NIS2準拠エンジニアリングパートナーの選定

目次

第 2 次ネットワーク・情報セキュリティ指令(NIS2)は 2023 年 1 月に EU 全体で発効し、加盟国の移行期限は 2024 年 10 月に終了しました。エネルギー、交通、金融サービス、健康、水、デジタルインフラストラクチャ、および公共管理における北欧の規制企業の場合、指令はもはや抽象的なコンプライアンストピックではなく、意味のある供給チェーンの意味を持つアクティブな運用上の制約です。NIS2 エンジニアリングパートナー選択北欧テクノロジーリーダーが現在答える必要がある質問は、供給チェーンセキュリティが重要かどうか(明らかにそうです)ではなく、スコープ内のシステムに触れる作業を行うエンジニアリングパートナーとの契約前に具体的に何を検証する必要があるかです。

この記事は、北欧の規制企業の CTO、CISO、およびセキュリティエンジニアリング責任者向けに作成されています。NIS2 が貴機関に適用されることをすでに知っていることを前提としており、パートナーデューディリジェンスの狭い質問に焦点を当てています:どのドキュメントを要求するか、どのコントロールを検証するか、および国家主管当局に防御可能な姿勢を示すために必要な契約メカニズムは何ですか。

この記事で扱う内容の概要

  • NIS2 は供給チェーンセキュリティを法的義務にします: 第 21(2)(d) 条は、サードパーティのエンジニアリングパートナーを含む直接サプライヤーおよびサービスプロバイダーがもたらすリスクの管理を要求しています。
  • 必須および重要なエンティティは異なる実行強度に直面します: しかし両方のティアは供給チェーン義務を実行し、必須エンティティの場合は最大 1000 万ユーロまたは世界売上高の 2% の罰金があります。
  • パートナー検証はドキュメント駆動型です: ISO 27001 認証、SOC 2 レポート、および NIS2 要件に対してマップされたコントロールは証拠ベースを形成します。
  • 北欧移行は特異性を追加しました: 各北欧諸国は、特定の管轄区域で理解する必要がある国家的なバリエーションで NIS2 を実装しました。
  • 管理上の説明責任は個人的です: 取締役および管理委員会メンバーは個人的に責任を問われる可能性があり、これはデューディリジェンスの期待を物質的に変更します。
  • 契約構造は義務を遂行する必要があります: フローダウン句、監査権、およびインシデント通知タイムラインは、供給チェーン要件がエンジニアリングパートナーに到達するメカニズムです。

NIS2 は北欧企業のパートナー選択会話をなぜ変更しますか?

元の NIS 指令(2016)は狭い範囲で、供給チェーン義務に軽いものでした。NIS2 はスコープを大幅に拡大し、明示的で交渉の余地のない供給チェーンセキュリティ要件を課します。以前は主に商業的および技術的な根拠に基づいてエンジニアリングパートナーを選択していた北欧企業の場合、デューディリジェンスバーは移動しました。

NIS2 の 3 つの側面はパートナー選択に特に関連しています。

まず、第 21 条(サイバーセキュリティリスク管理対策)は、必須および重要なエンティティが対処する必要がある 10 つの領域をリストしています。第 21(2)(d) 条は特に「各エンティティとその直接サプライヤーまたはサービスプロバイダー間の関係に関するセキュリティ関連の側面を含む供給チェーンセキュリティ」と名付けています。これはエンジニアリングパートナー選択が規制活動になるフックです。エンジニアリングパートナーは「サービスプロバイダー」であり、その関係の管理は第 21 条の対象です。

第 2 に、第 20 条は必須および重要なエンティティの管理委員会に説明責任を置きます。管理メンバーはサイバーセキュリティリスク管理対策を承認し、その実装を監視し、特定のトレーニングに従う必要があります。彼らは彼らの義務の違反について個人的に責任を問われる可能性があります。これにより、供給チェーンデューディリジェンスは運用上の問題から取締役会レベルのものに変わります。

第 3 に、第 23 条は厳しいタイムラインでインシデント報告義務を確立します。認識から 24 時間以内の早期警告、72 時間以内のインシデント通知、1 ヶ月以内の最終レポート。スコープ内のシステムで機能するエンジニアリングパートナーは、これらのタイムラインを満たすのに十分な速さで制御エンティティに通知できる必要があります。成熟したインシデント対応および通信プロセスがないパートナーは、構造的なコンプライアンスギャップを作成します。

NIS2 はエンジニアリングパートナー選択に何を要求しますか?

NIS2 は特定の調達プロセスを規定していません。サプライヤーがもたらすリスクが、リスク、最先端に比例する対策を使用して管理されることを要求しています。実際には、エンジニアリングパートナーとの契約時に、これは 5 つの具体的な要件に変わります。

リスクベースのデューディリジェンス。 デューディリジェンスの深さは、パートナーのスコープ内システムへのアクセスでスケールする必要があります。カスタマーフェーシングのマーケティングサイトを構築するパートナーは、エネルギーグリッド管理システムのエンジニアリングチームに埋め込まれたものよりも低リスクです。前者のデューディリジェンスファイルは標準的なベンダー評価かもしれません。後者の場合は、直接的なコントロール検証、アーキテクチャレビュー、および継続的な監視が含まれます。

契約内に文書化されたセキュリティ要件。 契約はパートナーが対応する義務のあるセキュリティ要件を指定する必要があり、通常は認識された標準(ISO 27001、OT 隣接作業用 IEC 62443-4-1、SOC 2、セクター固有フレームワーク)を参照して。曖昧な言語(「パートナーは適切なセキュリティ対策を維持するもの」)は防御不可能です。特定のコントロール参照はそうです。

インシデント管理義務。 パートナーは、制御エンティティが NIS2 報告義務を満たすことを可能にする検出、遏制、および通知タイムラインにコミットする必要があります。典型的な契約 SLA:疑わしいセキュリティインシデントの通知は 12 ~ 24 時間以内、構造化されたインシデントレポートは 48 時間以内、根本原因分析は 30 日以内。

監査および検証権。 制御エンティティは、パートナーのコントロールを直接または第三者の監査レポート(ISO 27001 サーベイランス監査、SOC 2 Type II レポート)を通じて検証する権利を保有する必要があります。フローダウン句は、関連する場合、これらの権利をサブプロセッサに拡張する必要があります。

サブサプライヤーの透明性。 NIS2 はすべてのサブサプライヤーの開示を強制していませんが、供給チェーンを知らなければリスク管理は証拠立てられません。契約は実質的なサブサプライヤーの開示と、変更に異議を唱える制御エンティティの権利を要求する必要があります。

NIS2 は北欧のサードパーティソフトウェアベンダーにどのような影響を与えますか?

NIS2 の北欧移行は地域全体で広く同様のパターンに従っており、理解する価値のある国家的なバリエーションがあります。

スウェーデン。 サイバーセキュリティ法(Cybersäkerhetslagen)は 2025 年 1 月から NIS2 を移行します。Myndigheten för samhällsskydd och beredskap(MSB)は国家コーディネーターで、エネルギー、交通、金融サービスのセクター固有の当局があります。スウェーデンのガイダンスは、管理委員会の説明責任と、供給チェーンリスク管理がエンタープライズリスクプロセスに埋め込まれ、別個のコンプライアンストラックとして扱われていないという期待を強調しています。

デンマーク。 NIS2 実装法は 2025 年半ばに発効し、Center for Cybersikkerhed がコーディネーティング当局として機能しています。デンマークのガイダンスは、インシデント報告の期待、および監査された場合、必須エンティティが短いタイムライン内でサプライヤーデューディリジェンスの証拠を提供できるという期待に特に具体的です。

フィンランド。 移行は改正された Kyberturvallisuuslaki(サイバーセキュリティ法)を通じて 2025 年に発効し、Liikenne- ja viestintävirasto(Traficom)がコーディネーティング当局として機能しています。フィンランドのガイダンスは、NIS2 と既存のセクター固有フレームワーク(金融サービス、エネルギー)間の相互作用を強調し、重複するコンプライアンス活動を回避しています。

ノルウェー。 ノルウェーは EU メンバーではありませんが、EEA メカニズムに参加しており、同等の規定を実装することを示唆しています。ノルウェーの規制企業、特にエネルギー(Olje- og energidepartementet はエネルギーセクターを海外出張)および金融サービスでは、NIS2 と物質的に同等の供給チェーン期待の下で動作しています。

アイスランド。 同様の EEA 駆動採用軌道。アイスランドの規制企業、特にデジタルインフラストラクチャと通信では、同等の供給チェーン義務を期待する必要があります。

地域全体で、実用的な影響はサードパーティソフトウェアベンダーとエンジニアリングパートナーが NIS2 第 21 条要件にマップされたセキュリティコントロールを証拠立てることができる必要があるということです。セキュリティをマーケティングトピックではなくエンジニアリング分野として扱うパートナーは、スコープ内の作業には使用できません。

エンジニアリングパートナーはどの NIS2 ドキュメントを提供する必要がありますか?

有能なパートナーは、重大な遅延なく、要求時に以下を提供できるはずです。

ISO/IEC 27001 認証。 情報セキュリティ管理システムの認識されたベースライン。現在の認証(有効期限切れまたは更新中断ではなく)、認定認証機関からのエンゲージメント作業をカバーしているスコープがあります。証明書、スコープ声明、および最新の適用性声明を尋ねます。

最近の監査レポート。 過去 12 ヶ月からの ISO 27001 サーベイランス監査レポート。より詳細な保証のために、少なくとも 6 ヶ月の運用期間をカバーする SOC 2 Type II レポート。OT 隣接エンジニアリング作業の場合、IEC 62443-4-1 開発ライフサイクルの認証。

情報セキュリティポリシースイート。 アクセス管理、暗号化、人員セキュリティ、物理的セキュリティ、通信セキュリティ、サプライヤー関係、インシデント管理、およびビジネス継続性をカバーする書面によるポリシー。これらは日付が付けられ、バージョン管理され、管理上の承認の証拠を表示する必要があります。

セキュアな開発ライフサイクルドキュメンテーション。 セキュアなコーディング実践、コードレビュープロセス、依存性管理、脆弱性スキャン、およびリリースコントロールの証拠。これはスコープ内のシステムに展開されるコードを作成するパートナーにとって特に重要です。

インシデント対応計画とテスト証拠。 定義されたロール、通信プロトコル、およびエスカレーションパスを備えた文書化された IR 計画。過去 12 ヶ月以内のテーブルトップ演習またはライブテストの証拠。過去のインシデント統計(匿名化)および教訓。

サブプロセッサおよびサプライチェーンレジスター。 サブプロセッサ(クラウドプロバイダー、ツーリング販売店、サブコントラクター)の維持されたレジスターで、サービス提供における彼らの役割、彼らのセキュリティ姿勢、およびパートナーの監視メカニズム。

ビジネス継続性と災害復旧計画。 パートナーが混乱の場合にサービスを維持できることの証拠。および定義されたタイムラインの中で機能を復元できます。

人員セキュリティ対策。 背景スクリーニング、機密保持義務、継続的なセキュリティ認識トレーニング、および参加者ムーバーリーバー プロセスの証拠。

データ処理ドキュメンテーション。 個人データが処理される場合、GDPR コンプライアンスガイダンスでカバーされているように SCC 付きの GDPR 準拠 DPA。NIS2 と GDPR は重なりますが、同じではありません。規制された北欧クライアントにサービスを提供するパートナーは両方に流暢であるべきです。

Eastgate は ISO 27001、ISO 9001、IEC 62443-4-1 に合わせて、北欧および EU 規制クライアント向けの標準的な実践としてこのドキュメンテーション スイートを維持しています。パートナー選択にとって重要なことは、これらのドキュメントが原則的に存在することではなく、すぐに生成でき、内部的に一貫しており、実際に動作しているコントロールを反映していることです。

NIS2 のサプライチェーン要件が最も影響する北欧産業はどこですか?

NIS2 は NIS1 より広いセクターを対象としています。必須エンティティ(Annex I)には、エネルギー、交通、銀行および金融市場インフラ、健康、飲料水、廃水、デジタルインフラ、ICT サービス管理(B2B)、公共行政、宇宙が含まれます。重要エンティティ(Annex II)には、郵便サービス、廃棄物管理、化学品、食品生産、製造業(特定のサブセクター)、デジタルプロバイダー、研究が含まれます。

北欧経済において、NIS2 サプライチェーンのデューディリジェンス活動が最も活発なセクターは以下の通りです。

エネルギー。ノルウェーの石油・ガス事業者、スウェーデンおよびフィンランドの送電網事業者、デンマークの洋上風力事業者、アイスランドの地熱事業者はいずれも厳しいサプライチェーン審査に直面しています。SCADA 関連システム、グリッド管理プラットフォーム、または資産健全性システムを担当するエンジニアリングパートナーは、最も高いデューディリジェンス基準を求められます。

交通。鉄道事業者(スウェーデンの SJ、フィンランドの VR Group、デンマークの DSB)、港湾当局、航空インフラプロバイダーは必須エンティティです。交通管理、信号、または旅客情報システムを担当するエンジニアリングパートナーは、スコープ内のサプライチェーンに含まれます。

金融サービス。北欧の銀行(Nordea、DNB、Danske、SEB、Handelsbanken、OP、Swedbank)および金融市場インフラプロバイダーは、DORA の義務と重複します。NIS2 のサプライチェーンへの期待は、DORA のサードパーティリスク要件を補強します。

デジタルインフラ。DNS プロバイダー、クラウドプロバイダー、データセンター、コンテンツデリバリーネットワークは直接スコープに含まれます。これらの事業者にサービスを提供するエンジニアリングパートナーは、特に具体的なデューディリジェンスの対象となります。

健康・医療。地域医療当局および大規模な民間医療プロバイダーは必須エンティティです。電子健康記録、医療機器接続、または患者向けプラットフォームを担当するエンジニアリングパートナーはスコープ内に含まれます。

公共行政。中央政府および国家的な移行の内容によっては大規模な地方自治体も対象です。北欧の公共部門のデジタル化プログラムは、現在積極的に NIS2 サプライチェーンのデューディリジェンスを調達プロセスに組み込んでいます。

Annex I または II のリストに含まれないセクターには NIS2 は直接適用されませんが、スコープ内の顧客からの契約上のフローダウンにより、同等の期待が生じることがよくあります。

事例:北欧のエネルギー事業者はエンジニアリングパートナーのデューディリジェンスをどのように構築しましたか?

ある北欧の送電システム事業者(電力グリッド)は、2025 年後半に NIS2 の下でエンジニアリングサービスパネルを更新していました。3 社のエンジニアリングパートナーが数年間パネルに参加しており、うち 2 社は EU 拠点、1 社は EU 域外拠点でした。内部の問いは、3 社すべてが NIS2 のデューディリジェンス基準の下で引き続き使用可能かどうかでした。

事業者の対応は、所在地を主要なフィルターとして扱うのではなく、3 社すべてに共通のデューディリジェンスフレームワークを適用することでした。フレームワークは 12 のドメインをカバーしていました:ISMS の成熟度、セキュアな開発ライフサイクル、インシデント管理、サプライチェーンの透明性、人員セキュリティ、物理的セキュリティ、暗号化コントロール、アクセス管理、監視およびロギング、ビジネス継続性、データ保護、規制への準拠。各パートナーは自己申告ではなく証拠に基づいて評価されました。

結果は、EU 所在地がより高いスコアに相関すると想定していた内部関係者にとって直感に反するものでした。EU 拠点のパートナーの 1 社は、インシデント管理の成熟度において EU 域外パートナーより低いスコアを記録しました(過去 24 ヶ月間に文書化された IR 演習がなかった)。また、サブプロセッサの透明性でも同様でした(開示していないクラウドツールを使用していた)。EU クライアントの要求に応じて ISO 27001 および IEC 62443-4-1 の認証を取得していた EU 域外パートナーは、証拠ベースのスコアリングで EU 拠点の両パートナーと同等またはそれ以上のスコアを獲得しました。

事業者は 3 社すべてのパートナーを維持しましたが、異なるエンゲージメントティアで運用しました。最高スコアのパートナー(たまたま EU 域外だった)は最も機密性の高い作業に割り当てられました。インシデント管理が弱かった EU パートナーは、6 ヶ月後の再評価を伴う改善計画に置かれました。この決定は、評判ベースではなく証拠ベースであったため、取締役会および国家主管当局に対して説明可能なものでした。

この事例から得られる教訓は、NIS2 のデューディリジェンスは地理的な問題ではなく、証拠の問題だということです。検証可能なコントロールに投資したパートナーは審査に耐えられますが、知名度やブランドに依存するパートナーは必ずしもそうではありません。Eastgate が規制インフラクライアントのためにパートナーエンゲージメントをどのように構築しているかは、ミッションクリティカルエンジニアリングサービスをご覧ください。

NIS2 パートナーのオンボーディングタイムラインはどのようなものですか?

北欧の規制対象エンティティが NIS2 の下で新しいエンジニアリングパートナーをオンボーディングする場合、デューディリジェンスと契約のプロセスは通常 8 週間から 14 週間かかります。

1〜2週目:初期スクリーニング。パートナーの ISO 27001 認証、最近の監査レポート、および高レベルのセキュリティドキュメントを請求して審査します。合否フィルター:現在有効な認証を持たないパートナーは、通常スコープ内の作業には進みません。

3〜5週目:詳細なデューディリジェンス。完全なドキュメントスイートを審査し、パートナーのセキュリティチームと技術インタビューを実施し、インシデント対応手順を確認し、サブプロセッサのレジスターを検証します。ここでギャップが最も頻繁に発覚し、パートナーの是正措置または契約上の補足措置によって対処されます。

5〜8週目:契約交渉。NIS2 Article 21 の義務のフローダウン、Article 23 のタイムラインに合わせたインシデント報告 SLA、監査権、サブプロセッサの変更通知、および終了条項。多国籍事業者の場合、親事業体のテンプレートとの整合作業で通常時間が追加されます。

8〜10週目:管理委員会の承認。Article 20 の下、管理委員会は重要なサイバーセキュリティリスク管理措置を承認する必要があります。定義された閾値を超えるサプライヤーエンゲージメントは、最初の実作業前に正式な管理承認が必要となります。

10〜14週目:オンボーディング。技術的なオンボーディング、アクセスのプロビジョニング、セキュリティブリーフィング、および最初の実稼働スプリント。定義されたレビューサイクル(通常は四半期ごとの運用レビュー、年次の完全再評価)で継続的な監視フレームワークを確立します。

同じパートナーとの後続エンゲージメントは短縮されますが、管理委員会の承認ステップと契約固有の条項は完全に事前に固定することはできません。新たなスコープごとに独自のリスク評価が必要です。

NIS2 と並行して考慮すべき他のコンプライアンスフレームワークは何ですか?

NIS2 が単独で機能することはほとんどありません。北欧の規制対象エンティティは通常、エンジニアリングパートナーの取り決めを複数の重複するフレームワークに合わせる必要があります。

DORA(デジタル運用レジリエンス法)。金融サービスの場合、DORA のサードパーティリスク管理要件(2025 年 1 月施行)は NIS2 Article 21(2)(d) と大幅に重複します。DORA は契約内容についてより規範的であり、特定の ICT サードパーティリスクカテゴリー(重要、再委託)を導入しています。DORA を満たすパートナーの取り決めは、同一スコープにおいて通常 NIS2 も満たします。

GDPR。個人データがスコープ内にある場合、GDPR Article 28 の DPA および第 5 章の移転メカニズムは NIS2 の条項と並行して整備する必要があります。NIS2 は GDPR に取って代わるものではなく、それに追加するものです。

セクター固有のフレームワーク。エネルギー(NERC CIP 相当の国内フレームワーク、ENTSO-E 調整)、交通(鉄道信号標準、航空 CS セクターフレームワーク)、健康・医療(SaMD 向け MDR)、金融サービス(国内プルーデンシャルフレームワーク)がさらなる層を追加します。

サイバーレジリエンス法(CRA)。エンジニアリングパートナーが EU 市場に投入されるデジタル要素を含む製品に貢献している場合に関連します。CRA は製品レベルのセキュリティ義務を生み出し、エンティティレベルの NIS2 義務と相互作用します。

AI Act。エンジニアリング作業に AI システムが関与する場合、EU の AI Act はリスク分類、透明性、およびドキュメント義務を追加し、エンジニアリングパートナーはこれらを理解する必要があります。

成熟したパートナーは、各フレームワークを個別のコンプライアンストラックとして扱うのではなく、単一のマトリックスでこれらのフレームワーク全体にわたってコントロールをマッピングできるはずです。

経営層向け FAQ

NIS2 は非 EU エンジニアリングパートナーを禁止していますか?

いいえ。NIS2 は供給チェーンリスク管理を要求し、地理的制限ではありません。同等のコントロールを証拠立てることができる非 EU パートナーは使用可能です。できない EU パートナーはそうではありません。管轄区域ではなく、証拠が重いです。

NIS2 の下でエンジニアリングパートナーを再評価する必要がある頻度は?

継続的な監視に加えて年間の完全な再評価が一般的なパターンです。トリガーイベント(インシデント、コントロール障害、パートナーの組織の大きな変化、エンゲージメント範囲の物質的な変化)はアドホック レビューをトリガーする必要があります。年間再評価は典型的な ISO 27001 サーベイランス監査サイクルと一致します。

組織内で誰が NIS2 パートナー デューディリジェンスを所有していますか?

通常、CISO またはセキュリティヘッド、調達、法務、および関連するビジネスオーナーと協力しています。管理委員会が承認しますが、運用作業はセキュリティに位置しています。必須エンティティの場合、名前の付いた説明責任のある個人は、国家的な移行で明示的に要求されていなくても一般的な実践です。

各エンジニアリングパートナーに保つべき最小ドキュメンテーションは何ですか?

最低限:NIS2 規定を含む実行済み契約、該当する場合は DPA、初期デューディリジェンスファイル(認証、監査レポート、ポリシーレビュー)、継続的な監視レコード(インシデント通知、管理変更、監査更新)、管理委員会の承認記録、および例外またはリスク受け入れドキュメンテーション。これは、国家主管当局が供給チェーン管理を監査する場合に生成するファイルです。

次のエンジニアリングパートナーの決定の適格

NIS2 は供給チェーンセキュリティを「あるといい」から、管理委員会の個人的な説明責任を持つ直接規制活動に変換しました。このフレームワーク内で動作できるパートナーは、検証可能なコントロール、成熟したドキュメンテーション、およびアクティブなインシデント と監査シナリオを通じてクライアントをサポートする能力に投資しました。できないパートナーは通常、デューディリジェンスの下でギャップをすぐに明らかにします。

Eastgate Software は、これらの正確な条件の下で北欧および EU 規制クライアントと機能します。ISO 27001、ISO 9001、IEC 62443-4-1 認定配信。文書化されたセキュアな開発ライフサイクル。第 23 条のタイムラインに合わせた成熟したインシデント管理。透明なサブプロセッサ ガバナンス。および NIS2 義務を運用上のエンジニアリング作業にフローダウンする契約フレームワーク。新しいエンジニアリングパートナーをオンボードしているか、NIS2 の下で既存のパートナーを再評価している場合、当社が提供するであろう特定のドキュメンテーションおよび管理証拠の詳細について説明できます。北欧エンゲージメントアプローチを探索するか、当社のコンプライアンスチームとの発見会話を開始してください。

NIS2 パートナー選択は証拠の練習です。証拠をすばやく、一貫して、圧力下で生成できるパートナーを選択します。

今すぐ始める

次のプロダクト開発を始めませんか?

30分のディスカバリー通話から始めましょう。貴社の技術環境を整理し、最適なエンジニアリング方針をご提案します。

000 +

エンジニア

フルスタック、AI/ML、ドメイン専門家の体制

00 %

顧客継続率

グローバル企業との複数年にわたるパートナーシップ

0 -wk

平均立ち上がり

フルチームを投入し、生産性を最短で確立