EUの「NIS2」指令発効から2年、対象分野のセキュリティレベルは十分なものになったのか？

　EUでは、情報セキュリティに関する法律として2016年に施行された「NIS指令（Network and Information Systems Directive）」が更新され、「NIS2」として2023年1月16日に発効、EU加盟国は2024年10月までに国内法をこの指令に対応させることが定められました。

　NIS2の発効から2年以上が経ち、NIS2対応期限もすでに過ぎましたが、EU域内におけるNIS2対象分野のセキュリティレベルは十分なものになっているのでしょうか？

　そんな疑問に答えるように、欧州ネットワーク情報セキュリティ機関（The European Union Agency for Cybersecurity、以降ENISA）は、「NIS360 report」と題した報告書を公開しました。これはNIS2対象分野のセキュリティの成熟度と重要度を評価した結果をまとめたもので、対象分野の中には優れている分野もある一方、不十分な分野も存在していることが示されています。また、そのような不十分な分野に対する改善に向けた提言も記されています。なお、今回の報告書に掲載されている分析と比較は分野別のみであり、加盟国別については掲載されていません。

　調査結果の概要をまとめた「EXECUTIVE SUMMARY」には以下のように記載されています。

　ここからは、上記の結果に対する補足説明を簡単に紹介します。

　まず、今回の調査対象となったのは、NIS2の対象分野のうち、「高重要分野（sectors of high criticality）」とされる分野のみであり、「その他重要分野（other critical sectors）」は対象となっていません。ちなみに、対象となった高重要分野は以下の22の（サブ）分野です。

1. エネルギー（energy）
   - 電力（electricity）
   - 地域冷暖房（district heating and cooling）
   - 石油（oil）
   - ガス（gas）
   - 水素（hydrogen）
2. 運輸（transport）
   - 航空（aviation）
   - 鉄道（railway）
   - 海運（maritime）
   - 道路（road）
3. 金融（finance）
   - 銀行（banking）
   - 金融市場インフラ（financial market infrastructures：FMIs）
4. 保健衛生（health）
5. 上下水道（drinking and waste water）
   - 飲料水（drinking water）
   - 廃水（waste water）
6. デジタルインフラ（digital infrastructure）
   - コアインターネット（core internet）
   - クラウド（cloud）
   - データセンター（data centres）
   - 通信（telecoms）
   - トラストサービス（trust services）
7. ICTサービス管理（ICT service management）
8. 行政（public administration）
9. 宇宙（space）

　今回の調査分析は以下の3つの方法で収集された情報に基づいています。なお、調査分析方法の詳細については報告書の「付録（Annex）」を参照してください。

1. 業界
EU域内の対象分野の企業に対する調査。ただし、成熟度や重要度に焦点を当てた調査ではなく、サイバーセキュリティポリシーがEU域内の事業体の意思決定にどのように影響するかを把握することを目的とした、より広範な調査の一環として実施。調査項目には定性的ものと定量的なものがある。回答者の93％は大企業。

2. 監督機関
EU域内の対象分野を支援／監督する機関に対する調査。各分野の成熟度と重要度の現状を把握することを目的とし、調査項目には定性的なものと定量的なものの両方が含まれる。ただし、一部の調査対象はNIS2指令に基づいて新たに任命されたため、当該分野について十分な可視性や詳細な知識を持っていなかった可能性がある。

3. EUレベルのインプット
ENISAの専門家との協議。分野別の脅威状況やENISAが作成した関連報告書など。

　上記の情報に基づいた今回の分析結果に対して、あらかじめENISAは「免責事項（disclaimer）」として以下のように述べています。

　本調査は、分野別のサイバーセキュリティの成熟度と重要度について、EU全体の視点を提供するものである。本分析の目的上、EUを1つの集合体として扱っているが、加盟国にはそれぞれ異なる規制や運用状況があり、分野自体も非常に多様であることを認識することが重要である。これらの分野内の事業体は、規模、運用モデル、直面するリスク、サイバーセキュリティ能力レベル、サイバーセキュリティリソースなどが異なる。その結果、NIS360の評価は様々な視点の組み合わせに依存しているが、見解はEU全体の状況を反映するために一般化されることが多く、個々の事業体や加盟国の状況を正確に表していない可能性がある。

　分析結果を「重要度（Criticality）」と「成熟度（Maturity）」でマップしたのが以下の図です。なお、この図では「クラウド（Cloud）」と「データセンター（Data centres）」は1つにまとめられています。また、分野別に色分けされています。

　さらに22の（サブ）分野の成熟度スコア（Maturity Score）と重要度スコア（Criticality Score）を並べたのが以下の図です。ここで、重要度が高いにもかかわらず、成熟度が全体の中央値（median）以下の場合（＝成熟度が下位半分に含まれる場合）「リスクゾーン」としています。この「リスクゾーン」の中では「ICTサービス管理」の重要度と成熟度のギャップが際立っています。

　電力、通信、銀行の3分野が高い重要度に対して成熟度も十分に高い一方、ICTサービス管理、宇宙、行政、海運、保健衛生、ガスが重要度に見合った成熟度ではない「リスクゾーン」にあるとの分析結果自体は、個人的な経験からしても違和感はありません。そもそも、成熟している分野はNIS2以前からレベルは高かったですし、不十分な分野は以前からレベルが高いとは言えない状態だったので、各分野のレベルがNIS2をきっかけに改善したのか、そのままなのかは、今回の報告書だけでは分かりませんし、むしろNIS2とは関係ないようにも見えます。

　それよりも気になるのは、飲料水（上水）の重要度が電力やガスに比べて低く評価されているため、求められる成熟度も高くない点です。

　ENISAによれば、重要度が低い6分野（飲料水、地域冷暖房、石油、水素、道路、廃水）は、デジタルインフラへの依存度が低く、代替ソリューションが利用できるため、サイバーインシデントの直接的な影響を軽減できるとしています。それでも、これらの分野も重要インフラと運用の制御・監視・保守のためにOT（Operational Technology：運用技術）を、程度の差はあるものの、利用しています。この点については、これらの分野におけるインシデントは運用面の影響だけでなく社会的な影響を及ぼすことも多いが、広範囲にわたる混乱や分野横断的に波及する可能性は低いと説明しています。

　なお、重要度については、社会経済的影響、他分野に混乱を引き起こす可能性、ICTへの依存度、インシデントの影響が社会や経済に波及したり、他分野に影響したりするまでに要する時間的重要度など、いくつかの鍵となる要素によって評価されるとしています。

　個人的な興味としては、分野別の比較だけでなく、加盟国別の比較も知りたかったのですが、すでに紹介した「免責事項」にもあるように、EU加盟国は国ごとに大きく異なるため、単純に比較して、どこの国が遅れている、レベルが低いと評価するのは確かに不公平なので、その点の配慮から、あえて国別の比較分析は（実際に行なったか否かは別として）報告書に掲載されていないのかもしれません。また、そもそも各分野の重要度は加盟国ごとに異なるはずなので、その点を加味すると分析は複雑化するでしょうし、その結果をうまく整理できなければ、ただ混沌としたものとなって意味のある情報にはならない可能性もあります。今回のような報告書は今後も定期的に公開されるようなので、次回以降、分析面でどのような改善が見られるか注目したいです。