主なポイント

NIS2は2024年10月にEU加盟国で施行され、2025年10月までに各国が国内法に転換する。
適用対象は、従業員250名以上の企業および重要インフラプロバイダー(エネルギー、運輸、水、医療、デジタルインフラ、金融)。
指令は取締役会の監督責任、インシデント報告義務(24時間以内のインシデント開示義務)、サプライチェーン管理を明示的に要求している。
被監査会社のNIS2コンプライアンス状況が、監査上の重要性および継続企業の前提判断に影響する場合がある。

機能と適用

NIS2指令は単なるセキュリティ要件ではなく、統治体制の要件である。ISA 315の「リスク評価の実施」フェーズで、監査人はNIS2該当企業に対して以下を検討する必要がある。(1) 被監査会社が指令の対象範囲に該当するか否かの判定、(2) 経営層によるサイバーセキュリティ戦略の策定および取締役会への報告体制、(3) インシデント管理プロセスの実装状況。
ISA 330「被監査会社の評価されたリスクに対応する監査人の手続」は、指令該当企業に対して、IT統制テストとしてセキュリティ侵害への対応能力テストを追加実施することを暗黙的に要求している。例えば、被監査会社が顧客データを保有する場合、監査人は指令が求める「24時間以内のインシデント開示」という要件に対応するための実装システム(監視ツール、ホットライン、報告スキーム)の存在および機能性を確認する必要がある。

実例:オランダの流通企業

クライアント:Hovenbroek Logistics B.V.(オランダ、アムステルダム州、従業員385名、売上€87M、年度末12月31日、IFRS対応)
段階1:対象範囲の判定
Hovenbroek Logisticsは従業員250名以上であり、また配送インフラプロバイダーとしてNIS2の「重要インフラプロバイダー」に該当する可能性がある。監査人はまず対象範囲判定マトリックスを作成し、経営層に確認を取った。
文書化ノート:監査調書に「NIS2適用判定チェックシート」を作成し、該当か否かおよび根拠となる従業員数、インフラ分類を記載。
段階2:統治体制の検証
取締役会議事録をレビューし、2024年以降のサイバーセキュリティ戦略の報告の有無を確認した。Hovenbroekは2024年4月の取締役会でセキュリティ責任者を指名し、四半期ごとのレポートを開始していた。しかし、このレポートが「セキュリティインシデント」の報告枠組みではなく、一般的なITリスク報告の延長であることが判明した。ISA 315.A124は取締役会が「特定の」リスク領域に関する情報を得ることを要求しており、一般的なIT報告ではNIS2に対応していない。
文書化ノート:「取締役会レポート評価」シートにおいて、(a) セキュリティインシデント報告の有無、(b) 24時間ルールへの言及、(c) サプライチェーン監視の言及をチェックリスト化。
段階3:インシデント対応プロセスの実装確認
Hovenbroekの監視システム(Splunk)にアクセスし、過去12ヶ月のセキュリティアラートログを確認した。システムは24時間以内の自動通知機能を備えていたが、アラート発生から経営層への報告までのプロセスが書面化されていなかった。ISA 330.17は監査人に「統制環境が要求される行動を達成するのに十分か」を評価するよう要求している。NIS2対象企業では、この「十分性」評価に「24時間ルール対応能力の文書化」が含まれるべきである。
文書化ノート:「インシデント対応プロセステスト」ワークシートに、システムアラートから経営層報告までのリードタイム(実績データから計算:平均11時間)を記載し、遵守状況を評価。
結論:Hovenbroekはシステム的にはNIS2要件を満たしている可能性が高い。しかし、統治体制の明確化(取締役会への専門的なサイバーセキュリティレポート)とプロセス文書化が不足していた。監査人は「NIS2適合性のための統治枠組みの整備」を注記事項として経営層に提示した。

監査人と規制当局が見落とすもの

  • Tier 1:規制当局の指摘: オランダのAFMは2025年度のモニタリング計画でNIS2への対応状況を抽出対象に含めると発表している。初期段階では、企業が指令の対象範囲であることを認識していないことが最多指摘になる見込みである。「従業員数250名」の判定が従業員総数(パート含む)か常勤換算か定義不明な場合、判定誤りが生じやすい。
  • Tier 2:標準要件との乖離: ISA 315.31は「監査人は事業環境および業界要因を理解する」と要求している。NIS2は事業環境の一部であり、該当企業ではISA 315のリスク評価の中核として組み込まれるべきである。しかし多くの監査チームは、ISA 315の「法令および規制環境」チェックリストにNIS2を含めていない。結果として、サイバーセキュリティリスクがIS(Internal Specific)リスクではなく、経営層の不正リスク領域に分類されず、重要性基準値から除外されるケースが散見される。
  • Tier 3:文書化の実務的欠落: 「NIS2が適用される」と認識していても、監査調書にNIS2対応プロセスの「24時間ルール」「インシデント分類」「取締役会報告の形式・頻度」が記載されないことが多い。これはISA 330のテスト記録要件ではなく、ISA 315の「リスク評価記録」要件であり、見落とされやすい領域である。
  • Tier 4:サプライチェーン上の委託先のNIS2対象判定の見落とし: NIS2は重要インフラプロバイダーだけでなく、そのサプライチェーン上の委託先にも間接的に影響する。被監査会社が自社のNIS2対象判定のみを行い、重要な外部委託先(クラウドサービス、データセンター運営者等)のNIS2対象状況を確認していない場合、ISA 402に基づく外部委託先の統制評価が不十分となる。

NIS2とその他のセキュリティフレームワークの関係

NIS2の要件の一部は、ISO 27001(情報セキュリティ管理システム)と重複する。しかし、両者は異なる管制角度を持つ。NIS2は「統治」と「インシデント報告」を明示的に要求するが、ISO 27001は「継続的改善」プロセスに重点を置く。被監査会社がISO 27001認証を保持していることは、NIS2遵守を保証しない。監査人はISA 315の「リスク評価」段階で両枠組みの要件を区別し、NIS2が求める統治体制および報告体制が実装されているか、ISO 27001の技術的統制とは別に評価する必要がある。
また、EUの一般データ保護規則(GDPR)とNIS2は相互に補完する法令である。GDPRは「個人データの保護」に焦点を当てるが、NIS2は「重要インフラとしてのシステムの可用性」に焦点を当てる。GDPRコンプライアンスはNIS2コンプライアンスを自動的に満たさない。

関連用語

  • ISA 315:リスク評価の実施: NIS2が対象企業のリスク評価に組み込まれるべき基準。
  • ISA 330:評価されたリスクへの対応: サイバーセキュリティリスク領域のテスト手続を規定する基準。
  • 継続企業の前提: NIS2違反が継続企業の前提に重大な疑義を生じさせる可能性。
  • 統制環境: NIS2が求める取締役会の監視機能は統制環境の中核。
  • 情報システムリスク: NIS2はISリスクの範囲と対応要件を拡張。
  • IT統制テスト: 被監査会社のセキュリティインシデント対応能力の検証手続。

関連ツール

NIS2対象企業のリスク評価フェーズ用に、Ciferiは「ISA 315リスク評価チェックリスト:法令および規制環境モジュール」を提供している。このツールにはNIS2適用判定マトリックスおよびサイバーセキュリティリスク領域の評価フレームワークが含まれている。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。