本日開始された新たな政府の取り組みは、取締役会向けの新しい指針を提供することで、英国の組織全体のサイバー・レジリエンス向上を目指す。
「サイバー・ガバナンス実務規範」は、サイバーリスクを効果的に管理するために、企業の取締役および取締役会メンバーが取るべき行動を示している。
政府は、過去1年で大企業の74%、中堅企業の70%が攻撃や侵害を経験したことを踏まえ、このレベルでの監督強化が経済成長に不可欠だと主張した。また、こうしたインシデントにより、2015年から2019年の間、国家経済に年間約220億ポンドの損失が生じたとしている。
サイバーセキュリティ担当大臣のフェリヤル・クラーク氏は、成功したサイバー攻撃は業務を混乱させ、利益から「数百万」を奪い得ると述べた。
NCSCのリソースに関する詳細はこちら: NCSC、スマートビルディングのセキュリティに関する実務規範を更新
クラーク氏はさらに、「『変革のための計画』の根幹である経済成長を推進したいのであれば、その脅威に立ち向かう英国のビジネスリーダーと肩を並べて支えていく必要がある」と付け加えた。
「私たちの新しいサイバー・ガバナンス実務規範は、まさにそれを実現するものです。日々の業務を守るために組織が取るべき手順を明確に示すと同時に、従業員の生計を守り、顧客を保護します。」
中堅・大企業向けに設計されたこの規範と関連リソースは、国立サイバーセキュリティセンター(NCSC)、科学・イノベーション・技術省(DSIT)、取締役協会、専門団体NEDonBoard、その他多数の専門家によって作成された。
内容は以下のとおり:
- 組織におけるサイバーリスクを効果的に管理するために、取締役会が取るべき行動を説明する実務規範
- 規範が重要である理由と、その手順をどのように実装するかを説明する研修パッケージ
- サイバーリスクのガバナンスを改善するための「詳細なリソース」を提供する、取締役会向けサイバーセキュリティ・ツールキット
5つのモジュール
NCSCによれば、サイバー・ガバナンス研修パッケージは、規範の5つの柱――リスク管理、戦略、人材、インシデント計画・対応・復旧、そして保証と監督――を中心に構成されている。
各モジュールは完了までわずか20分だとしている。
「現代の企業の大半は、情報、データ、デジタル技術に依存して機能しています。つまり、サイバーセキュリティリスクは、財務リスクや法的リスクと同様に、取締役会の議題に載せる必要があるのです」と、NCSC CEOのリチャード・ホーン氏は主張した。
「私のキャリアを通じて、サイバーセキュリティが成長を促進し、レジリエンスを強化し、長期的な成功を確実にするうえで不可欠であることを、私は身をもって見てきました。いまは、ますます複雑化するサプライチェーンにより、企業の業務に対するサイバーリスクを把握することがより難しくなっている状況でもあり、だからこそサイバーリスクを効果的に統治することが一層重要になっています。」
新たな実務規範は、規制当局が取締役および取締役会メンバーに対する監視を強めている時期に登場した。例えばNIS2では、重大な違反について上級管理職に直接責任を負わせている。
小規模企業には、NCSCの「小規模企業向けガイド」を参照することが推奨されている。
翻訳元: https://www.infosecurity-magazine.com/news/bords-urged-follow-new-cyber-code/
