サインイン

欧州NIS2指令の概要

| 投稿日 2024/12/4 水曜日

NIS2は、注意を払う必要がある新しいEU指令です。

デジタル化が内部および外部プロセスの効率化を促し、物品の移動を容易にし、コストを最小限に抑えることは否定できませんが、相互に接続されたデジタルシステムへのこの依存が、サイバー犯罪者がサプライチェーン内の脆弱性をますます狙うにつれ、製造業者とその価値連鎖を前例のないレベルのサイバーセキュリティ脅威にさらしているのです。

欧州連合は、この深刻な懸念の領域に再び対処し、ネットワークおよび情報セキュリティ指令NIS2を通じて、より広範なセクター全体のサイバーセキュリティ防御を強化し、経営責任を導入し、企業にサプライチェーンの責任を負わせ、非遵守に対して重大な財政的罰則を実施する法的措置を講じました。

NIS2指令がサイバーセキュリティの新基準をどのように設定し、あなたとあなたのビジネスパートナーに何を意味するのかを探りましょう。

PCB業界におけるサイバーセキュリティの脅威の高まり

敵の能力が成熟するにつれて、私たちの対応も成熟しなければなりません。

CrowdStrikeのグローバル脅威レポート2024によると、2023年には、技術セクターがインタラクティブな侵入活動の対象となる業界として最も頻繁に標的にされ、通信セクターが2番目に標的にされた業界でした。

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

ほぼすべての電子機器において重要なコンポーネントであるPCBは、航空宇宙、自動車、医療など、これらやその他多くの重要な産業において不可欠な資産です。サイバー脅威によってPCB供給チェーンに障害が発生すると、全セクターにわたって波及し、コストのかかる遅延や運用の停止を引き起こす可能性があります。しかし、過去10年間で、製造業はデジタルツイン、ロボティクス、AI、クラウドコンピューティング、産業用インターネットオブシングス（IIoT）などのデジタルイノベーションによって、インダストリー4.0としてラベル付けされる変革を遂げてきました。これらの進歩は成長と効率を向上させますが、セクターのサイバー脅威への露出も増加させ、サイバー犯罪者が悪用する新たな侵入口を提供します。

製造業におけるサイバーセキュリティリスクを高めるその他の要因には、従業員のトレーニング不足が含まれます。意識の欠如が弱いパスワードやフィッシング攻撃への脆弱性につながる可能性があります。また、最新のセキュリティ機能を備えていない古いシステムへの依存もサイバーリスクを生み出します。複雑な供給チェーンと多数の第三者パートナーは、ハッカーによる多くの侵入ポイントを提示します。業界の競争が激しく、データ駆動型の運用に依存していることも、知的財産の盗難やデータ侵害の可能性を高めます。

サイバー脅威は、サプライチェーン攻撃、ランサムウェア、知的財産の盗難、生産の妨害など、多くの形を取り得ます。これらは、莫大な財務上のリスク、戦略的リスク、評判へのリスクをもたらします。

製造業におけるサイバー攻撃の一般的なタイプ

製造業で一般的なサイバー攻撃のタイプとその仕組み：

ランサムウェア攻撃：コンピューターシステムやファイルへのアクセスを制限し、身代金の支払いを要求する悪意のあるソフトウェア（「マルウェア」）。
フィッシング攻撃：個人が機密情報を開示するようにだますために設計された、欺瞞的なメール、ウェブサイト、またはメッセージ。
ホエーリングキャンペーン：組織内の高位の個人をターゲットにした洗練されたフィッシング攻撃。

実際にはどのような状況になるのでしょうか？ランサムウェア攻撃を通じて、悪意のある行為者は生産を完全に停止させる可能性があり、その損失はサプライチェーンの上流および下流に波及します。データ侵害を通じてプロプライエタリのPCB設計が露呈すると、市場損失や競争上の不利益につながる可能性があります。

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

業界に対するサイバーセキュリティの非常に現実的な脅威の最近の例として、米国に拠点を置く半導体サプライヤーであるMicrochip Technologyは、最近のランサムウェア攻撃が個人情報およびその他のデータの盗難につながったことを確認しました。同社は8月20日にこの事件を報告し、いくつかのサーバーとビジネスオペレーションが影響を受けたことを米国SECに通知しました。しかし、影響を受けたシステムを隔離することで攻撃を封じ込めることに成功しました。

Common Types of Cyber Attacks in Manufacturing

NIS2指令の理解

2016年に導入され、主にエネルギーや交通などの重要インフラセクターを対象としたNIS指令の拡張版であるNIS2は、今日のサイバーセキュリティの風景の成熟度と強度の増加に応え、より広範な業界の組織にそれらを採用することを要求することで、元の規制フレームワークの範囲を広げます。

指令の重要な側面に注意を払うべき点:

拡大された範囲: 前身とは異なり、NIS2指令はコアインフラストラクチャ産業から、"必須"セクターカテゴリーに分類されるPCB製造を含む製造セクターの範囲まで、より広い範囲のセクターを含みます。目標は、経済および社会活動に不可欠なサービスを提供するエンティティを保護することです。
より厳格なセキュリティ要件：NIS2は、組織がサイバーインシデントの検出と対応の手順を実施することを義務付けることにより、より強固なサイバーセキュリティ対策を施行します。これには、インシデントの予防、リスク管理、およびインシデント対応要件が含まれ、事業継続性を確保します。
サプライチェーンのセキュリティ強化：NIS2指令の製造業者にとって最も重要な要素の一つである第21条(2)(d)に規定されているように、サプライヤーのサイバーセキュリティ態勢を評価する基準を導入します。この規定に基づき、重要かつ必須な実体は、サプライチェーンのセキュリティを保護するために、適切かつ比例した技術的、運用的、および組織的措置を実施しなければなりません。
インシデント報告義務：NIS2の下では、組織は国家当局にインシデントを報告することが求められ、初期報告には24時間の期限が設けられ、さらなる更新は72時間以内に行う必要があります。
責任とガバナンス：NIS2の下で、企業の幹部に新たな責任レベルが追加され、組織はサイバーセキュリティに責任を持つ指定された役員またはマネージャーを任命しなければならず、上級管理職は非遵守に対して責任を負うことができます。
遵守しない場合の制裁：NIS2指令は、遵守しない場合に重大な財政的ペナルティを課すことができます。これらのペナルティは異なりますが、最大で1000万ユーロまたは会社の全世界の売上の2%に達することがあり、基準を遵守するための強力な経済的インセンティブを作り出します。

NIS2があなたのサプライチェーンに意味すること

重要な産業全体にサイバーセキュリティ基準をより厳格に設定することで、NIS2指令はPCB製造業者にとって、高度なサイバーセキュリティ基準を満たすと同時に、より強靭なサプライチェーンを作り出す機会であり、義務でもあります。

ここでは、PCB製造サプライチェーンに対する指令の具体的な影響について説明します：

Meet US Government Security Requirements

Foster real-time collaboration with enhanced data security and access controls

Find Out More

強化されたサイバーセキュリティ基準

NIS2指令は、PCB製造業者が厳格な一連のサイバーセキュリティ要件を満たすことを義務付けています。これには、定期的な脆弱性評価から多要素認証や暗号化プロトコルの実装に至るまで、強固なセキュリティフレームワークの作成と維持が含まれます。

組織は、サイバーリスクを継続的に特定、評価、軽減するためのメカニズムと予算を確保する必要があります。これには、専任のサイバーセキュリティ担当者の採用、先進的な脅威検出ツールへの投資、ネットワーク活動を監視するセキュリティオペレーションセンター（SOC）の設立が必要になるかもしれません。以前はサイバーセキュリティに限られたリソースを割り当てていた人々にとっては、慎重に計画する必要がある変化です。

サプライチェーンの可視性と透明性の向上

サプライチェーンのセキュリティを高めるという指令の目標は、サプライヤーやパートナーの透明性を高めることを要求し、製造業者がNIS2要件に準拠していることを確認するために、サプライチェーン全体でセキュリティ監査と評価を実施する必要があるかもしれません。

PCBメーカーは、第三者ベンダーにセキュリティ対策を実証してもらう必要があるかもしれません。これは、サプライヤーとの間に摩擦を生じさせ、特にサプライヤーが指令の基準を満たすことができない、または満たす意志がない場合、コンプライアンスを確保するためにより戦略的な意思決定を迫られることになります。

より厳格なインシデント報告プロトコル

PCBメーカーは、重大なサイバーセキュリティインシデントを24時間以内に国家当局に報告し、72時間以内にさらなる更新情報を提供する必要があります。メーカーはよく知っているように、行動までの時間を短縮することで影響を最小限に抑えることができます。評判への損害についての懸念が生じるかもしれませんが、インシデント報告は潜在的な損害を限定するために不可欠です。

Make cents of your BOM

Free supply chain insights delivered to your inbox

Learn More

これらの報告要件を満たすために、メーカーは堅牢なインシデント検出、分類、およびエスカレーションプロセスを必要とします。整備されたインシデント対応計画を持つことで、侵害がエスカレートするのを防ぎ、全体のサプライチェーンへの影響を限定することができます。

経営陣の責任とリスク管理文化

NIS2指令で最も影響力のある変更の一つは、サイバーセキュリティコンプライアンスにおける経営陣の責任の要求です。PCB製造企業のトップレベルの経営陣は、現在、サイバーセキュリティの計画および対応戦略に情報を提供し、関与する必要があります。

このシフトは、サイバーセキュリティを企業統治構造に組み込むことの重要性を強調しています。経営者はサイバーリスクについて教育を受け、サイバーセキュリティイニシアチブを支援するよう奨励される必要があります。その結果、指令は「サイバーセキュリティ文化」を強調しており、すべてのレベルの従業員がベストプラクティス、脅威認識、安全なデジタル行動について訓練されるべきです。

違反に対する罰則とコンプライアンス違反のコスト

NIS2指令に違反した場合の罰金は最大1000万ユーロまたは企業の全世界売上の2％に達することがあり、多くのPCBメーカーにとっては重大な脅威です。法的義務を果たせない場合、組織は厳しい結果に直面する可能性があります。企業は、規制上の義務としてだけでなく、コスト削減やブランド価値向上の手段としてコンプライアンスに積極的に取り組むべきです。

罰金を超えて、特に機密性が高いまたはハイプロファイルのクライアントと取引しているメーカーにとって、評判への損害は甚大なものになる可能性があります。コンプライアンス違反や重大なサイバーセキュリティ侵害が発生した場合、消費者やパートナーの信頼を失い、最終的には長期的な生存と成長を危険にさらす可能性があります。

Cloud Storage and Version Control

Store your libraries and design data in one secure, accessible, and version-controlled space.

Learn More

NIS2指令へのコンプライアンス方法

NIS2指令へのコンプライアンスには戦略的な計画とリソースの配分が必要です。PCBメーカーが検討すべきいくつかのステップは次のとおりです：

サイバーセキュリティリスク評価を実施する：ターゲットとなるサイバーセキュリティ戦略を作成し、最初に高リスク領域に対処するために、潜在的な脆弱性を特定するための包括的なサイバーセキュリティリスク評価から始めます。

強固なサプライチェーンセキュリティ戦略を開発する： サプライヤーと密接に協力して、彼らのサイバーセキュリティ実践を評価し、懸念事項に対処するための行動計画を設定します。サイバーセキュリティ基準への準拠に関する契約上の義務を確立し、セキュリティ姿勢に関する定期的な報告を要求します。

高度なインシデント検出と対応システムを実装する： リアルタイムの脅威検出と対応システムを提供するシステムに投資します。迅速な行動と報告要件への準拠を可能にするインシデント対応プロトコルを確立します。

幹部と従業員にサイバーセキュリティのベストプラクティスを教育する： 技術スタッフだけでなく、幹部や全従業員も巻き込んだ充実したトレーニングプログラムを実施します。「サイバー意識」の文化を構築することで、人為的なエラーを減らし、全体的なサイバーセキュリティを強化することができます。この分野でさらに支援が必要な場合、世界経済フォーラムは製造業におけるサイバー回復力の文化を構築するためのプレイブックを提供しています.

Variant Manager

Meet demands of a globalized market that requires unique versions of your PCBs.

Learn More

明確なガバナンスと責任を確立する： サイバーセキュリティ担当官を任命するか、サイバーセキュリティコンプライアンスを担当するクロスファンクショナルチームを設立します。このチームは、コンプライアンス、リスク、およびインシデント管理に関する更新情報を定期的に執行役員会に報告する必要があります。

より回復力があり、安全なPCBサプライチェーン

コンプライアンスは、かなりのコミットメント、投資、そして適応を必要とする障壁かもしれませんが、その利点は、より透明で安全、かつ回復力のあるPCBサプライチェーンです。

努力とコストを視点を変えてみるために、Applied Materialの2023年のサプライチェーン事故は、同社に2億5000万ドルのコストがかかったと推定されています。

現代におけるサイバーセキュリティの重要性は、顧客やクライアントによって軽視されておらず、サプライチェーンによって危険にさらされるべきではありません。企業が積極的に脆弱性のポイントに対処し、NIS2とのコンプライアンスを確保することで、中断のリスクを軽減するだけでなく、世界のPCBサプライチェーンの安定性とセキュリティを確保するために彼らが果たしている役割を示す、信頼できるパートナーとして自社を差別化することができます。

筆者について

Laura V. Garcia is a freelance supply chain and procurement writer and a one-time Editor-in-Chief of Procurement magazine.A former Procurement Manager with over 20 years of industry experience, Laura understands well the realities, nuances and complexities behind meeting the five R’s of procurement and likes to focus on the "how," writing about risk and resilience and leveraging developing technologies and digital solutions to deliver value.When she’s not writing, Laura enjoys facilitating solutions-based, forward-thinking discussions that help highlight some of the good going on in procurement because the world needs stronger, more responsible supply chains.

その他のコンテンツ Laura V. Garcia