NIS2 Aviationのナビゲート: 空のサイバーセキュリティ

The Network and Information Security（NIS）指令は、サイバーセキュリティに関する欧州連合（EU）全体の最初の法律です。その目的は、加盟国全体でサイバーセキュリティの高い共通レベルを達成することであり、サイバーセキュリティに対する認証的・規制的アプローチに関連する重要な変化への道を開くことでした。デジタルトランスフォーメーションとサイバー攻撃の急増によってもたらされる脅威の増大を理由に、欧州委員会はNISの適用範囲の拡大を提案し、NIS2の創設につなげました。NIS2の拡張は、NISのセキュリティ要件を強化し、サプライチェーンのセキュリティに対応し、報告義務を合理化し、より厳格な監督措置とより厳格な施行要件を導入することを目的としています。このブログでは、この指令が航空業界にどのような影響を与えているか、また、組織がNIS2の要件にどのように準拠できるかを説明します。

NIS2の範囲とは？

NIS2指令がNISと比較して改善された領域の1つに、影響を受ける対象があります。NIS2は、運輸（航空を含む）を含む13の業界およびセクターにおけるサイバーセキュリティリスクの基準値を設定しました。NIS2ではさらに、デジタルインフラストラクチャとデジタルサービスプロバイダーも対象範囲に含まれています。これは、必ずしもEU域内に物理的に居住しているわけではない組織であっても、必須または重要なサービスを提供している場合には影響を受ける可能性があることを意味します。これらの必須または重要なサービスには、クラウドサービス、DNSサービス、ソーシャルメディアネットワーク、検索エンジンなどが含まれます。

NIS2の要件に該当する事業者は、2つのカテゴリーに分けられます。第1のカテゴリーは「必須」サービスです。必須サービスグループには、重要なサービスを提供し、当該サービスの中断が国の経済や社会全体に深刻な影響を及ぼす組織が含まれます。このカテゴリーには、ヘルスケア、エネルギー、運輸などのセクターが含まれます。第2のカテゴリーは、「重要な」サービス、つまり、そのサービスが中断してもそれほど悲惨な結果をもたらさない組織です。例として、製造業、食品生産、デジタルプロバイダー、廃棄物管理などがあります。この2つのカテゴリーに分割されましたが、両方のカテゴリーに属する事業体は同じ要件を満たす必要があります。ただし、違いは監督措置と罰則にあります。

航空に関するNIS2要件

運輸部門の一部として、航空は「不可欠な」サービスとみなされ、以下のサイバーセキュリティ分野に取り組む必要があります： 

航空部門へ最も大きく影響を与えるものは、外部サプライヤーやベンダーからの潜在的なサイバーセキュリティ脅威を評価・管理することです。この要件を満たすには、そのシステムや製品がセキュリティ基準を満たしていることを検証し、サイバー攻撃に耐え、回復する能力を判断する必要があります。航空部門もまた、他の交通機関と同様に、航空機に使用される制御システムなど、大量のサイバーフィジカルシステム（CPS）に依存しています。これは、航空組織にとってサプライチェーンの保護における別の影響を及ぼし、企業はNIS2要件に準拠するため、これらのシステムをサイバー脅威から保護するための対策を講じることが必要になります。これには、制御システムを不正アクセスや不正操作から保護するためのアクセス制御の導入も含まれる場合があります。NIS2指令により、航空組織はサイバーセキュリティ対策への先行投資が義務付けられますが、投資の増加は最終的に、より安全で回復力のある業界を生み出すことになります。

航空業界におけるNIS2準拠へのルート

航空組織は、NIS2コンプライアンスの要件を満たすために、クラロティのようなCPSセキュリティベンダーと組むことが可能です。クラロティのCPSサイバーセキュリティポートフォリオは、堅牢な保護、モニタリング、その他のサイバーリスク管理コントロールをすべてのCPSに拡大することで、NIS2コンプライアンスをサポートし、簡素化します。クラロティ ポートフォリオと NIS2 の間の連携は、指令の要件の 2 つの中核領域、つまりサイバーセキュリティ リスク管理とインシデント報告に及びます。 クラロティの CPS サイバーセキュリティ ソリューションを活用し、既存の IT セキュリティ ツールおよびワークフローとシームレスに統合することで、航空組織は組織全体のすべての IT および CPS 環境にわたるすべての NIS2 要件を完全にカバーし、サポート可能になります。

◾️クラロティ公式製品ページ◾️

クラロティ　ニュースレタートップページに戻る