欧州 ENISA NIS360 2024 (2025.03.05) 重要インフラのセキュリティの状況...

こんにちは、丸山満彦です。

ENISAが、NIS2の対象となる９つの重要インフラ分野（セクター）、22の下位分野（サブセクター）についてのサイバーセキュリティの成熟度と重大度の評価をまとめていますね...業界分野ごとの比較や、日本との比較をする上でも参考になるかもですね...

• エネルギー：電気、ガス、地域冷暖房、水素、石油
• 輸送：航空、海運、鉄道、道路
• 金融：銀行、金融市場インフラ（FMI）
• 水：飲料水・廃水
• デジタル・インフラ：中核的インターネット*、通信、クラウドサービス、データセンターサービス、トラストサービス
• 健康**
• ICTサービスマネジメント
• 公共機関
• 宇宙

 

*:インターネットエクスチェンジポイント（IXP）プロバイダ、ドメインネームシステム（DNS）サービス・プロバイダ（オペレータを除く）ルートネームサーバ、トップレベルドメイン（TLD）名レジストリの、コンテンツデリバリー・ネットワーク（CDN）プロバイダ。

**:医療提供者（病院）、検査機関、医薬品開発、製薬事業者、医療機器製造事業者

 

⚫︎ ENISA

・2025.03.05 ENISA NIS360 2024

 

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION	1. 序文
1.1 GOAL AND TARGET AUDIENCE	1.1 目標と対象読者
1.2 SCOPE AND METHODOLOGY	1.2 スコープと方法論
1.3 DISCLAIMER	1.3 免責事項
2. SECTOR MATURITY & CRITICALITY OVERVIEW	2.分野の成熟度と重大度の概要
2.1 MATURITY OVERVIEW	2.1 成熟度の概要
2.2 CRITICALITY OVERVIEW	2.2 重大度の概要
2.3 RECOMMENDATIONS	2.3 推奨事項
3. NEXT STEPS	3.次のステップ
ANNEX A THE NIS360 METHODOLOGY	附属書A NIS360の方法論
ANNEX B CRITICALITY BREAKDOWN BY SECTOR	附属書B 分野別重要度内訳
ANNEX C MATURITY BREAKDOWN BY SECTOR	附属書C 分野別成熟度内訳
ANNEX D SECTOR BY SECTOR ANALYSIS	附属書D 分野別分析
D.1 ENERGY SECTOR	D.1 エネルギー分野
D.2 TRANSPORT SECTOR	D.2 輸送分野
D.3 FINANCE SECTOR	D.3 金融分野
D.4 HEALTH SECTOR	D.4 健康分野
D.5 DRINKING & WASTE WATER SECTORS	D.5 飲料水・廃水分野
D.6 DIGITAL INFRASTRUCTURE SECTOR	D.6 デジタル・インフラ分野
D.7 ICT SERVICE MANAGEMENT SECTOR	D.7 ICTサービスマネジメント分野
D.8 PUBLIC ADMINISTRATION SECTOR	D.8 公共分野
D.9 SPACE SECTOR	D.9 宇宙分野
ANNEX E SURVEY PARTICIPATION	附属書E アンケートへの参加状況
ANNEX F RISK ZONE	附属書F リスクゾーン

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The NIS360 is a new ENISA product that assesses the maturity and criticality of sectors of high criticality under the NIS2 Directive, providing both a comparative overview and a more in-depth analysis of each sector. The NIS360 is designed to assist Member States and national authorities in identifying gaps and prioritising resources. Our analysis is based on data from national authorities with a horizontal or sectorial mandate, data from companies within the in-scope sectors, and insights from EU-level sources such as Eurostat. Key findings include:	NIS360はENISAの新しい報告で、NIS2指令に基づく重大度の高い分野の成熟度と重大度を評価し、各分野の比較概要とより詳細な分析の両方を提供する。NIS360は、加盟国や各国当局がギャップを特定し、リソースの優先順位を決定する際に役立つよう設計されている。我々の分析は、水平的または分野別の権限を持つ各国当局からのデータ、対象分野内の企業からのデータ、ユーロスタットなどのEUレベルの情報源からの洞察に基づいている。主な調査結果は以下の通りである：
• Three sectors stand out above the rest in terms of overall maturity and criticality: electricity, telecoms, and banking. Over time, these sectors have benefited from significant regulatory oversight, global investments, political focus, and robust public-private partnerships. Their resilience is crucial for societal and economic stability.	• 全体的な成熟度と重大度という点で、電力、通信、銀行の3分野が際立っている。これらの分野は、規制当局による監視、グローバルな投資、政治的焦点、強固な官民パートナーシップの恩恵を受けてきた。これらの分野のレジリエンスは、社会と経済の安定にとって極めて重要である。
• Digital infrastructures, including core internet services, trust services, data centres, and cloud services, are among the higher-ranking sectors in terms of maturity and criticality, however they still have challenges to navigate due to their inherent heterogeneity, cross-border nature and the inclusion of previously unregulated entities within their scope.	• 中核的インターネット・サービス、トラスト・サービス、データ含むセンター・サービス、クラウド・サービスを含むデジタル・インフラは、成熟度と重大度の点で上位にランクされる分野のひとつであるが、固有の異質性、国境を越えた性質、これまで規制対象外であった事業体がその範囲に含まれることなどから、依然として課題を抱えている。
• Four sectors and two subsectors are in the ‘risk zone’: ICT service management, space, public administrations, maritime, health and gas. These sectors need extra attention to ensure their maturity gaps are addressed in a way that enables them to effectively deal with the added challenges posed by their respective criticality levels.	• ICTサービスマネジメント、宇宙、行政、海運、保健、ガスの4つの分野と2つの下位分野が「リスクゾーン」にある。これらの分野は、成熟度のギャップに確実に対処し、それぞれの重大度がもたらす付加的な課題に効果的に対処できるようにするため、特に注意を払う必要がある。
• The ICT service management sector, faces key challenges due to its cross-border nature and diverse entities. Strengthening its resilience is vital and requires close cooperation between authorities, reduced burdens for entities subject to both NIS2 and DORA, and harmonised cross-border supervision.	• ICTサービスマネジメント分野は、その国境を越えた性質と多様な事業体により、重要な課題に直面している。レジリエンスの強化は不可欠であり、認可当局間の緊密な協力、NIS2とDORAの両方が適用される事業体の負担軽減、必要である国境を越えた監督の調和が必要である。
• The space sector faces challenges due to stakeholders’ limited cybersecurity knowledge and its heavy reliance on commercial off-the-shelf components. Enhancing its resilience requires better cybersecurity awareness, clear guidelines for pre-integration testing of components, and stronger collaboration with other sectors e.g., telecoms due to the growing convergence of 5G and satellite communications.	• 宇宙分野は、関係者のサイバーセキュリティに関する知識が乏しく、市販の部品に大きく依存しているため、課題に直面している。レジリエンスを高めるには、サイバーセキュリティに対する意識の向上、コンポーネントの統合前テストに関する明確なガイドライン、5Gと衛星コミュニケーションの融合が進む通信事業者など他分野との連携強化が必要である。
• The public administrations sector is still in the early days of developing its cybersecurity maturity, lacking the support and experience seen in more mature sectors. Being a prime target for hacktivism and state-nexus operations, it should aim to strengthen its cybersecurity capabilities leveraging the EU Cyber Solidarity Act and explore shared service models among sector entities on common areas e.g., digital wallets.	• 公共分野は、サイバーセキュリティの成熟度を高めるにはまだ日が浅く、より成熟した分野で見られるような支援や経験が不足している。ハクティビズムや国家ぐるみの作戦の格好の標的であることから、EUサイバー連帯法を活用してサイバーセキュリティ能力を強化し、デジタルウォレットなどの共通分野について事業体間の共有サービスモデルを模索することを目指すべきである。
• The maritime sector continues to face challenges with OT and could benefit from tailored cybersecurity risk management guidance that focuses on minimising sector-specific risks, as well as an EU-level cybersecurity exercises to enhance coordination and preparedness in both sectorial and multi-modal crisis management.	• 海運分野は、引き続きOTに関する課題に直面しており、分野固有のリスクを最小化することに重点を置いた個別のサイバーセキュリティ・リスクマネジメント・ガイダンスのほか、分野別および複数モダルの危機管理における調整と備えを強化するためのEUレベルのサイバーセキュリティ演習から恩恵を受けることができる。
• The health sector, with an expanded scope, that further decreases its homogeneity, continues to face challenges such as the reliance on complex supply chains, legacy systems, and poorly secured medical devices. Strengthening the sector's resilience across the board, requires the development of practical procurement guidelines to help organisations acquire secure services and products, tailored guidance to help overcome common issues e.g., gaps in basic cyber hygiene, and staff awareness campaigns.	• 健康分野は、その範囲が拡大し、同質性がさらに低下しているため、複雑なサプライチェーン、レガシーシステム、セキュリティが不十分な医療機器への依存などの課題に引き続き直面している。この分野のレジリエンスを全面的に強化するには、するための実用的な調達ガイドラインの策定必要である。組織が安全なサービスや製品を入手できるように、基本的なサイバー衛生のギャップなど一般的な問題の克服を支援するための個別のガイダンス、職員の意識向上キャンペーンなどが必要である。
• The gas sector, needs to continue working towards developing its incident readiness and response capabilities, through the development and testing of incident response plans at national and EU levels but also through enhanced collaboration with the electricity and manufacturing sectors.	• ガス分野は、国やEUレベルでのインシデント対応計画の策定とテストを通じて、また電力分野や製造事業者との協力関係の強化を通じて、インシデントへの準備態勢と対応能力を発展させる努力を続ける必要がある。
Overall, all sectors covered by the NIS360 face challenges in building their maturity and meeting NIS2 requirements. To better support them, stronger collaboration within and across sectors is recommended, along with sector-specific guidance on implementing cyber risk management measures. Upskilling and reskilling national authorities could be key to a more harmonised NIS2 implementation, while crossborder cybersecurity exercises could enhance crisis response and help mitigate the cascading effects of cyber incidents.	全体として、NIS360の対象となるすべての分野は、成熟度を高め、NIS2の要件を満たす上で課題に直面している。これらの分野をよりよく支援するためには、サイバーリスクマネジメント対策の実施に関する分野別のガイダンスとともに、分野内および分野間の協力の強化が推奨される。また、国境を越えたサイバーセキュリティ演習は、危機対応を強化し、サイバーインシデントの連鎖的影響を緩和するのに役立つだろう。

 

成熟度と重大度のマトリックス...

重大度

 

成熟度...

 

リスクゾーン...