ネットワーク・情報システムセキュリティ指令第2版 (NIS2指令)

NIS2指令（Directive (EU) 2022/2555）は、EUが従来のNIS指令に代わって制定したサイバーセキュリティ法規であり、EUの重要インフラ全体のサイバーセキュリティと強靭性を包括的に向上させることを目的としています。 指令第21条に基づき、エネルギー、運輸、健康、デジタルインフラなどの「必須事業者」および「重要事業者」に対し、リスク分析、サプライチェーンセキュリティ、インシデント対応、事業継続性など、少なくとも10項目の具体的なサイバーセキュリティリスク管理措置を講じることを義務付け、経営層の監督責任も強化しています。

NIS2はEUの法規ですが、その影響はサプライチェーンを通じて全世界に及びます。 台湾企業がEUの「必須」または「重要」事業者のサプライヤー（例：半導体、自動車部品、ICT製品メーカー）である場合、EUの顧客から契約に基づき同等のサイバーセキュリティ基準の遵守を求められます。 遵守できなければ、サプライチェーンから排除されるビジネスリスクだけでなく、自社のセキュリティ不備が原因で顧客がNIS2に違反し、結果的に受注や市場アクセスに影響を及ぼす可能性があります。 さらに、違反した場合の罰金は最大1000万ユーロまたは全世界年間売上高の2%に達する可能性があります。

NIS2は、情報セキュリティマネジメントシステム規格であるISO/IEC 27001:2022と非常に関連性が高いです。 この指令は国際規格の採用を実践的な指針として奨励しており、ISO 27001の附属書Aの管理策は、リスクアセスメント、アクセス制御、供給者関係における情報セキュリティなど、NIS2指令第21条が要求するサイバーセキュリティリスク管理措置の大部分に対応しています。 加えて、事業継続マネジメント規格ISO 22301も、バックアップ管理、災害復旧、危機管理に関するNIS2の要件を満たす上で役立ちます。

積穗科研は、台湾で最も早くから企業リスクマネジメント（ERM）、インダストリアルエンジニアリング、テクノロジー法を統合したコンサルティング会社です。TSMCやMediaTekなどのトップ企業のセキュリティ強化を支援した実績があり、創設者は予防法学のバックグラウンドを持つため、法的遵守とリスク予防の二重の視点から貴社のサプライチェーンへのNIS2の影響を分析できます。テクノロジー弁護士、ISO 27001主任審査員、データサイエンティストから成る専門家チームが、法規制の要求事項を既存のISO認証や内部統制制度にシームレスに統合し、屋上屋を架すことを避けます。これにより、EU顧客の要求を満たしつつ、企業全体の事業継続性を強化することを保証します。