NIS2実施：新しいBSIポータルが始動

ImageFlow – shutterstock.com

12月初旬以降、EUの安全保障指令NIS2はドイツでも適用されています。これにより約29,500社の企業は、NIS2対象事業者として登録し、連邦情報技術安全局（BSI）に重大なセキュリティインシデントを報告する義務を負います。こうした背景を受け、BSIは情報と支援を集約して提供する新しいポータルを開発しました。

BSIポータルは情報交換を容易にすることを目指す

BSIポータル はAmazon Web Services（AWS）のクラウド基盤上に構築されており、リアルタイムデータと最新の分析を備え、迅速な対応を可能にする情報・交流プラットフォームへと段階的に拡充される予定です。

「NIS2は、重要施設および特に重要な施設、ならびに連邦行政全体がサイバーレジリエンスを効果的かつ効率的に強化することを確実にします。これらおよびその他のプロセスを快適で煩雑さのない形で実現するため、私たちはBSIポータルをワンストップショップとして設計しました」と、BSI長官のクラウディア・プラットナー氏は説明します。「企業、当局、機関の間で、関連するサイバーセキュリティ情報を安全かつ目的に沿って交換しやすくすることが狙いです。」

このポータルは、企業がリスク分析を実施し、リスク管理のための対策を実装することなどを支援します。また、すでに登録済みの企業や機関は、今後、自らの法的義務に関する情報を受け取れるようになります。

さらに、組織はサイバーセキュリティ・アライアンス（ACS）のプラットフォームを通じて参加することもできます。BSIの傘下にあるこのITセキュリティネットワークは、現在約9,000の会員に対し、知識と経験を共有するための多様な形式を提供しています。

加えてBSIは、日次状況報告書やITセキュリティ通知をこのプラットフォームで提供します。脆弱性やセキュリティホールもBSIポータルから報告でき、当局によれば、匿名かつ登録なしでも可能だとしています。

セキュリティ業界からの批判

しかし、BSIポータルがAWSでホスティングされているという事実は、一部のセキュリティ専門家の不満を招いています。LinkedInで、Cyber CompleteのCEOであるベンヤミン・リヒター氏は、デジタル主権の観点から、これは戦略的な「自爆」だと評しています。

ITセキュリティ専門家のユルゲン・マイヤースホーファー氏もこれに同意します。「欧州全体でデジタル主権とレジリエンスが議論されている最中に、これはBSIがドイツ市場に送るまったく誤ったシグナルだ。」

ITセキュリティ法を専門とする弁護士のカーステン・バーテルス氏も、BSIがAWSを選択した判断は理解しがたいとしています。「とりわけ、この当局のこのプラットフォームが」と専門家は苦言を呈しています。

「簡単に言えば、BSIは『連邦情報技術安全局』であって、『連邦情報技術主権局』ではない」と、クラウドとデータ主権を専門とするガートナーのアナリストルネ・ビュスト氏は皮肉ります。「そして安全性と主権は無関係です。非常に安全なクラウドを利用していても、同時に主権が0%ということはあり得ます。残念ながらBSIはそれを理解していません。」

おすすめ記事：NIS2を実施する――書類戦争に陥らずに