欧州 2024年 NIS 指令関連インシデント年次報告書 (2024.08)

こんにちは、丸山満彦です。

2024年NIS指令関連インシデント年次報告書が公表されていますね...

• インシデント報告数は18％増加し、1276件となっている。
• 多くのインシデントは、保健、交通、エネルギーセクターである。
• インシデントの過半数（51％）の根本原因はシステム障害（この数年この傾向は変わらない）
• 医療セクターのインシデントが多い（この数年この傾向はかわらない）
• サービス停止はDDoS攻撃等によるものが多かった。

 

● EU

・2025.08 [PDF] Annual report NIS Directive incidents 2024 

・[DOCX][PDF] 仮訳

 

目次...

Executive summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Methodology	1.1. 方法論
1.2. Structure of this document	1.2. 本文書の構成
2. Examples of reported incidents with very large impact	2. 非常に大きな影響を与えた報告されたインシデント
2.1. Root cause: malicious actions	2.1. 根本原因：悪意のある行為
2.2. Root cause: system failures	2.2. 根本原因：システム障害
2.3. Root cause: Human error	2.3. 根本原因：人的ミス
3. Overview of reported incidents	3. 報告されたインシデントの概要
3.1. General overview	3.1. 概要
3.2. Incidents per sector	3.2. セクター別インシデント数
3.3. Root cause categories	3.3. 根本原因のカテゴリー
3.4. Comparison of 2024 with 2023, 2022 and 2021	3.4. 2024年と2023年、2022年、2021年の比較
4. Sectorial information	4. セクター別情報
4.1. Detailed technical causes	4.1. 詳細な技術的要因
4.2. Technical assets affected	4.2. 影響を受けた技術資産
4.3. Detailed overview of incidents with outages caused	4.3. 障害を引き起こしたインシデントの詳細な概要
5. Detailed overview of the sectorial data	5. セクター別データの詳細な概要
5.1. Health sector	5.1. 医療セクター
5.2. Energy sector	5.2. エネルギーセクター
5.3. Transport sector	5.3. 交通セクター
5.4. Digital infrastructure sector	5.4. デジタルインフラセクター
5.5. Banking sector	5.5. 金融セクター
5.6. Government services sector	5.6. 政府サービスセクター
5.7. Drinking water supply and distribution sector	5.7. 飲料水供給・配水セクター
6. Multiannual trends	6. 多年度動向
6.1. Summary	6.1. 概要
6.2. Root cause multiannual trends	6.2. 根本原因の複数年度にわたる動向
6.3. Service impact multiannual trends	6.3. サービスへの影響の複数年動向
6.4. Severity of impact of incidents - multiannual trends	6.4. インシデントの影響の深刻度 - 多年度動向
7. Key takeaways	7. 重要なポイント

 

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
Under the NIS Directive (NISD)[1], operators of essential services in critical sectors (Article 14), as well as digital service providers (Article 16), have to report cybersecurity incidents to their designated national authorities. This process of mandatory cybersecurity incident reporting is an important enabler for supervision and policy-making, both at national and at EU level.	NIS 指令（NISD）[1] に基づき、重要セクターの重要なサービス事業者（第 14 条）およびデジタルサービスプロバイダー（第 16 条）は、サイバーセキュリティインシデントを指定の国内当局に報告する義務がある。このサイバーセキュリティインシデントの報告義務は、国内および EU レベルでの監督と政策立案のための重要な要素となっている。
Member States send annual summaries about the national incident reporting to the NIS Cooperation Group (NIS CG). This document provides an aggregated overview of the annual summary for the incidents that were reported in 2024.	加盟国は、国のインシデント報告に関する年次要約を NIS 協力グループ（NIS CG）に提出する。本文書は、2024 年に報告されたインシデントに関する年次要約の集計概要を記載したものだ。
The figure below shows the incident reports submitted per sector, comparing 2021, 2022, 2023 and 2024.	以下の図は、2021 年、2022 年、2023 年、2024 年に提出されたインシデント報告をセクターごとに比較したものである。
Member States set the national criteria and thresholds for reporting cybersecurity incidents affecting operators of essential services. These criteria may be different for each country and often depend on the sector.	加盟国は、重要サービス事業者に影響を与えるサイバーセキュリティインシデントの報告に関する国内規準および閾値を設定する。これらの規準は各国によって異なり、多くの場合、セクターによって異なる。
The NIS Cooperation Group’s Work Stream on Incident Reporting works on the formats and procedures for this process and aggregates this information in an annual report.	NIS 協力グループのインシデント報告に関する作業部会は、このプロセスの形式と手順について検討し、その情報を年次報告書にまとめている。
The key takeaways regarding the incidents reported for the year 2024 are as follows:	2024 年に報告されたインシデントに関する主なポイントは次のとおりだ。
• The number of reported incidents has increased by 18 % compared to previous year. In this round, covering the year 2024, summary information about 1276[2] cybersecurity incidents was submitted, compared to 1077 for the previous year.	• 報告されたインシデントの数は、前年と比較して 18% 増加した。2024 年を対象とする今回の報告では、1276 件の[2] サイバーセキュリティインシデントに関する概要情報が提出された。
• Most incident reports in 2024 regard the health, energy and transport sectors, accounting for 50% of the total number of reports. The health sector had the most incident reports in 2020, 2021, 2022, 2023 as well.	• 2024年のインシデント報告の大部分は、医療、エネルギー、輸送セクターに関するもので、報告総数の50％を占めている。医療セクターは、2020年、2021年、2022年、2023年においても最も多くのインシデント報告がありました。
• System failures are the most frequent root cause (51%) of reported incidents. The detailed causes for these incidents are most often software bugs, faulty software changes/updates and hardware failures, similar to 2020, 2021, 2022 and 2023.	• 報告されたインシデントの最も一般的な根本原因はシステム障害（51%）である。これらのインシデントの詳細な原因は、ソフトウェアのバグ、ソフトウェアの変更/更新の不備、ハードウェアの故障が最も多く、2020年、2021年、2022年、2023年と類似している。
• Incidents with cross-border impact. There were only 2 incident reports with possible cross-border impact submitted through CIRAS.	• 国境を越える影響を及ぼすインシデント。CIRASを通じて提出された国境を越える影響を及ぼす可能性のあるインシデントの報告は2件のみだった。
• The detailed technical causes for a 12% of incidents were defined as 'other', which is the similar level as 2023.	• インシデントの12％の具体的な技術的原因は「その他」と定義され、これは2023年と同水準である。
• Malicious actions (in particular DDoS attacks) caused the most outages and the respective lost hours. System failures was the second cause of incidents and the respective outages and lost hours.	• 悪意のある行動（特にDDoS攻撃）が最も多くのサービス停止とそれに伴う損失時間を引き起こした。システム障害が2番目のインシデント原因であり、それに伴うサービス停止と損失時間も多かった。
Some caveats which should be considered in the contextual and quantitative analysis of the reported incidents and give grounds to further improvement of the process in the future:	• 報告されたインシデントの文脈的・定量的な分析において考慮すべき注意点と、今後のプロセス改善の根拠となる点：
• Incidents are categorised in 4 broad root cause categories and too often the generic category “Other” is being used for reporting. Lack of information makes analysis of information and extrapolation of trends and patterns challenging and skewed.	• インシデントは4つの広範な根本原因カテゴリーに分類されており、報告において「その他」という一般的なカテゴリーが頻繁に使用されている。情報の不足は、情報の分析や傾向・パターンの抽出を困難にし、偏りを生じさせる。
• Cross-border incident reporting remains challenging – This should be further considered in the NIS CG Work Stream on incident reporting.	• 国境を越えたインシデント報告は依然として課題となっている – これは、NIS CGのインシデント報告に関する作業ストリームでさらに検討すべきだ。
Cybersecurity incident reporting under the NIS Directive is finalizing with year 2024[3]. 2025 will be covered by NIS2 Directive (NIS2)[4] and incident reporting process is continuously improving and maturing. In 2025 Member States will submit summary of incidents on quarterly basis and ENISA will prepare reports to CSIRTs network and NIS CG every six months. In terms of processes, there are still more synergies to be explored with reporting in other sectors, under other pieces of legislation, such as DORA[5], the Network Code on Cybersecurity (NCCS)[6] and the CER Directive[7].	NIS指令に基づくサイバーセキュリティインシデント報告は2024年に最終化される予定だ。[3] 。2025年以降はNIS2指令（NIS2）[4] が適用され、インシデント報告プロセスは継続的に改善・成熟化が進む。2025年には加盟国が四半期ごとにインシデントの要約を提出し、ENISAがCSIRTネットワークおよびNIS CG向けに報告書を6ヶ月ごとに作成する。プロセス面では、他のセクターにおける報告や、他の法令（DORA[5] 、ネットワークサイバーセキュリティコード（NCCS）[6] 、CER指令[7] など）との連携可能性がさらに探求される必要がある。
1]https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&qid=1697127825732
[2] The reported incidents are for 24 Member States compared to 26 for year 2023.	[2]報告されたインシデントは、2023年の26件に対し、24の加盟国で発生している。
[3] Report indeed covers the entire calendar year 2024 (even though NIS2 Directive transposition deadline was 17 October 2024)	[3]報告書は、NIS2指令の移行期限が2024年10月17日であったにもかかわらず、2024年暦年全体をカバーしている。
[4] EUR-Lex - 32022L2555 - EN - EUR-Lex (europa.eu)	[4]EUR-Lex - 32022L2555 - EN - EUR-Lex (europa.eu)
[5] EUR-Lex - 52020PC0595 - EN - EUR-Lex (europa.eu)	[5]EUR-Lex - 52020PC0595 - EN - EUR-Lex (europa.eu)
[6] Delegated regulation - EU - 2024/1366 - EN - EUR-Lex	[6]委任規則 - EU - 2024/1366 - EN - EUR-Lex
[7] Directive - 2022/2557 - EN - CER - EUR-Lex	[7]指令 - 2022/2557 - EN - CER - EUR-Lex

 

 

重要なポイント...

7. Key takeaways	7. 重要なポイント
The key takeaways regarding the incidents reported for the year 2024 are as follows:	2024年に報告されたインシデントに関する主なポイントは次のとおりだ。
• The number of reported incidents has increased in total. In this round, covering the year 2024, Member States submitted 1276 cybersecurity incident reports, compared to 1077 for the previous year.	• 報告されたインシデントの総数は増加した。2024年を対象とする今回の報告では、加盟国から1,276件のサイバーセキュリティインシデント報告が提出されたのに対し、前年度は1,077件だった。
• Number of Member States reporting incidents has decreased most likely due to shorter timeline and preparations for NIS2 in 2024 reports from 3 Member States are missing compared to 1 missing in 2023.	• 報告を行った加盟国の数は減少した。これは、報告期間の短縮とNIS2への対応準備のためと考えられる。2024年の報告では、3つの加盟国からの報告が欠落しているのに対し、2023年は1つの欠落だった。
• Most incident reports regard the health, transport and energy sectors – by comparison ENISA Threat landscape of 2024 shows among most targeted public administration, transport and finance sectors.	• ほとんどのインシデント報告は、医療、交通、エネルギーセクターに関するものである。これに対し、ENISAの2024年脅威動向では、最も標的とされたセクターとして公共行政、交通、金融セクターが挙げられている。
• System failures are the still most frequent root cause of reported incidents. The root cause for the majority of the incidents (51%) is defined as system failure.	• システム障害は、報告されたインシデントの最も一般的な根本原因である。インシデントの過半数（51％）の根本原因はシステム障害と定義されている。
• Incidents with cross-border impact. There were 2 incident reports with possible cross-border impact. Due to the limited information reported through CIRAS for the incidents with potential cross-border impact, it is not possible to do any relevant assessments.	• 国境を越える影響を有するインシデント。国境を越える影響が可能なインシデントに関する報告は2件あった。CIRASを通じて報告された国境を越える影響が可能なインシデントに関する情報が限られているため、関連するアセスメントを行うことはできない。
• The health sector is the most affected for the fifth year in a row (2020-2024).	• 医療分野は、5年連続で最も影響を受けた分野となっている（2020年～2024年）。
• The detailed technical causes for a 12% of incidents were defined as 'other', which could be attributed to limitations of the current taxonomy and definitions. The majority of the incidents with 'other' impact are in the health, drinking water supply and distribution, and energy sectors.	• インシデントの12％の詳しい技術的原因は「その他」と定義されており、これは現在の分類体系と定義の限界に起因する可能性がある。影響が「その他」と分類されたインシデントの大部分は、医療、飲料水供給・配水、エネルギーセクターに集中している。
• Similarly, more detailed information about technical causes is not reported or not know for more than 2 thirds of the incidents.	• 同様に、インシデントの3分の2以上について、技術的な原因に関する詳細な情報は報告されていないか、または不明である。
• DDoS attacks were the leading cause for incidents which is consistent with observations of ENISA Threat Landscape 2024, and caused the most outages and the respective lost hours.	• DDoS攻撃がインシデントの主な原因であり、これはENISA脅威動向2024の観察結果と一致しており、最も多くのサービス中断とそれに伴う損失時間を引き起こした。