2024/09/13

DORA と NIS2 の違い

2024 年 9 月 13 日 Iratxe Vazquez 著

サイバーセキュリティ規制の進展に伴い、欧州ではデジタルオペレーショナルレジリエンス法(DORA)と NIS 2 指令という 2 つの重要な法律が注目を集めています。どちらもサイバーセキュリティを強化することを目的としていますが、対象とする分野が異なるため、目的と要件が異なります。

DORAとNIS 2の概要

DORA:2025 年 1 月 17 日より発効。DORA は金融セクターに重点を置き、金融機関がサイバー攻撃中および攻撃後も持ちこたえ、業務を継続できるようにすることを目的としています。主な目標は、金融サービスの可用性と完全性を維持することで、運用のレジリエンスに力点が置かれています。

NIS 2:2024 年 10 月までに国内法に移管される予定の NIS 2 は、EU 全体のサイバーセキュリティの統一を目指しています。エネルギー、運輸、医療、デジタルインフラなどさまざまな分野の重要な事業体を対象とします。この指令は、EU 域内のサイバーセキュリティの全体的レベルを高めることが目標です。

DORA と NIS2 の違い

  1. 適用範囲と対象事業者
    • DORA は、銀行、投資会社、保険会社、ICT(情報通信技術)サードパーティサービスプロバイダなど、21 の金融事業体に適用されます。
    • NIS 2 は、より広範な業種を対象としており、またエネルギーや運輸のような 必須事業体(EE)と、郵便や食品製造のような重要事業体(IE)を区別しています。
  2. 目的
    • DORA は、金融業界の業務上のレジリエンスを確保することに重点を置いています。包括的な ICT(情報通信技術)リスク管理、インシデント管理、レジリエンステスト、第三者リスク管理、金融業界内の情報共有を義務付けています。
    • NIS 2 は、EU 全体のサイバーセキュリティ態勢を改善することを目的としています。ガバナンスと、インシデントの検知・レスポンスに重点を置き、各種の重要な業界における、境界線とアセットの安全確保とテストを行います。
  3. コンプライアンスと実施
    • DORA は、EU 加盟国全てに直接適用される規制であり、各国への移管は不要です。年 1 回のレジリエンステスト、3 年ごとの脅威主導のペネトレーションテストなど、厳格なセキュリティテストを要求しています。
    • NIS 2 は指令であるため、国内法への移管が必要です。そのため、国ごとに差異が生じる可能性があります。必須事業体に対して、国際的な年間売上高の 2% 以下の罰金など、違反に対して厳しい罰則を課しています。
  4. サードパーティリスク管理
    • DORA は、金融機関に対し、ICT のサードパーティサービスプロバイダがもたらすリスクを管理し、確実な契約と継続的な監視を確保することを求めています。
    • NIS 2 もサプライチェーンのセキュリティに対応するものですが、より広い範囲の文脈では、金融サービス以外を超えてさまざまな業界に影響を与えるものです。

ウォッチガードのソリューションでコンプライアンス準拠を

ウォッチガードはパートナーの皆さまとそのお客さまが DORA と NIS 2 要件への準拠をしやすくするため、さまざまなソリューションを提供しています。

ICT リスク管理

  • Gateway AntiVirus や DNSWatch などの機能を備えたファイアウォール。
  • リスクダッシュボードと脆弱性評価を備えたエンドポイントセキュリティソリューション(EPP、EDR、EPDR、Advanced EPDR)。

インシデント管理

  • EDR と ThreatSync+ NDR による継続的な脅威監視。
  • WatchGuard MDR による 24 時間 365 日の監視とインシデントレスポンス。

レジリエンステスト

  • ThreatSync+NDR による、脅威のシミュレーションと脆弱性の特定。
  • レジリエンステストとフォレンジック分析のためのエンドポイントセキュリティソリューション。

サードパーティのリスク管理

  • ネットワークアクセスコントロールと ThreatSync+ NDR により、サードパーティのアクティビティを監視。
  • AuthPoint MFA によるセキュアなサードパーティアクセス。

パートナー向けマネージドセキュリティサービス

お客さまの作業負担を軽減し、適切なセキュリティ管理を実現するために、パートナーはウォッチガードの製品やサービスに加え、以下のマネージドサービスを提供することが可能です。

  • 24 時間 365 日のセキュリティモニタリング
  • 脅威ハンティングとインシデントレスポンス
  • パッチ管理
  • セキュリティアセスメント
  • コンプライアンスレポート
  • エンドポイント保護管理
  • ユーザトレーニングおよび意識向上

パートナーは、ウォッチガードの包括的なセキュリティソリューションを活用し、これらのマネージドサービスを提供することで、顧客のサイバーセキュリティ体制を強化し、DORA および NIS 2 へのコンプライアンスを確保することができます。

DORA についてのさらなる詳細については、以下の記事をご参照ください。
DORA とは:欧州における新しい規制

カテゴリー: セキュリティニュース

カテゴリーから絞り込む

プレスリリース
ニュース
イベント&セミナー
セキュリティニュース

お困りのことはございませんか?

製品をみる 製品の購入方法を知りたい 評価機を借りたい カタログのダウンロード WatchGuard製品を初めて使用する 購入後のサポートを知りたい お問い合わせ