欧州 ENISA NIS2の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル (2025.06.26)

こんにちは、丸山満彦です。

ENISAが、NIS2関連で２つの報告書を公表しています...

NIS2 Technical Implementation Guidance	NIS2 技術実施ガイダンス
This report provides technical guidance to support the implementation of the NIS2 Directive for several types of entities in the NIS2 digital infrastructure, ICT service management and digital providers sectors. The cybersecurity requirements for these entities are defined at EU level by Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024. ENISA’s guidance offers practical advice, examples of evidence, and mappings of security requirements to help companies implement the regulation.	この報告書は、NIS2 デジタルインフラストラクチャ、ICT サービス管理、およびデジタルプロバイダセクターのいくつかの種類の事業体における NIS2 指令の実施を支援するための技術ガイダンスを提供するものだ。これらの事業体に対するサイバーセキュリティ要件は、2024 年 10 月 17 日付の欧州委員会実施規則 (EU) 2024/2690 で EU レベルで定義されている。ENISA のガイダンスは、企業が規則の実施を支援するための実践的なアドバイス、証拠の例、セキュリティ要件のマッピングを提供している。
Cybersecurity roles and skills for NIS2 Essential and Important Entities	NIS2 の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル
ENISA in line with articles 6 and 10 of the Cybersecurity Act , prepared this guidance document on the skills and roles for the cybersecurity professionals needed to meet these legal requirements effectively. The guidance is based on the European Cybersecurity Skills Framework (ECSF) , the EU’s reference framework for defining and assessing cybersecurity skills for professionals as mentioned in the Communication on the Cybersecurity Skills Academy.	ENISA は、サイバーセキュリティ法の第 6 条および第 10 条に基づき、これらの法的要件を効果的に満たすために必要なサイバーセキュリティ専門家のスキルと役割に関するガイダンス文書を作成した。このガイダンスは、サイバーセキュリティスキルアカデミーに関するコミュニケーションで言及されている、専門家のサイバーセキュリティスキルを定義および評価するための EU の参照枠組みである欧州サイバーセキュリティスキル枠組み（ECSF）に基づいている。

 

次に、NIS2 NIS2 の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル

● ENISA

・2025.06.26 Cybersecurity roles and skills for NIS2 Essential and Important Entities

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

1. INTRODUCTION	1. 序論
1.1 PURPOSE AND TARGET AUDIENCE	1.1 目的と対象読者
1.1.1 Purpose	1.1.1 目的
1.1.2 Target Audience	1.1.2 対象読者
1.2 DOCUMENT STRUCTURE	1.2 文書構成
2. NIS2 OBLIGATIONS	2. NIS2の義務
2.1 ARTICLE 21: CYBERSECURITY RISK-MANAGEMENT MEASURES	2.1 第21条：サイバーセキュリティリスクマネジメント対策
2.2 ARTICLE 23: REPORTING OBLIGATIONS	2.2 第23条：報告義務
3. USE CASES	3. ユースケース
3.1 SCENARIO 1: NIS2 IMPLEMENTATION OF CYBERSECURITY RISK MEASURES	3.1 シナリオ1：NIS2によるサイバーセキュリティリスク対策の実施
3.1.1 Introduction	3.1.1 序論
3.1.2 Organisational Tasks	3.1.2 組織の課題
3.1.3 Strategical organisational alignment and Resource allocation	3.1.3 戦略的組織調整と資源配分
3.1.4 Summary	3.1.4 概要
3.2 SCENARIO 2: NIS2 IMPLEMENTATION FOR POST-INCIDENT RESPONSE AND REPORTING	3.2 シナリオ2：インシデント発生後の対応と報告のためのNIS2の導入
3.2.1 The Team	3.2.1 チーム
3.2.2 Organisational Alignment and Implementation through Resource Allocation	3.2.2 リソース配分による組織の調整と実施
3.2.3 Summary	3.2.3 概要
4. DETAILED MAPPING OF ECSF AND NIS2	4 .ECSFとNIS2の詳細なマッピング
4.1 MAPPING BENEFITS	4.1 利点のマッピング
ANNEX I: METHODOLOGY	附属書 I：方法論

 

・エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The national transpositions of the NIS2 Directive[1] are going to affect tens of thousands of entities[2] across the European Union (EU), many of which are facing new legal requirements for the first time and will need to address new staffing needs to ensure compliance[3].	NIS2指令[1] の各国への移管は、欧州連合（EU）全域の何万もの事業体[2] に影響を与え、その多くが初めて新たな法的要件に直面し、コンプライアンス[3] を確保するために新たな人材ニーズに対応する必要がある。
For organisations — especially medium sized enterprises — translating legal requirements into clear tasks for their workforce is a major challenge. They are asking questions such as the following:	組織（特に中堅エンタープライズ）にとって、法的要件を従業員の明確なタスクに変換することは大きな課題である。彼らは次のような疑問を抱いている：
•  Which roles and skills are needed to meet these requirements?	•  これらの要件を満たすには、どのような役割とスキルが必要か？
•  Which step-by-step approach can guide my organisation in implementing the necessary organisational, workforce, and strategic planning?	•  必要な組織計画、人材計画、戦略計画を実施するために、どのような段階的アプローチが組織を導いてくれるのか？
For EU Member States, ensuring compliance with the NIS2 Directive is not just about drafting legislation — it’s important to set up the right conditions so these laws can be put into practice effectively. Competent authorities must translate regulatory obligations into clear policies, capacity-building initiatives, and workforce strategies that empower both the public and private sectors to meet cybersecurity requirements.	EU加盟国にとって、NIS2指令へのコンプライアンスを確保することは、単に法律を起草することではなく、これらの法律が効果的に実践されるように、適切な条件を整えることが重要である。認可当局は、規制上の義務を明確な政策、能力開発イニシアティブ、および官民両部門がサイバーセキュリティ要件を満たすための労働力戦略に転換しなければならない。
To help overcome these challenges, ENISA in line with articles 6 and 10 of the Cybersecurity Act[4], prepared this guidance document on the skills and roles for the cybersecurity professionals needed to meet these legal requirements effectively. The guidance is based on the European Cybersecurity Skills Framework (ECSF)[5], the EU’s reference framework for defining and assessing cybersecurity skills for professionals as mentioned in the Communication on the Cybersecurity Skills Academy[6].	このような課題を克服するために、ENISA はサイバーセキュリティ法（[4] ）の第 6 条と第 10 条に基づき、これらの法的要件を効果的に満たすために必要なサイバーセキュリティ専門家のスキルと役割に関する本ガイダンス文書を作成した。本ガイダンスは、サイバーセキュリティ・スキル・アカデミーに関するコミュニケーション[5] で言及された、専門家のサイバーセキュリティ・スキルを定義し、アセスメントするための EU の参照枠組みである欧州サイバーセキュリティ・スキルフレームワーク）[6] に基づいている。
This guidance presents a detailed mapping between the obligations outlined in the NIS2 Directive and the ECSF role profiles. It focuses exclusively on essential and important entities covered by the directive. Each role is mapped to its specific tasks, assisting entities in understanding what personnel capabilities are required to fulfil these obligations successfully. The detailed connections aim to guide entities in deploying the right team members to adhere to these standards.	このガイダンスは、NIS2 指令に概説されている義務と ECSF の役割プロファイルとの間の詳細なマッピングを提示している。指令の対象となる必須事業体および重要事業体のみに焦点を当てている。各役割は具体的な業務にマッピングされており、事業体がこれらの義務を成功裏に果たすためにはどのような人材能力が必要かを理解するのに役立つ。詳細なつながりは、事業体がこれらの標準を遵守するために適切なチームメンバーを展開する際の指針となることを目的としている。
Additionally, this guidance acts as a valuable resource for Member States, assisting them in evaluating and improving the cybersecurity preparedness of essential and important entities. It clarifies key deliverables, highlights opportunities for cross-role collaboration, and ensures that cybersecurity skills are strategically aligned with the NIS2 Directive’s risk management, incident responding and reporting requirements.	さらに、このガイダンスは加盟国にとって貴重なリソースとして機能し、必須事業体や重要事業体のサイバーセキュリティ態勢の評価と改善を支援する。主要な成果物を明確にし、 、役割横断的な協力の機会を強調し、サイバーセキュリティのスキルがNIS2指令のリスクマネジメント、インシデント対応、報告要件と戦略的に整合していることを保証する。
At its core, this initiative supports the vision of a secure and resilient Europe, where a skilled and well-prepared cybersecurity workforce plays a vital role in maintaining regulatory compliance and operational strength. In an era of increasingly complex threats, this effort is a step toward building a trusted and cyber-secure future for the EU.	このイニシアチブの核心は、安全でレジリエンスの高い欧州というビジョンを支援することであり、そこでは、熟練した十分な準備の整ったサイバーセキュリティ人材が、規制遵守と業務強度の維持に重要な役割を果たしている。脅威がますます複雑化する時代において、この取り組みは、EUが信頼され、サイバーセキュアな未来を築くための一歩である。

 

[1] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance) (OJ L 194, 19.7.2016, pp. 1–30, ELI:[web]	[1]欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する2022年12月14日付欧州議会および理事会指令（EU）2022/2555、規則（EU）No 910/2014および指令（EU）2018/1972を改正し、指令（EU）2016/1148（NIS2指令）を廃止するもの（EEA関連文書）（OJ L 194, 19.7.2016, pp.1–30, ELI:[web]
[2] Compared to NIS1, the NIS2 Directive introduces several new sectors, including waste water, space, public administration, ICT service management (business-to-business), postal and courier services, and waste management, among others — bringing the total to 18 sectors across essential and important entities. [web]	[2]NIS1と比較して、NIS2指令は、廃水、宇宙、公共行政、ICTサービス管理（企業間）、郵便・宅配便サービス、廃棄物管理など、いくつかの新しいセクターを導入しており、必須事業体および重要事業体全体で合計18セクターとなる[web] 。
[3] According to ENISA’s NIS Investments 2024 report, a significant 89% of surveyed organisations reported that they will require additional cybersecurity staff to comply with NIS 2. [web]	[3]ENISAのNIS Investments 2024報告書によると、調査対象組織の89%が、NIS 2に準拠するためにサイバーセキュリティ担当者の増員が必要になると回答している。[web]
[4] Cybersecurity Act of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, pp. 15–69, ELI: [web]	[4]ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会のサイバーセキュリティ法および規則（EU）No 526/2013（サイバーセキュリティ法）の廃止（OJ L 151, 7.6.2019, pp.15-69, ELI: [web]）
[5] ENISA (2022): [web]	[5] ENISA (2022): [web]
[6] Communication from the Commission to the European Parliament and the Council –  Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience (‘The Cybersecurity Skills April 2023,  [web] Academy’), COM(2023/207) final of 18	[6] 欧州委員会から欧州議会および理事会へのコミュニケーション – EU の競争力、成長、レジリエンスを強化するためのサイバーセキュリティ人材のギャップの解消（「サイバーセキュリティスキルアカデミー」）、COM(2023/207) 最終版、2023 年 4 月 18 日、 [web]