メインコンテンツにスキップ ナビゲーションにスキップ フッターにスキップ
期間限定:デザインパートナープログラム。BUSINESSプランはずっと無料

無料ダウンロード · 24ページ · A4 PDF

NIS2指令を学ぶ:CISOとコンプライアンス担当者のための要約

Rediacc(指令2022/2555)の24ページ完全要約。対象範囲、第21条の10項目対策、第23条の報告期限(24時間/72時間/1か月)、対象分野、罰則額、10ステップの実践的ロードマップをカバーしています。Rediaccによる非公式要約です。

PDFをダウンロード ブラウザで開く

本要約は非公式です。法的拘束力を持つ解釈はOJ L 333/80(27.12.2022参照)の公式テキストをご確認ください。

PDFの内容

19セクション構成。73ページの前文や条文に埋もれるのではなく、CISOやコンプライアンス担当者が指令の本質を素早く掴めるよう設計されています。

  1. エグゼクティブサマリー
  2. 目的と法的根拠
  3. NIS1からNIS2へ:新しい規制が必要な理由
  4. 適用範囲と除外分野
  5. 主要な定義
  6. エンティティ分類:必須エンティティと重要エンティティ
  7. 対象分野(附属書I・II)
  8. 加盟国の義務
  9. サイバーセキュリティリスク管理措置(第21条)
  10. インシデント報告義務(第23条)
  11. サプライチェーンセキュリティ
  12. 経営機関の責任
  13. EUレベルの協力体制
  14. 監督と執行
  15. 行政罰則
  16. 実装タイムラインと移行
  17. EU域外企業への影響
  18. 実践的コンプライアンスロードマップ(10ステップ)
  19. まとめと評価

3つのコンパニオンガイド

PDFで指令の全体像を把握し、コンパニオンガイドで、対象者ごとに義務を調達・運用上の判断に落とし込みます。

第21条(2)(d):ベンダー選定の新しい基準

ソフトウェアがベンダーのクラウドではなく自社サーバーで動く場合、サードパーティベンダーリストが減る理由を解説。2026年にベンダー契約を見直すCISOと調達担当者向けです。

ガイドを読む →

継続的有効性:演技ではなく現実へ

第21条(2)(e)(f)と第23条を組み合わせて読む。週次訓練を現実的にする定時フォークと、フォレンジック品質のログなしでは間に合わない第23条の報告期限。SREとOpsリード向けの実践ガイド。

ガイドを読む →

最初のNIS2監査で買い手が語ったこと

中堅の重要エンティティが静かに組み上げている5ツール体制。セルフホスト型コントロールプレーンで削減できるツールと、どちらにせよ残るコスト項目を解説。更新期を迎えるCFOと購買担当者向けです。

ガイドを読む →

よくある質問

これは指令の公式翻訳ですか?

いいえ。指令の構造と義務をわかりやすくするための非公式な要約です。法的拘束力を持つ解釈については、OJ L 333/80(2022年12月27日)またはEUR-Lex(CELEX 32022L2555)の公式テキストをご参照ください。加盟国の国内法転換により、指令よりも厳格な義務が課される場合もあります。

NIS2の対象となるのはどのような組織ですか?

附属書IまたはII分野で、中堅企業の基準(推奨2003/361/EC)を満たすエンティティです。つまり従業員50名以上、または年間売上1,000万ユーロ以上。TLDレジストリ、DNSプロバイダー、トラストサービスプロバイダー、中央行政機関など一部のエンティティは規模を問わず対象です。詳細はPDFのセクション4、6、7をご覧ください。

NIS2はいつ発効し、転換期限はいつですか?

指令は2023年1月16日に発効しました。加盟国は2024年10月17日までに国内法に転換し、2024年10月18日から適用開始(同日NIS1廃止)。委員会へのエンティティリスト提出期限は2025年4月17日です。詳細と見直しスケジュールはセクション16に記載。多くの組織が既にこのタイムラインのかなりの部分を過ぎていることに気づいていません。

最大罰則額はいくらですか?

必須エンティティの場合、1,000万ユーロまたは世界年間売上高の2%のいずれか高い方。重要エンティティの場合、700万ユーロまたは世界年間売上高の1.4%のいずれか高い方。罰則以外の措置も可能です。最終手段として、規制当局は必須エンティティの上級管理職の職務停止を命じることができます。罰則決定の要素についてはセクション15をご参照ください。

NIS2はEU域外の企業にも適用されますか?

はい。2つの方法で適用されます。直接:EU域外のDNS、クラウド、データセンター、CDN、MSP/MSSP、オンラインマーケットプレイス、検索、ソーシャルネットワークプロバイダーがEU内でサービスを提供する場合、EU代理人の選任と遵守が必要です。間接:EU域外のサプライヤーがEUの重要エンティティに製品やサービスを提供する場合、第21条(2)(d)に基づくサプライチェーンセキュリティ契約要件の対象となります。詳細はセクション17をご覧ください。

第23条のインシデント報告はどのように機能しますか?

重大インシデントの「発覚時点」から3つの期限が発生します。24時間以内に早期警告、72時間以内に完全な通知、1か月以内に最終報告。重大なサイバー脅威が発生する可能性が高い場合は、サービス受益者への通知も遅滞なく行う必要があります。完全な報告マトリックスはセクション10に記載されています。

本要約について

Rediaccはエストニア登録のセルフホスト型インフラストラクチャプラットフォーム(OÜ 17363830、VAT EE102920091)です。本要約はNIS2コンテンツプログラムの一環として作成されました。上記のコンパニオンガイドでは、指令の各条項にRediaccがどのように対応しているか、そしてRediaccが現在対応していない領域(認証未対応、GRCレイヤーなし、第23条報告管理なし、ポータル専用MFA)について説明しています。公開されている機能マッピングはドキュメントのNIS2 and DORAをご確認ください。

ベンダー質問票または昨年の予算における最大3つのセキュリティ項目をお送りください。当社の運用環境に基づき、不足点を含めて書面でご回答します。またはPDFをダウンロードして同僚にお転送ください。

PDFをダウンロード