Definition
正直、入所してすぐの頃、NIS2は「IT監査チームの守備範囲」と整理して終わりにしていた。ところが2024年10月の各国法制化期限を境に、欧州子会社を持つ日本の親会社で対象判定が必要になる事例が出てきている。経験上、財務諸表監査の調書にNIS2の文字が一度も出てこない、という監査ファイルが一番、審査でレビューノートが付く。
主なポイント
> - NIS2は2024年10月にEU加盟国で施行され、2025年10月までに各国が国内法に転換する。 > - 適用対象は、従業員250名以上の企業および重要インフラ運営者(エネルギー、運輸、水、医療、デジタルインフラ、金融)。 > - 指令は取締役会の監督責任、インシデント報告義務(24時間以内のインシデント開示義務)、サプライチェーン管理を明示的に要求している。 > - 被監査会社のNIS2コンプライアンス状況が、監査上の重要性および継続企業の前提判断に影響する場合がある。
機能と適用
NIS2指令は単なるセキュリティ要件ではなく、統治体制の要件である。監基報315の「リスク評価の実施」フェーズで、監査人はNIS2該当企業に対して次の点を検討する。被監査会社が指令の対象範囲に該当するか否かの判定、経営層によるサイバーセキュリティ戦略の策定および取締役会への報告体制、インシデント管理プロセスの実装状況、そしてサプライチェーン上の委託先管理の4つ。
監基報330「被監査会社の評価されたリスクに対応する監査人の手続」は、指令該当企業に対して、IT統制テストとしてセキュリティ侵害への対応能力テストを追加実施することを暗黙的に要求している。例えば、被監査会社が顧客データを保有する場合、監査人は指令が求める「24時間以内のインシデント開示」という要件に対応するための実装システム(監視ツール、ホットライン、報告スキーム)の存在および機能性を確認することになる。DORAやICT統制まわりの調書とも論点が交差するため、IT監査チームに丸投げせず、財務諸表監査側でも該当箇所を引いておく。
実例:オランダの流通企業
クライアント:Hovenbroek Logistics B.V.(オランダ、アムステルダム州、従業員385名、売上€87M、年度末12月31日、IFRS対応)
段階1:対象範囲の判定 Hovenbroek Logisticsは従業員250名以上であり、配送インフラ運営者としてNIS2の「重要インフラ運営者」に該当する可能性がある。監査人はまず対象範囲判定マトリックスを作成し、経営層に確認を取った。 文書化ノート:調書に「NIS2適用判定チェックシート」を作成し、該当か否かおよび根拠となる従業員数、インフラ分類を記載。
段階2:統治体制の検証 取締役会議事録をレビューし、2024年以降のサイバーセキュリティ戦略の報告の有無を確認した。Hovenbroekは2024年4月の取締役会でセキュリティ責任者を指名し、四半期ごとのレポートを開始していた。ただ、このレポートが「セキュリティインシデント」の報告枠組みではなく、一般的なITリスク報告の延長であることが判明した。監基報315.A124は取締役会が「特定の」リスク領域に関する情報を得ることを要求しており、一般的なIT報告ではNIS2に対応していない。 文書化ノート:「取締役会レポート評価」シートにおいて、(a) セキュリティインシデント報告の有無、(b) 24時間ルールへの言及、(c) サプライチェーン監視の言及をチェックリスト化。
段階3:インシデント対応プロセスの実装確認 Hovenbroekの監視システム(Splunk)にアクセスし、過去12ヶ月のセキュリティアラートログを確認した。システムは24時間以内の自動通知機能を備えていたが、アラート発生から経営層への報告までのプロセスが書面化されていなかった。監基報330.17は監査人に「統制環境が要求される行動を達成するのに十分か」を評価するよう求めている。NIS2対象企業では、この「十分性」評価に「24時間ルール対応能力の文書化」が含まれる。 文書化ノート:「インシデント対応プロセステスト」ワークシートに、システムアラートから経営層報告までのリードタイム(実績データから計算:平均11時間)を記載し、遵守状況を評価。
結論:Hovenbroekはシステム的にはNIS2要件を満たしている可能性が高い。ただし、統治体制の明確化(取締役会への専門的なサイバーセキュリティレポート)とプロセス文書化が不足していた。監査人は「NIS2適合性のための統治枠組みの整備」を注記事項として経営層に提示した。
監査人と規制当局が見落とすもの
- Tier 1:規制当局の指摘: オランダのAFMは2025年度のモニタリング計画でNIS2への対応状況を抽出対象に含めると発表している。初期段階では、企業が指令の対象範囲であることを認識していないことが最多指摘になる見込み。「従業員数250名」の判定が従業員総数(パート含む)か常勤換算か定義不明な場合、判定誤りが生じやすい。
- Tier 2:標準要件との乖離: 監基報315.31は「監査人は事業環境および業界要因を理解する」と要求している。NIS2は事業環境の一部であり、該当企業ではリスク評価の中核として組み込まれるべきものんですよ。ところが多くの監査チームは、監基報315の「法令および規制環境」チェックリストにNIS2を含めていない。結果として、サイバーセキュリティリスクがIS(Internal Specific)リスクではなく、経営層の不正リスク領域に分類されず、重要性基準値から除外されるケースが散見される。
- Tier 3:文書化の実務的欠落: 「NIS2が適用される」と認識していても、調書にNIS2対応プロセスの「24時間ルール」「インシデント分類」「取締役会報告の形式・頻度」が記載されないことが多い。これは監基報330のテスト記録要件ではなく、監基報315の「リスク評価記録」要件であり、見落とされやすい領域である。
NIS2とその他のセキュリティ枠組みの関係
NIS2の要件の一部は、ISO 27001(情報セキュリティ管理システム)と重複する。ただ、両者は異なる管制角度を持つ。NIS2は「統治」と「インシデント報告」を明示的に要求するが、ISO 27001は「継続的改善」プロセスに重点を置く。被監査会社がISO 27001認証を保持していることは、NIS2遵守を保証しない。監査人は監基報315の「リスク評価」段階で両枠組みの要件を区別し、NIS2が求める統治体制および報告体制が実装されているか、ISO 27001の技術的統制とは別に評価することになる。
EUの一般データ保護規則(GDPR)とNIS2は相互に補完する法令。GDPRは「個人データの保護」に焦点を当てるが、NIS2は「重要インフラとしてのシステムの可用性」に焦点を当てる。GDPRコンプライアンスはNIS2コンプライアンスを自動的に満たさない。
関連用語
- ISA 315:リスク評価の実施: NIS2が対象企業のリスク評価に組み込まれる基準。 - ISA 330:評価されたリスクへの対応: サイバーセキュリティリスク領域のテスト手続を規定する基準。 - 継続企業の前提: NIS2違反が継続企業の前提に重大な疑義を生じさせる可能性。 - 統制環境: NIS2が求める取締役会の監視機能は統制環境の中核。 - 情報システムリスク: NIS2はISリスクの範囲と対応要件を拡張。 - IT統制テスト: 被監査会社のセキュリティインシデント対応能力の検証手続。
関連ツール
NIS2対象企業のリスク評価フェーズ用に、Cifieriは「ISA 315リスク評価チェックリスト:法令および規制環境モジュール」を用意している。このツールにはNIS2適用判定マトリックスおよびサイバーセキュリティリスク領域の評価枠組みが含まれている。
---