんどの商業的やり取りはオンラインで行われるため、ビジネスリーダーはすでにそのような可視性を要求しているはずです。 

しかしながら、新しい指令の対象となる多くの中小企業は、必ずしも準拠するために必要なセキュリティ運用センターや関連レポートツールを備えているわけではありません。 さらに、それらのツールを社内で構築および設計するために必要なスキルとリソースを備えている可能性は低いです。   

言うまでもなく、NIS2 の義務を満たすために、簡単に実装できるメカニズムを導入するよう圧力がかかっています。 そして、顧客やパートナーの体験に悪影響を与えることなくそうすること。 

特に、アプリケーション ポートフォリオ全体を管理できる集中コンソールが必要になります。 F5 Distributed Cloud Servicesなどのクラウドベースのアプリケーション セキュリティとアプリケーション配信の提案は、そのニーズを満たすことができます。

大規模な組織にとっても、決して簡単なことではありません。 セキュリティに対する規制の強化によってもたらされる最大の課題の 1 つは、複数のクラウドと社内データ センターにまたがるデジタル インフラストラクチャのセキュリティ保護と監視の複雑さが増していることです。

現在、多くの企業がアプリケーションとその構成要素であるマイクロサービスを複数の環境にまたがって実行しています。 アプリのフロントエンドはパブリック クラウドで実行されている可能性がありますが、バックエンドは社内データ センターにある可能性があります。 同時に、従業員は自宅やコワーキングスペースなど、さまざまな場所からシステムやアプリにログインするケースが増えています。  

ますます複雑化するデジタル環境を NIS2 に適した方法で保護するために、多くの企業は、複数の異なるクラウド、コンピューティング、およびネットワーク環境にまたがるマネージド サービスを必要とします。 繰り返しになりますが、F5 にはその専門知識があります。 

時計の針は刻々と進んでいますが、行動を起こす時間はまだ残っています。

EU加盟国は、2024年10月18日までに新しい指令を国内法に組み込む必要があるため、影響を受けるすべての組織は、罰金、そしてさらに重要なことに、コンプライアンス違反に関連する評判の失墜を回避するのに十分なセキュリティと監視機能を確保するための競争が始まっています。 

幸いなことに、この新しい規制環境で成功するために必要なテクノロジーは準備ができています。 

F5 がどのようにして顧客の NIS2 準拠を支援しているかについては、今後のブログ投稿で詳しく説明します。 乞うご期待!