組織は異常なネットワークアクティビティを検知しました。ITチームが調査を行い、顧客データへの不正アクセスを発見しました。脅威は封じ込められました。さて、ここで緊急の質問です。当局に報告する必要があるでしょうか？具体的には誰に報告するべきでしょうか？どのような情報を提供するべきでしょうか？そして、どれくらいの時間が取れるでしょうか？

NIS2およびオランダ法に基づき、多くの組織はサイバーセキュリティインシデントを厳格な期限内に政府機関に報告する必要があります。通常、インシデント検知後24時間から72時間以内に報告する必要があります。規則では、報告を受領する機関、提供すべき情報、およびフォーマット要件が規定されています。期限を守らなかったり、誤った機関に報告したりすると、多額の罰金、執行措置、そして最初のインシデント発生後も続く可能性のある法的責任に直面することになります。

このガイドでは、報告義務をどのように果たすべきかを具体的に解説します。組織に適用される法律、インシデントの報告が必要となるタイミング、各段階でどの当局に連絡すべきか、各報告に必要な情報は何か、そして実際に効果のある手順を構築する方法について学びます。法律用語は避け、コンプライアンスを維持し、組織を守るために今すぐ実行できる実践的な手順に焦点を当てます。

サイバーセキュリティインシデント報告義務とは何か

サイバーセキュリティ インシデントの報告義務は、組織の規模、業種、提供するサービスによって異なります。 必須エンティティ （エネルギー、運輸、銀行、医療、重要インフラ）および 重要な団体 （郵便サービス、廃棄物管理、デジタルサービス提供者、食品生産）は、NIS2に基づく報告義務の対象となります。オランダの消費者向けに重要なインフラやデジタルサービスを運営している場合は、ほぼ確実にこれらの規則の対象となります。

完了する必要がある3つの報告段階

あなたは直面する 3つの別々の報告義務 締め切りは異なります。最初の任務は 24時間検出 重大なインシデントの場合：CSIRT（コンピュータセキュリティインシデント対応チーム）または管轄当局に早期警告を送信します。この最初の通知により、インシデントにフラグが付けられ、悪意のある活動や国境を越えた影響が疑われるかどうかが示されます。

中で 72時間にインシデント通知を提出してください。このレポートには、重大度、影響度、影響を受けたシステム、そして利用可能な侵害指標に関する初期評価が含まれます。当局が侵害の範囲と性質を把握するのに役立つ技術的な詳細情報をご提供ください。

これらの期限を守らなかった組織は、NIS2 に基づき、最高 10 万ユーロまたは世界年間売上高の 2% のいずれか高い方の罰金を科せられます。

最終報告書が届きました 1ヶ月以内 インシデント通知の提出が必要です。この包括的な文書には、インシデントの全範囲、根本原因分析、実施した緩和策、国境を越えた影響などの詳細が記載されています。月末時点でまだインシデント対応中の場合は、進捗報告書を提出し、解決後1ヶ月以内に最終報告書を提出してください。

初期報告後の追加業務

あなたもしなければなりません 影響を受ける関係者に通知する 重大なインシデントがサービス受給者に影響を及ぼす場合。この通知は遅滞なく行われ、受給者が自らを守るために実行できる実践的な手順も含まれています。 信頼サービスプロバイダー 具体的には、信頼サービスに影響するインシデントの場合、72 時間のウィンドウが 24 時間に短縮されます。

CSIRT または管轄当局は、早期警告を受け取ってから 24 時間以内に対応し、初期フィードバックと軽減策に関する運用ガイダンスを提供します。

ステップ1. 自分に適用されるEU法とオランダ法を特定する

どれを選択するかを決める必要があります 規制の枠組み インシデントが発生する前に、サイバーセキュリティ インシデントの報告義務を管理します。 NIS2 （ネットワークおよび情報セキュリティ指令）はオランダ全土に広く適用されますが、 DORA （デジタル運用レジリエンス法）および オランダの具体的な実施規則 特定のセクターに対して追加の義務を課す場合があります。まずは、各フレームワークの基準に照らして組織を評価することから始めましょう。

NIS2が組織に適用されるかどうかを確認します

NIS2は、以下の条件に該当する場合に適用される。 本質的な存在 or 重要な存在必須エンティティには、エネルギー、運輸、銀行、金融市場インフラ、医療、飲料水、廃水、デジタルインフラ、行政、宇宙分野の組織が含まれます。重要なエンティティには、郵便サービス、廃棄物管理、化学、食品生産、製造、デジタルプロバイダー、研究機関が含まれます。

組織の規模は、 デジタルサービスプロバイダー （DSP）。オンラインマーケットプレイス、クラウドサービス、または検索エンジンを少なくとも 50の従業員 そしてどちらか 年間売上高10万ユーロ or 総資産10万ユーロその他のすべての必須かつ重要な組織は、規模に関係なく義務を負います。

重要なインフラストラクチャを運用している場合、または以前に古い NIS 指令 (Wbni) に基づいて指定されていた場合は、自動的に NIS2 の資格が得られます。

オランダ政府は指定事業者の登録簿を管理しています。ご自身のステータスを確認するには、ご自身のセクターの管轄当局（エネルギーおよびデジタルインフラはRDI、金融サービスはAFMおよびDNB、ヘルスケアはIGJ）にご確認ください。 1月より前 強化された執行が始まるとき。

DORAがあなたの金融サービスをカバーしているかどうかを確認する

DORAは別途適用される 金融機関 (NAIST) および ICTサービスプロバイダー それらにサービスを提供しています。信用機関、決済サービスプロバイダー、保険会社、投資会社、暗号資産サービスプロバイダー、または電子マネー機関として事業を営んでいる場合、DORAの対象となります。この規制はNIS2と並行して施行され、独自の規制も設けられています。 報告要件.

金融サービスプロバイダーは、重要なインシデントを両機関に報告します。 AFM （AFMポータル経由）および DNB （My DNB経由）RDIに加えて、以下のすべての項目も登録する必要があります。 契約上の合意 ICT第三者 指定された期間内にこれらのポータルを通じて重要な機能を実行します。

デジタルサービスプロバイダーの義務を評価する

Wbni（オランダの実装）は、提供した場合に特定の義務を負うことになります。 オンラインマーケットプレイス、クラウドコンピューティング、検索エンジン. 事件は両方に報告します RDI (NAIST) および CSIRT-DSP （デジタルプロバイダー向けの専門インシデント対応チーム）。他の業界の重要な組織とは異なり、従業員50人以上、売上高または資産10万ユーロ以上という規模の基準があります。

信頼サービスプロバイダーが直面する 締め切りの短縮 eIDAS規制に基づき、信託サービスに影響を及ぼす重大なインシデントを報告しなければなりません。 24時間 他のエンティティに適用される標準の 72 時間のウィンドウの代わりになります。

ステップ2. インシデントを報告できるタイミングを定義する

報告基準を超えるかどうかを判断するには具体的な基準が必要です。法律では次のように定められています。 重大な事件 重大な業務中断、経済的損失、または他者への甚大な損害を引き起こすような、いわゆる「重大な」インシデントです。サイバーセキュリティインシデントの報告義務は、これらの基準を満たすインシデントを検知した時点から開始されます。調査完了時ではありません。つまり、報告に関する決定を迅速に下す必要があり、多くの場合、情報が不完全であるにもかかわらず、報告を行う必要があるのです。

組織の重大度の閾値を評価する

重大な事件とみなされるのは、 コアサービスに支障をきたす または作成する 大きな経済的影響NIS2には、業務に重大な支障をきたす、または経済的損失を引き起こすインシデントと、著しい物的損害または非物的損害を引き起こして他者に影響を及ぼすインシデントの2つの主要なカテゴリがあります。いずれかのカテゴリに該当する場合は、報告してください。

業務の中断とは、顧客へのサービス提供が不可能になったり、重要なシステムに障害が発生したり、重要なデータへのアクセスが失われたりすることです。金銭的損失には、身代金の支払い、復旧費用、収益の損失、規制当局への罰金といった直接的な費用が含まれます。法律では具体的なユーロの閾値は定められていないため、組織の規模とインシデントの相対的な影響度に基づいて評価する必要があります。

インシデントが発生する前に、社内の基準値を文書化してください。これにより、報告の決定に一貫性が生まれ、後日、当局から判断に疑問が生じた場合にも、誠実なコンプライアンスを実証できます。

重要性を評価するときは、次の指標を考慮してください。

• サービスの可用性: お客様はサービスにアクセスできますか？システムはどのくらいダウンしていましたか？
• データの整合性: 不正アクセスは発生しましたか？どのデータカテゴリーが影響を受けましたか？
• 地理的範囲: インシデントは複数の場所または国に影響を及ぼしますか?
• 顧客への影響: 何人のユーザーまたは受信者がサービス中断に遭遇しますか?
• 回復時間: 数時間、数日、または数週間以内に解決すると予想されますか?

国境を越えた影響と連鎖的な影響を評価する

事件を報告する必要があります 国境を越えた潜在的な影響 国内への影響は小さいように見えても、オランダでの事業に影響を与える出来事は、顧客、パートナー、あるいは サプライチェーン 他のEU加盟国でも発生しています。当局は国境を越えて対応を調整するため、報告義務が発生します。

連鎖効果 すべては同様に重要です。エンドユーザーへの直接的な影響の有無にかかわらず、他の重要または重要な組織に提供しているサービスに支障をきたすインシデントは報告対象となります。例えば、病院にクラウドサービスを提供していて、セキュリティ侵害が病院の患者システムに影響を与えた場合、自社の損失だけでなく、病院の業務への影響に基づいて報告する必要があります。

信頼サービスプロバイダーが直面する より厳しい基準信頼サービス（デジタル署名、証明書、タイムスタンプ）の提供に影響を与えるインシデントは、24時間以内に即時報告する必要があります。影響が一般的な重要度基準を満たしているかどうかの評価を待つ必要はありません。

ステップ3. インシデント報告手順を作成する

インシデント発生時に誰が、何を、いつ、どのように行うかを正確に規定した手順書が必要です。 事件対応計画 チームが重大なインシデントを検知した際に自動的に起動する、明確な報告ワークフローを組み込む必要があります。これらの手順により、サイバーセキュリティインシデントの報告義務は、抽象的な法的要件から、プレッシャーのかかる状況下でもスタッフが実行できる具体的な行動へと転換されます。

インシデント分類マトリックスを構築する

分類マトリックスは インシデント対応者 検知後数分以内に報告要件を決定します。インシデントの種類と重大度レベルを、報告義務、期限、および受信者の権限にマッピングした表を作成します。これにより、推測による作業がなくなり、組織全体で一貫した意思決定が可能になります。

このマトリックスをいつでも更新してください 規制の変更 あるいは、組織が新しいサービスを追加する場合など、現実的なシナリオを用いて四半期ごとにテストを行い、ギャップや混乱点を特定しましょう。

通知ワークフローを設計する

ワークフローでは、 正確な順序 事件検知から最終報告までの一連の行動を文書化します。報告の開始者、通知の確認・承認者、提出者、当局との連絡担当者を文書化します。各役割に、不在者を補うためのバックアップ担当者を配置します。

ワークフローは、営業時間外にインシデントが発生し、経営陣がすぐに対応できない状況を想定して作成する必要があります。遅延を防ぐための承認メカニズムを構築しましょう。

作る チェックリスト形式 あなたのチームは次のようになります:

1. インシデント検出: セキュリティ チームのリーダーが 2 時間以内に分類マトリックスに照らして評価します
2. 報告対象インシデントの確認: CISO に直ちに通知され、早期警告の準備を開始
3. 早期警告案：インシデントの種類、検知時間、疑わしい原因、国境を越えた潜在的な影響を含める
4. 法務レビュー: 法務顧問が 4 時間以内に草稿の正確性と完全性をレビューします。
5. 提出: CISO または代理人が 24 時間以内に公式ポータルから提出します。
6. 当局の対応: セキュリティチームは24時間以内に受け取った指示を実行します
7. インシデント通知: 技術チームは60時間経過までに詳細な評価を準備します
8. 最終提出: 72 時間の期限までに完全な文書を提出してください

各ステージのレポートテンプレートを準備する

テンプレートを使用すると、 レポートには必要な情報がすべて含まれている 準備時間を短縮します。NIS2およびオランダ当局が指定するすべての必須項目を含む、早期警告、インシデント通知、最終報告書用の個別のテンプレートを作成します。

早期警告テンプレートには、検出タイムスタンプ、インシデントカテゴリー、影響を受けたシステムの概要、疑わしい悪意のある活動の指標（はい/いいえ）、国境を越えた影響の指標（はい/いいえ）、主要連絡先情報が必要です。インシデント通知には、重大度評価、影響範囲、影響を受けたユーザー数、侵害の指標、初期緩和策を追加します。最終レポートには、インシデントの完全なタイムライン、根本原因分析、完全な影響評価、実施されたセキュリティ対策、得られた教訓、予防策の推奨事項が含まれます。

これらのテンプレートを 入力可能なフォーム チームは即座にアクセスできます。インシデント対応プラットフォーム、セキュリティWiki、オフラインバックアップに保存することで、システム停止時の可用性を確保できます。

ステップ4. トレーニングとガバナンスにレポート機能を組み込む

あなたの 報告手順 スタッフが自分の役割を理解していない場合、またはガバナンス構造が迅速な意思決定をサポートしていない場合は、失敗します。 体系的なトレーニング (NAIST) および 取締役会レベルの監督 組織がサイバーセキュリティインシデントの報告義務を常に適切に遂行できるようにするために、既存のセキュリティトレーニングプログラムに報告義務を組み込み、ガバナンスレベルで明確な説明責任を確立することが重要です。

全スタッフに検出とエスカレーションのトレーニングを実施

訓練しなければなりません 全従業員 潜在的なセキュリティインシデントを認識し、適切なエスカレーション方法を把握する必要があります。技術スタッフには分類マトリックスと報告ワークフローに関する詳細なトレーニングが必要ですが、非技術系の従業員には、異常なアクティビティを検知し、適切な担当者に速やかに連絡することに焦点を当てた、よりシンプルなガイダンスが必要です。

ラン 四半期ごとのテーブルトップ演習 報告が必要となる現実的なインシデントをシミュレートした演習です。インシデント対応チームに、検知から最終報告書の提出までの全プロセスを説明してください。これらの演習を活用して、手順のギャップを特定し、テンプレートをテストし、バックアップ担当者が役割を理解していることを確認してください。各演習後に得られた教訓を文書化し、それに応じて手順を更新してください。

一般スタッフ向けのセキュリティ意識向上トレーニングでは、次のレポートの基本事項をカバーする必要があります。

• 潜在的なセキュリティインシデントを構成するもの（異常なメール、不正アクセスの試み、データの消失）
• すぐに連絡すべき相手（セキュリティ チームの 24 時間 7 日の連絡先情報を提供してください）
• してはいけないこと（自分で調査しようとしない、証拠を消さない、月曜日まで待たない）
• スピードが重要な理由（規制の期限はインシデントの報告時ではなく検出時に開始されます）

不審な活動を直ちに検知し報告することで、組織と自分自身の両方を危険から守ることができるようにスタッフを教育する。 賠償責任コンプライアンス要件を満たすだけではありません。

既存のガバナンスにレポートを統合する

取締役会と経営幹部のニーズ 定期的なアップデート インシデント報告能力と実際のインシデントについて確認しましょう。報告手順、発生したインシデント、当局からの対応、実施された手順の改善などを含む、四​​半期ごとのガバナンスレビューをスケジュールします。これにより説明責任が明確になり、経営陣が報告義務を理解していることが保証されます。

を割り当てます 特定のエグゼクティブ インシデント報告のコンプライアンス責任者。この責任者（通常はCISOまたは最高リスク管理責任者）は、準備状況について取締役会に直接報告し、管轄当局との関係を維持し、報告ツールとトレーニングの予算を管理します。明確な責任体制を確立することで、迅速な意思決定が求められる実際のインシデント発生時に混乱を防ぐことができます。

含める レポート指標 セキュリティダッシュボードでは、検知から早期警告の提出までの時間、期限要件を満たしたインシデントの割合、当局の対応時間、完了した是正措置などを確認できます。これらの情報を毎月追跡することで、傾向と改善の機会を特定できます。

今後

これで、NIS2およびオランダ法に基づくサイバーセキュリティインシデント報告義務を果たすための完全な枠組みが完成しました。組織に適用される規制、インシデントが報告基準を超えるタイミング、通知を受け取る当局、各報告書に含めるべき情報、そしてプレッシャーの下で機能する手順の構築方法を理解しました。次のステップは、 即時実施.

まず、現在のインシデント対応計画をここで概説した要件に照らし合わせて見直してください。 分類マトリックス、準備してください レポートテンプレート、インシデント対応チームに新しいワークフローのトレーニングを実施します。最初の机上演習を以下の期間内に実施します。 次の30日間 実際のインシデントが発生する前に手順をテストします。作成したものはすべて文書化しておき、チームが必要なときにすぐにアクセスできるようにします。

サイバーセキュリティにおける法令遵守には、 技術的専門知識 (NAIST) および 法律知識これらの規制があなたの特定の状況にどのように適用されるかについての解釈に援助が必要な場合は、 contact Law & More 専門的なガイダンスを提供します。彼らのチームは、オランダの組織が複雑なサイバーセキュリティコンプライアンス要件を遵守し、業務と法的地位の両方を保護するインシデント対応フレームワークを構築するお手伝いをします。