« 米国 Get Cyber Smart 学生、教師、保護者向けの無料の教育リソース | Main | ノルウェー 未来のデジタル化戦略 (2024.11.04) »

2024.11.10

ENISA 意見募集 NIS2実施法のサイバーセキュリティ対策のためのENISA技術ガイダンス

こんにちは、丸山満彦です。

NIS2指令が2022年12月27日にEU官報に公表され、2023年1月16日に発行され、2024年10月までに各国の国内法に置き換えられました。SaaS事業者等への実施規則案も2024.10.17に公表され、意見募集がされています。

で、その実施規則案への技術ガイダンス案が公表され意見募集がされています。。。

● ENISA

プレス...

・2024.11.07 Asking for your feedback: ENISA technical guidance for the cybersecurity measures of the NIS2 Implementing Act

Asking for your feedback: ENISA technical guidance for the cybersecurity measures of the NIS2 Implementing Act ご意見をお聞かせください: NIS2実施法のサイバーセキュリティ対策のためのENISA技術ガイダンス
We are inviting industry stakeholders to provide comments on the technical guidance for the NIS2 implementing act on cybersecurity measures for critical entities in the digital infrastructure sector. デジタルインフラ分野の重要事業体のサイバーセキュリティ対策に関するNIS2実施法の技術ガイダンスについて、業界関係者からのご意見を募集している。
ENISA is developing technical guidance to support EU Member States and entities with the implementation of the technical and methodological requirements of the NIS2 cybersecurity risk-management measures outlined in the Commission Implementing Regulation (EU) 2024/2690 of 17.10.2024.   ENISAは、2024年10月17日付の欧州委員会施行規則(EU)2024/2690に概説されているNIS2のサイバーセキュリティリスクマネジメント対策の技術的・方法論的要件の実施をEU加盟国および事業体に支援するための技術ガイダンスを策定している。
ENISA develops this technical guidance to provide:  ENISAは、この技術ガイダンスを作成し、プロバイダに提供する: 
・Additional advice and tips on what to consider when implementing a requirement and further explanation about concepts and terms used in the legal text;   ・要件を実施する際に考慮すべき事項に関する追加的な助言とヒント、および法文で使用されている概念と用語に関する詳細な説明; 
・Examples of evidence, which could be used to asses if a requirement has been met;   ・要件が満たされているかどうかを評価するために使用できる証拠の例; 
・Tables, mapping the security requirements in the Implementing Regulation to European and international standards, as well as national frameworks.  ・実施規則のセキュリティ要件と欧州標準、国際標準、国内枠組みとの対応表。
The draft of the technical guidance is now available for industry consultation through the following link: Implementation guidance on NIS 2 security measures — ENISA  テクニカル・ガイダンスのドラフトは現在、以下のリンクから業界関係者の協議に供されている: NIS 2セキュリティ対策の実施ガイダンス - ENISA
Please send us your feedback latest on 9 December 2024, 18.00 CET. Further instructions on how to provide your feedback can be found here.  遅くとも12月9日18:00(中央ヨーロッパ標準時)までにご意見をお寄せいただきたい。フィードバックの方法については、こちらを参照のこと。
For more information and questions, please email [mail] 詳細およびご質問は、[mail]
Background  背景 
The NIS2 is new EU-wide cybersecurity legislation that EU Member States were required to transpose into their national legislations by 17 October 2024. The NIS2 aims to achieve a high level of cybersecurity in Europe, and has a focus on increasing the resilience of the EU’s critical sectors. ENISA developed a NIS2 explanatory video and several infographicswith everything you want to know about the NIS2, the main concepts and new mechanisms.    NIS2は、EU加盟国が2024年10月17日までに自国の国内法制に移行することを義務付けられた、EU全体のサイバーセキュリティに関する新しい法律である。NIS2は、欧州における高水準のサイバーセキュリティを達成することを目的としており、EUの重要部門のレジリエンスを高めることに重点を置いている。ENISAはNIS2の説明ビデオとインフォグラフィックを作成し、NIS2、主要概念、新メカニズムについて知りたいことをすべて紹介している。
On the 17th of October 2024, the European Commission adopted the implementing rules under the NIS2 Directive, specifying the NIS2 Directive cybersecurity risk-management measures for certain entities from the digital infrastructure, digital providers and ICT service management sectors. More specifically, these implementing rules lay down the technical and the methodological requirements for the following NIS2 subsectors: DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers (CDNs), managed service providers (MSPs), managed security service providers (MSSPs), providers of online market places, of online search engines and social networking services platforms, and trust service providers.  2024年10月17日、欧州委員会はNIS2指令の施行規則を採択し、デジタルインフラ、デジタルプロバイダー、ICTサービスマネジメント分野の特定の事業体に対するNIS2指令のサイバーセキュリティ・リスク管理措置を規定した。具体的には、以下のNIS2サブセクターに対して、技術的および方法論的な要件を定めている: DNSサービス・プロバイダ、TLDネーム・レジストリ、クラウド・コンピューティング・サービス・プロバイダ、データセンター・サービス・プロバイダ、コンテンツ・デリバリー・ネットワーク・プロバイダ(CDN)、マネージド・サービス・プロバイダ(MSP)、マネージド・セキュリティ・サービス・プロバイダ(MSSP)、オンライン・マーケット・プレイス、オンライン検索エンジン、ソーシャル・ネットワーキング・サービス・プラットフォームのプロバイダ、トラスト・サービス・プロバイダである。
This complementary technical guidance was developed by ENISA, in collaboration with the Commission and the EU Member States within the NIS Cooperation group (NIS CG).  この補完的な技術ガイダンスは、欧州委員会およびNIS協力グループ(NIS CG)内のEU加盟国と協力してENISAが作成した。
Further Information  詳細情報 
NIS implementing rules – Commission website  NIS実施規則 - 欧州委員会ウェブサイト
NIS Directive 2 - ENISA website   NIS指令2 - ENISAのウェブサイト
NIS2 Directive full text – Commission website   NIS2指令全文 - 欧州委員会ウェブサイト
NIS Cooperation group website  NIS協力グループのウェブサイト
ENISA infographics material explaining the NIS2    NIS2を説明するENISAのインフォグラフィックス資料

 

ガイドライン案

・2024.11.07 Implementation guidance on NIS 2 security measures - Draft for Consultation

Implementation guidance on NIS 2 security measures - Draft for Consultation NIS 2セキュリティ対策の実施ガイダンス - コンサルテーション用ドラフト
The draft of the technical guidance aiming to support entities in scope of Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 to implement the technical and methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 is now available for industry consultation. 2024年10月17日付の欧州委員会施行規則(EU)2024/2690の適用範囲にある事業体が、指令(EU)2022/2555の第21条(2)で言及されている措置の技術的・方法論的要件を実施するのを支援することを目的とした技術ガイダンスのドラフトが、業界向けに公開されている。

 

・[PDF]

20241109-164622

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY エグゼクティブサマリー 
Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 , with regard to DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, providers of online market places, of online search engines and of social networking services platforms, and trust service providers (the relevant entities) lays down the echnical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555. The technical and methodological requirements are set out in Article 2 and in the Annex of the implementing regulation.  DNSサービス・プロバイダ、TLDネーム・レジストリ、クラウド・コンピューティング・サービス・プロバイダ、データセンター・サービス・プロバイダ、コンテンツ・デリバリー・ネットワーク・プロバイダ、マネージド・サービス・プロバイダ、マネージド・セキュリティ・サービス・プロバイダ、オンライン・マーケット・プレイス、オンライン検索エンジン、ソーシャル・ネットワーキング・サービス・プラットフォームのプロバイダ、およびマネージド・セキュリティ・サービス・プロバイダ(関連事業体)に関する2024年10月17日付の欧州委員会施行規則(EU)2024/2690は、指令(EU)2022/2555の第21条(2)で言及されている措置の技術的要件および方法論的要件を定めている。技術的および方法論的要件は、施行規則の第2条および附属書に規定されている。
This document offers guidance to support relevant entities to implement these technical and methodological requirements. For these requirements, the document contains:  本文書は、関連事業体がこれらの技術的・方法論的要求事項を実施するのを支援するためのガイダンスを提供する。これらの要求事項に関して、本文書は以下を含む: 
 • guidance, i.e., indicative and actionable advice on parameters to consider when implementing a requirement or further explanation to concepts found in the legal text;  ・ガイダンス、すなわち、要求事項を実施する際に考慮すべきパラメータや、法文にある概念につい ての補足説明に関する、示唆的かつ実行可能な助言; 
• examples of evidences, i.e. the types of evidence that a requirement is in place;  ・証拠となる例、すなわち要求事項が実施されていることを示す証拠の種類; 
• extra general tips for additional consideration by the entity, where available; and  ・事業体が追加的に考慮すべき一般的なヒント(利用可能な場合)。
• mapping correlating each requirement to European and international standards and national frameworks.  ・各要件と欧州および国際標準,国内フレームワークとの関連付け。
This guidance was prepared by ENISA, in collaboration with the European Commission and the NIS Cooperation Group. This is a living document because it maps the technical and methodological requirements, referred to in Article 2 and the Annex of the implementing regulation, to international standards as well as to national cybersecurity management frameworks which are both constantly subject to change. Therefore, a review process should be initiated at regular intervals by ENISA in collaboration with the European Commission and the NIS Cooperation Group. 本ガイダンスは、ENISAが欧州委員会およびNIS協力グループと協力して作成した。本ガイダンスは、施行規則第2条および附属書で言及されている技術的・方法論的要件を、国際標準および各国のサイバーセキュリティ管理の枠組みに対応付けたものであり、いずれも常に変化するものであるため、生きた文書である。したがって、ENISAは欧州委員会およびNIS協力グループと協力して、定期的に見直しプロセスを開始すべきである。

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
INTRODUCTION 序文
BACKGROUND 背景
STRUCTURE 構造
TOPIC SPECIFIC POLICIES トピック別方針
1. POLICY ON THE SECURITY OF NETWORK AND INFORMATION 1. ネットワークと情報のセキュリティに関する方針
1.1 POLICY ON THE SECURITY OF NETWORK AND INFORMATION SYSTEMS 1.1 ネットワークと情報システムのセキュリティに関する方針
1.2 ROLES, RESPONSIBILITIES AND AUTHORITIES 1.2 役割、責任、認可
2. RISK MANAGEMENT POLICY 2. リスクマネジメント方針
2.1 RISK MANAGEMENT FRAMEWORK 2.1 リスクマネジメントの枠組み
2.2 COMPLIANCE MONITORING 2.2 コンプライアンス・モニタリング
2.3 INDEPENDENT REVIEW OF INFORMATION AND NETWORK SECURITY 2.3 情報およびネットワークセキュリティの独立したレビュー
3. INCIDENT HANDLING 3. インシデントハンドリング
3.1 INCIDENT HANDLING POLICY 3.1 インシデントハンドリング方針
3.2 MONITORING AND LOGGING 3.2 モニタリングとロギング
3.3 EVENT REPORTING 3.3 イベント報告
3.4 EVENT ASSESSMENT AND CLASSIFICATION 3.4 イベントのアセスメントと分類
3.5 INCIDENT RESPONSE 3.5 インシデント対応
3.6 POST-INCIDENT REVIEWS 3.6 インシデント発生後のレビュー
4. BUSINESS CONTINUITY AND CRISIS MANAGEMENT 4. 事業継続と危機管理
4.1 BUSINESS CONTINUITY AND DISASTER RECOVERY PLAN 4.1 事業継続および災害復旧計画
4.2 BACKUP MANAGEMENT 4.2 バックアップ管理
4.3 CRISIS MANAGEMENT 4.3 危機管理
5. SUPPLY CHAIN SECURITY 5. サプライチェーンセキュリティ
5.1 SUPPLY CHAIN SECURITY POLICY 5.1 サプライチェーンセキュリティ方針
5.2 DIRECTORY OF SUPPLIERS AND SERVICE PROVIDERS 5.2 サプライヤーとサービスプロバイダーのディレクトリ
6. SECURITY IN NETWORK AND INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE 6. ネットワークと情報システムの取得、開発、保守におけるセキュリティ
6.1 SECURITY IN ACQUISITION OF ICT SERVICES, ICT SYSTEMS OR ICT PRODUCTS 6.1 ICTサービス、ICTシステムまたはICT製品の取得におけるセキュリティ
6.2 SECURE DEVELOPMENT LIFE CYCLE 6.2 安全な開発ライフサイクル
6.3 CONFIGURATION MANAGEMENT 6.3 構成管理
6.4 CHANGE MANAGEMENT, REPAIRS AND MAINTENANCE 6.4 変更管理、修理及び保守
6.5 SECURITY TESTING 6.5 セキュリティテスト
6.6 SECURITY PATCH MANAGEMENT 6.6 セキュリティパッチ管理
6.7 NETWORK SECURITY 6.7 ネットワーク・セキュリティ
6.8 NETWORK SEGMENTATION 6.8 ネットワークセグメンテーション
6.9 PROTECTION AGAINST MALICIOUS AND UNAUTHORISED SOFTWARE 6.9 悪意のある未承認ソフトウェアからの防御
6.10 VULNERABILITY HANDLING AND DISCLOSURE 6.10 脆弱性の取り扱いと開示
7. POLICIES AND PROCEDURES TO ASSESS THE EFFECTIVENESS OF CYBERSECURITY RISK-MANAGEMENT MEASURES 7. サイバーセキュリティリスクマネジメント対策の有効性をアセスメントするための方針と手順
8. BASIC CYBER HYGIENE PRACTICES AND SECURITY TRAINING 8. 基本的なサイバー衛生の実践とセキュリティ研修
8.1 AWARENESS RAISING AND BASIC CYBER HYGIENE PRACTICES 8.1 意識向上と基本的なサイバー衛生の実践
8.2 SECURITY TRAINING 8.2 セキュリティ研修
9. CRYPTOGRAPHY 9. 暗号化
10.HUMAN RESOURCES SECURITY 10.人的資源のセキュリティ
10.1 HUMAN RESOURCES SECURITY 10.1 人材セキュリティ
10.2 VERIFICATION OF BACKGROUND 10.2 経歴の検証
10.3 TERMINATION OR CHANGE OF EMPLOYMENT PROCEDURES 10.3 解雇または雇用変更手続き
10.4 DISCIPLINARY PROCESS 10.4 懲戒手続き
11.ACCESS CONTROL 11.アクセス管理
11.1 ACCESS CONTROL POLICY 11.1 アクセス管理方針
11.2 MANAGEMENT OF ACCESS RIGHTS 11.2 アクセス権の管理
11.3 PRIVILEGED ACCOUNTS AND SYSTEM ADMINISTRATION ACCOUNTS 11.3 特権アカウントおよびシステム管理アカウント
11.4 ADMINISTRATION SYSTEMS 11.4 管理システム
11.5 IDENTIFICATION 11.5 識別
11.6 AUTHENTICATION 11.6 認証
11.7 MULTI-FACTOR AUTHENTICATION 11.7 多要素認証
12.ASSET MANAGEMENT 12.資産管理
12.1 ASSET CLASSIFICATION 12.1 資産の分類
12.2 HANDLING OF ASSETS 12.2 資産の取り扱い
12.3 REMOVABLE MEDIA POLICY 12.3 リムーバブルメディアポリシー
12.4 ASSET INVENTORY 12.4 資産目録
12.5 DEPOSIT, RETURN OR DELETION OF ASSETS UPON TERMINATION OF EMPLOYMENT 12.5 終了時の資産の預託、返却または削除
13.ENVIRONMENTAL AND PHYSICAL SECURITY 13.環境および物理的セキュリティ
13.1 SUPPORTING UTILITIES 13.1 ユーティリティのサポート
13.2 PROTECTION AGAINST PHYSICAL AND ENVIRONMENTAL THREATS 13.2 物理的および環境的脅威に対する防御
13.3 PERIMETER AND PHYSICAL ACCESS CONTROL 13.3 周辺および物理的アクセス管理
ANNEX I NATIONAL FRAMEWORKS 附属書 I 国の枠組み
ANNEX II GLOSSARY 附属書 Ⅱ 用語集

 


 

ついでに、NIS2を説明するインフォグラフィックスとビデオ

Understanding the NIS2 Directive: Strengthening Cybersecurity Across the EU

Understanding the NIS2 Directive: Strengthening Cybersecurity Across the EU NIS2指令を理解する: EU全体でサイバーセキュリティを強化する
Network and Information Systems Directive 2 (NIS2) ネットワークと情報システム指令2(NIS2)
The NIS2 Directive is a cornerstone of the European Union's efforts to ensure a high common level of cybersecurity across all member states. As the successor to the original NIS Directive, NIS2 expands the scope, strengthens measures, and introduces new requirements to help protect critical infrastructure, essential services, and key sectors from cyber threats . NIS2指令は、全加盟国に共通する高いレベルのサイバーセキュリティを確保するための欧州連合の取り組みの要である。オリジナルのNIS指令の後継として、NIS2は範囲を拡大し、対策を強化し、重要インフラ、重要サービス、主要セクターをサイバー脅威から守るための新たな要件を導入している。
To support organisations and authorities in complying with NIS2, ENISA has developed comprehensive awareness materials. These resources aim to inform both businesses and competent authorities of the directive's requirements, helping them understand how NIS2 impacts their cybersecurity practices. NIS2に準拠する組織や認可を支援するため、ENISAは包括的な啓発資料を作成した。これらの資料は、企業と所轄当局の双方に指令の要件を認可し、NIS2がサイバーセキュリティの実践にどのような影響を与えるかを理解することを目的としている。

 

Key Topics Covered in Our NIS2 Information Campaign: NIS2情報キャンペーンで扱う主なトピック Info Video DL
Topic 1: What You Need to Know トピック1:知っておくべきこと  
Topic 2: What's new in NIS2 トピック2:NIS2の新機能  
Topic 3: Sectors in Scope トピック3:対象分野    
Topic 4: Risk Management Measures トピック4:リスクマネジメント対策    
Topic 5: Incident Reporting Obligations トピック5:インシデント報告義務  
Topic 6: EU-Level Collaboration トピック6:EUレベルの連携    
Topic 7: National Supervision Key Actors トピック7:各国の監督主体    
Topic 8: Vulnerability Disclosure and Coordinated Vulnerability Disclosure (CVD) トピック8:脆弱性の開示と協調的脆弱性開示(CVD)  
Topic 9: Implementing Act トピック9:法の実装    

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

SaaS事業者等の実施規則案

・2024.11.07 欧州委員会 NIS2指令 - 欧州委員会施行規則C(2024) 7151と附属書 (2024.10.17)

 

NIS2指令

・2023.01.19 欧州 NIS2 指令 条文 (2022.12.27)

|

« 米国 Get Cyber Smart 学生、教師、保護者向けの無料の教育リソース | Main | ノルウェー 未来のデジタル化戦略 (2024.11.04) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 Get Cyber Smart 学生、教師、保護者向けの無料の教育リソース | Main | ノルウェー 未来のデジタル化戦略 (2024.11.04) »