コンプライアンス · NIS2

NIS2指令への対応をSecomeaが支援する

EU NIS2指令が製造業・重要インフラに求めるサイバーセキュリティ要件。主要事業体・重要事業体の区分、第21条の10対策、10ステップロードマップ、Secomeaの機能マッピングまで解説します。

個別相談 『NIS2コンプライアンスの完全対応ガイド』の公開通知を受け取る

規制の概要

NIS2指令とは

NIS2(Network and Information Security Directive 2)は、EUのサイバーセキュリティに関する指令です。エネルギー・交通・製造業・デジタルインフラ等の重要分野を対象に、セキュリティリスク管理・インシデント報告・サプライチェーンセキュリティ等の要件を定めています。

2024年10月にEU加盟国での国内法化が義務付けられ、違反した場合は売上高の一定割合に相当する制裁金が科される可能性があります。

日本企業への影響

EU域内に拠点を持つ日本企業や、EU企業のサプライチェーンに参加している企業は影響を受ける可能性があります。EU域内事業の有無に関わらず、サプライチェーン要件を通じて間接的に影響を受けるケースも増えています。また、日本でも同様の規制強化の動きがあります。

NIS2の主な対象分野

エネルギー(電力・ガス・石油)
交通(航空・鉄道・道路・海運)
銀行・金融インフラ
医療・医薬品
デジタルインフラ・クラウド
製造業(医療機器・電子機器・機械等)
食品・水道・宇宙

適用対象の判定

自社はNIS2の対象か──主要事業体と重要事業体の区分

NIS2指令の適用対象となるのは、附属書I(高度に重要なセクター)または附属書II(その他の重要なセクター)に属し、かつ規模要件(従業員50人以上、または年間売上高1,000万ユーロ超)を満たす企業です。

附属書I(高度に重要)→ 主要事業体
  • エネルギー
  • 輸送
  • 銀行
  • 金融市場インフラ
  • 医療
  • 飲料水・下水
  • デジタルインフラ
  • ICTサービスマネジメント
  • 公共サービス
  • 宇宙
附属書II(その他の重要)→ 重要事業体
  • 郵便・宅配
  • 廃棄物管理
  • 化学品製造
  • 食品の製造・加工・流通
  • 製造(医療機器・電子機器・電気機器・機械装置・自動車・輸送機器)
  • デジタルプロバイダー
  • 研究機関

製造業の多くは「重要事業体」に該当します。主要事業体・重要事業体ともに同じサイバーセキュリティ要件の遵守が義務付けられていますが、監督体制と罰金に違いがあります。

事業体区分 監督 罰金上限
主要事業体 予防的・抜き打ち監査 最大1,000万ユーロまたは全世界年間売上高の2%
重要事業体 インシデント発生後の事後監査 最大700万ユーロまたは売上高の1.4%
Secomeaのアプローチ

Secomeaは、世界8,000社以上の製造業・機械メーカーで採用されているOT専用のセキュアリモートアクセスソリューションです。重要事業体に分類される製造業企業が、リモートアクセスに関わるNIS2要件を体系的に満たすための基盤を提供します。

Secomea Primeの詳細を見る 選ばれる理由

要件の全体像

NIS2が企業に課す3つの重点分野

NIS2指令が企業に求める要件は、大きく3つの重点分野に整理できます。

経営陣の関与・責任・教育

サイバーセキュリティリスク管理対策の承認は、経営陣の法的責任とされています。経営陣はこれらの対策の実施を監督する責任を負い、コンプライアンス違反があった場合には個人として法的責任を問われる可能性があります。所管当局は、違反が認められた場合、CEOやその他の法的代表者に対して経営上の職務遂行を一時的に禁止することができます。

加えて、経営陣にはサイバーセキュリティ研修の受講が義務付けられ、従業員にも同様の研修を定期的に提供することが推奨されています。

サイバーインシデント予防のための技術・運用・組織的対策

第21条に基づき、企業はリスクを管理し、サービス利用者への影響を防止または最小限に抑えるための適切かつ均衡の取れた対策を講じる必要があります。

  • 技術的対策:ファイアウォール、暗号技術、多要素認証、セキュアリモートアクセス等
  • 運用的対策:リスク管理・分析・軽減、危機管理、インシデント対応プロセス
  • 組織的対策:従業員研修、サイバーハイジーンの実践、セキュリティ文化の醸成

これらは「オールハザード・アプローチ」に基づき、自社のNISセキュリティに影響を及ぼし得るあらゆる想定可能な脅威を考慮して決定する必要があります。

インシデント発生時の報告義務

重大インシデントが発生した場合、企業は自国のCSIRT(コンピュータセキュリティインシデント対応チーム)または所管当局に対し、以下の報告義務を負います。

24時間以内
早期警告: 違法行為や悪意ある行為の可能性、国境を越える影響の有無を明記
72時間以内
インシデント通知: 重大性や影響を含む初期評価
1か月以内
最終報告: 詳細説明、脅威の根本原因、軽減措置、国境を越えた影響等
Secomeaのアプローチ

3つの重点分野すべてにおいて、Secomeaは具体的な貢献を提供します:

  • 経営陣の責任 — 監査ログ・コンプライアンスレポートにより、経営陣が自社のセキュリティ状況を把握・報告できる基盤を提供
  • 技術的対策 — OT環境特化のアクセス制御・暗号化通信・多要素認証・セッション監視を統合提供
  • 報告義務 — 完全なセッション録画・操作ログにより、インシデント発生時の「誰が・いつ・何をしたか」を即座に把握可能
セッション可視性機能 OTゼロトラスト

NIS2 第21条

第21条が求める10のセキュリティ対策

NIS2指令の中核となるのが第21条です。同条はサイバーセキュリティ対策として、少なくとも以下の10要素を含めることを企業に求めています。

リスク分析・セキュリティ方針

情報システムのセキュリティに関するリスク分析および方針の策定

インシデント対応計画

潜在的なインシデントへの対応計画の整備

事業継続計画

バックアップ管理、重大インシデントからの復旧、危機管理を含む

サプライチェーン対策

直接取引先・サービス提供者の固有の脆弱性を考慮したサプライチェーン全体のセキュリティ

システム取得・開発・保守

ネットワーク・情報システムの取得・開発・保守における脆弱性対応と開示を含む対策

有効性評価の方針・手順

サイバーセキュリティリスク管理対策の有効性を評価するための方針および手順

サイバーハイジーン・研修

基本的なサイバーハイジーンの実践およびサイバーセキュリティ研修の実施

暗号技術の利用方針

暗号技術の利用方針および必要に応じて暗号化を適用するための方針と手順

人材・アクセス制御・資産管理

人材に関するセキュリティ、アクセス制御方針、資産管理

MFA・安全な通信

多要素認証または継続的認証、安全な通信、緊急通信システムの整備

これらの対策は「適切かつ均衡の取れた」ものでなければなりません。自社が直面するリスクの程度、企業規模、インシデントの発生可能性・深刻度を考慮して決定する必要があります。

所管当局による監査では、ファイアウォールの有無や特定ツールの導入状況が問われるのではなく、「なぜその対策を選んだか」「対策の有効性を継続的に評価しているか」を示す証拠が重視されます。

Secomeaのアプローチ

Secomeaは、第21条が求める10要素のうち、リモートアクセスとアクセス制御に関わる領域で具体的な技術的対策を提供します。特に貢献度が高い領域:

  • 要素④ サプライチェーン対策 — ベンダーアクセスの承認制・時間制限・装置単位の制御
  • 要素⑨ アクセス制御・資産管理 — ロールベース権限管理・アクセス申請の承認フロー
  • 要素⑩ MFA・安全な通信 — 2FA/MFA・SMS認証・SSO(Microsoft Entra ID/Okta)
ベンダーアクセス管理ソリューション 統合アクセス管理

実践ロードマップ

NIS2対応を進める10のステップ

NIS2コンプライアンスを段階的に達成するための実践的なステップです。詳細な実装手順とテンプレートはホワイトペーパー「NIS2コンプライアンスの完全対応ガイド」で詳述しています。

# ステップ 概要
1 適用範囲の確認 自社がNIS2の対象か、主要事業体・重要事業体のいずれかを確認
2 資産の棚卸 IT/OT環境の全体像把握、システム・所在・アクセス権・保護状況の文書化
3 リスク評価 自社固有のリスク特定、脅威モデリング、ダウンタイム許容度の検討、サプライチェーンを含む包括的評価
4 予防的対策の実装 IT・OT資産の保護、暗号化、アクセス制御、多要素認証等。対策の選定理由を文書化
5 インシデント対応・事業継続計画 影響分析、復旧優先順位の設定、部門横断的な指揮系統の構築
6 報告体制の整備 24時間・72時間・1か月の各通知を実行するための手順を整備
7 従業員研修の実施 リスク特定、脅威検知、資産保護、インシデント対応に関する役割別研修
8 対応体制の検証 模擬訓練による計画の有効性と従業員対応力の確認
9 継続的な見直し 年1回以上のテスト実施、教訓の反映、システム変更時の計画更新
10 包括的な文書化 リスク分析、セキュリティ方針、各種計画、管理策・手順の文書化と適切な保管

経営陣の承認・関与は、各ステップを通じて必須要件となります。リスク評価の承認、サイバーセキュリティ予算の確保、対策の最終決定は、経営陣の責任のもとに行われる必要があります。

Secomeaのアプローチ

Secomeaは特にステップ4(予防的対策)、ステップ5(インシデント対応)、ステップ10(文書化)において、OT環境に特化した機能群を提供します。

  • ステップ4:予防的対策 — アクセス制御・MFA・暗号化通信を統合した基盤
  • ステップ5:インシデント対応 — 機器のネットワーク遮断機能でマルウェア拡散を即座に阻止
  • ステップ10:文書化 — 監査ログ・セッション録画が「何を実施したか」の証拠として機能
Secomea Primeの全機能を見る VPNとの違いを見る

Secomeaの支援

NIS2要件に対するSecomeaの機能マッピング

NIS2指令の具体的な要件に対応するSecomeaの機能を整理しています。

NIS2要件 対応を支援するSecomeaの機能
アクセス制御ポリシーおよび資産管理
  • ・ネットワーク管理と社内ポリシーに沿ったカスタマイズ
  • ・アプライアンスへのアクセス管理
  • ・ユーザーアクセス管理
  • ・ユーザーおよび資産の制御
  • ・アクセス申請の管理(Request for Access)
多要素認証
  • ・2FA & MFA
  • ・SMS認証
  • ・シングルサインオン(SSO):Microsoft Entra ID(旧 Azure AD)、Okta
インシデント対応と事業継続
  • ・監査ログ
  • ・アラート、イベント、SMS/メール警報、自動アクション
  • ・Data Collection Module
  • ・セキュアファイル転送
  • ・Vulnerability Hub

サプライチェーンセキュリティへの貢献

NIS2指令はサプライチェーン全体のセキュリティ確保を要件としています。Secomeaは2つの側面から貢献します:

1

自社が「セキュアなサプライヤー」として貢献する — Secomea自身が第三者認証によって裏付けられたリスク管理・サイバーセキュリティ体制を運用

2

Secomeaを利用する他サプライヤーのセキュリティを保証する — 世界8,000社以上の製造業企業・機械メーカーがSecomeaを採用しているため、リモートアクセスプロセスのセキュリティ評価における信頼性が高く、リスク評価時間の短縮にもつながる

Secomeaのアプローチ

マッピング表に示した機能はすべて、Secomea Primeプラットフォームで標準提供されています。自社のNIS2対応状況を診断し、不足要件をSecomeaで補完する具体的な検討を進めるには、お問い合わせください。

Secomea Primeの詳細を見る 30分の無料相談を予約

Secomea自身の取り組み

信頼の構築──Secomea自身のセキュリティへのコミットメント

NIS2指令はサプライチェーンを構成する事業者の信頼性も評価対象とします。Secomeaは、製品開発の各段階で厳格なサイバーセキュリティ基準を順守し、以下の第三者認証・取り組みでこれを裏付けています。

IEC 62443-4-1認証

セキュアな製品開発ライフサイクル(産業オートメーションおよび制御システム向け国際標準)

IEC 62443-3-3認証

システムセキュリティ要件(同上)

ISAE 3402認証

内部統制の有効性に関する独立した監査人による証明

CVE番号割り当て機関(CNA)認定

デンマーク初・現在も同国唯一のCNA認定OTサプライヤー。自社製品の脆弱性管理プロセスの透明性を裏付け

これらの認証・取り組みは、Secomeaを採用する企業のNIS2対応におけるサプライチェーンセキュリティ要件(第21条④)の充足にも貢献します。

Secomeaのアプローチ

Secomeaを採用することは、自社のNIS2対応だけでなく、サプライチェーン全体のセキュリティ評価における信頼性向上にもつながります。

IEC 62443とNIS2の関係

よくある質問

NIS2指令とは何ですか?
EU(欧州連合)のネットワーク・情報セキュリティに関する指令の第2版です。重要インフラ・製造業等を対象に、サイバーセキュリティリスク管理・インシデント報告・サプライチェーンセキュリティ等の要件を定めています。2024年10月にEU加盟国での国内法化が義務付けられました。
NIS2は日本企業にも適用されますか?
NIS2はEU域内で事業を行う企業に適用されます。日本企業でもEUに拠点を持つ場合や、EU企業のサプライチェーンに参加している場合は影響を受ける可能性があります。EU域内事業の有無に関わらず、サプライチェーン要件を通じて影響を受ける可能性があります。また、日本でも同様の規制強化の動きがあり、参考となる規制フレームワークです。
SecomeaはNIS2準拠を保証しますか?
Secomeaはアクセス管理・監査証跡・インシデント対応・サプライチェーンセキュリティの観点でNIS2の要件を支援します。ただし、NIS2準拠はシステム全体の設計・運用・組織的な取り組みを含む包括的な対応が必要であり、Secomeaはその基盤として機能します。
製造業の中小企業もNIS2の対象になりますか?
附属書II(その他の重要なセクター)に該当する製造業(医療機器・電子製品・電気機器・機械装置・自動車等)の企業のうち、従業員50人以上または年間売上高1,000万ユーロ超の中規模以上の企業が原則として対象となります。50人未満かつ1,000万ユーロ未満の小規模企業は規模要件を満たしませんが、加盟国の判断により対象に追加される場合や、サプライチェーン要件を通じて間接的に影響を受ける可能性があります。
NIS2違反の罰金はどのくらいですか?
主要事業体は最大1,000万ユーロまたは全世界年間売上高の2%、重要事業体は最大700万ユーロまたは売上高の1.4%が上限となります。加えて、所管当局は違反が認められたCEOやその他の法的代表者に対し、経営上の職務遂行を一時的に禁止することができます。
IEC 62443とNIS2は何が違いますか?
IEC 62443は産業用制御システム(OT/ICS)に特化した国際標準規格であり、技術的なセキュリティ要件を定義します。NIS2はEUの法的規制であり、企業に対してリスク管理・インシデント報告・サプライチェーンセキュリティ等の義務を課します。IEC 62443への準拠は、NIS2が求める技術的対策の証拠として活用できます。
ホワイトペーパー「NIS2コンプライアンスの完全対応ガイド」はいつ公開されますか?
NIS2対応の詳細な実践マニュアル(全47ページ)を準備中です。公開時にこのページでお知らせするとともに、事前登録いただいた方には個別にご案内します。

NIS2コンプライアンスの完全対応ガイド

製造業者・機械メーカーのための実践マニュアル

本ガイドの内容(全47ページ)

  • ・NIS指令からNIS2への変遷
  • ・主要事業体・重要事業体の区分(詳細表)
  • ・経営陣の責任とリーダーシップ
  • ・第21条10対策の詳細解説
  • ・24時間・72時間・1か月の報告義務対応手順
  • ・10ステップ実践ロードマップ
  • ・監査対策のベストプラクティス
  • ・Secomea機能マッピング詳細

近日公開予定

公開通知をご希望の方は、お問い合わせよりご連絡ください。

公開通知を受け取る 既存資料も見る

関連ページ

コンプライアンス

IEC 62443規制対応

IEC 62443準拠の証明・監査対応アプローチ

詳しく見る
セキュリティ

OTゼロトラスト

NIS2が求めるアクセス制御をゼロトラストで実現

詳しく見る
セキュリティ

セッション可視性

NIS2のインシデント対応・監査証跡を実現

詳しく見る
ホワイトペーパー

産業リモートアクセス現状2026

OTリモートアクセスのガバナンスと規制影響を解説

詳しく見る

NIS2対応について30分で相談する

自社のNIS2対応状況の確認と、Secomeaによる支援アプローチをご提案します。

個別相談 コンプライアンス概要を見る