本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。
EMEA全域の人事リーダーやCISOにとって、2026年は単なる「規制の増えた年」ではありません。サイバー、リスク、レジリエンスの要件が、役割の構造、人材採用、人材育成の方法を直接決定する転換点です。
地域全体で、いくつかの主要な規制や枠組みが収束しています。
- ネットワーク・情報システム指令2(NIS2)
- デジタル運用レジリエンス法(DORA)
- サイバーレジリエンス法(CRA)
- 欧州サイバーセキュリティスキルフレームワーク(ECSF)
- 情報時代のスキルフレームワーク(SFIA)
それぞれが組織の異なる分野に関わっています。これらが合わさることで、HRとCISOが共同で所有しなければならない構造化されたエビデンスに基づくサイバースキル戦略へとあなたを導きます。
NIS2:「訓練」から規制された能力 へ
NIS2は、エネルギー、交通、医療、デジタルインフラ、公共行政、ICTサービスなどの分野における「必須」および「重要」機関に対するセキュリティ要件を強化します。
より根本的には、NIS2は規制当局がサイバーリスクを捉える文化的な変化を示しています。組織がインシデントを被ったかどうかだけに焦点を当てるのではなく、この指令は準備状況、つまり何かが問題が起こる前に適切なスキル、管理体制、意思決定構造の存在に責任を課しています。
反応ではなく準備が基準となります。これにより、サイバーセキュリティは技術的に後回しにされるものから、組織全体の中核的な能力へと再構築され、意図的に設計され、資源を配分し、運営されなければなりません。
労働力への影響:
- コンプライアンス管理としての訓練
NIS2はリスク分析、サイバー衛生、事業継続、定期的なサイバーセキュリティ研修を期待しています。訓練はもはや任意ではありません。役割ごとに特定され、文書化され、監査可能でなければなりません。 - リーダーシップの説明責任
上級管理職はサイバーリスク管理の承認と監督を務めなければなりません。したがって、取締役会や経営陣は基礎となるサイバーリテラシーを必要とし、人事部は経営幹部のサイバー教育を他の必須のコンプライアンス研修と同様に扱わなければなりません。 - セキュリティチームを超えたサイバー責任
IT、OT、オペレーション、人事、法務、調達の各分野に明確なサイバー役割が必要です。職務記述書や目標には、機能全体にわたるサイバー責任を明確に組み込んでいなければなりません。
その結果、セキュリティ意識向上スペシャリスト、GRCの役割、OT/ICSセキュリティ専門家の需要が増加し、より構造化されたオンボーディングや年次トレーニングサイクルが導入されました。
DORA:運用のレジリエンスを共通の使命 として
DORAは金融機関とその重要なICTプロバイダーを対象とし、デジタル運用のレジリエンス(ICTの障害やサイバーインシデントに耐え、対応し、復旧する能力)に焦点を当てています。
労働力への影響:
- ハイブリッドスキルプロファイル
DORAはICTリスク管理、インシデント報告、レジリエンステスト、第三者リスク管理を義務付けています。人材は技術、リスク、事業継続、規制知識を融合させなければなりません。これは採用プロファイルや内部の移動性に影響を与えます。 - 正式な役割と責任
CIO、CISO、CRO、リスク、監査、現場業務は、レジリエンスにおいて明確な役割を持っています。人事部は職務記述書やRACIチャートを再確認し、責任が明確かつ正当化できるものにすべきです。 - 日常文化 としてのレジリエンス
より多くのスタッフがシミュレーション、危機演習、クロスファンクショナルトレーニングに関わることになります。ソフトスキル(コミュニケーションやプレッシャー下での意思決定)は技術的なスキルと同じくらい重要になります。
その結果、レジリエンスとベンダーリスクチームの強化、人事・リスク・テクノロジーの緊密な連携、そして金融規制とサイバー/ITリスクの経験を持つ専門家の競争激化。
CRA:製品とエンジニアリング に組み込まれたサイバースキル
サイバーレジリエンス法は2024年12月から施行され、主な義務は2027年12月から適用され、デジタル製品の製造業者、ソフトウェア開発者、輸入業者および流通業者を対象としています。
労働力への影響:
- セキュリティ・バイ・デザインの能力(セキュアコーディング、アーキテクチャ、脅威モデリング、脆弱性処理)は、製品、エンジニアリング、DevOpsの役割に組み込まれなければなりません。
- プロダクトマネージャー、リリースマネージャー、サポートチームは、少なくとも基礎的なサイバーおよび規制に関する意識が必要です。
- サイバー能力はセキュリティチームだけに集中してではなく、各部門に分散されるべきです。
その結果、DevSecOps、安全なソフトウェア・ファームウェアの専門家、セキュリティ・バイ・デザインの経験を持つプロダクトマネージャーの需要が増加しています。将来志向の組織は、今から数年にわたるスキルアップを始めます。
ECSF & SFIA:規制をスキルと役割 に変える
NIS2、DORAおよびCRAが達成すべきことを定義し、ECSFとSFIAは誰がどの業務を行うべきか、どの能力で行うべきかを定義します。
- ECSFは、タスク、スキル、知識領域を含む12のサイバー職種を説明しています。
- SFIAは、デジタル、IT、サイバースキルのさまざまなレベルでのグローバルな枠組みを提供しています。
これらが合わさることで、人事とCISOは以下のことを可能にします:
- 規制要件を特定の役割やスキルレベルにマッピングします。
- 職務内容やキャリアパスを再設計しましょう。
- スキルギャップ分析を行う。
- 役割に基づく学習と認定の道筋を構築しましょう。
- 監査人や規制当局に対して組織の能力の確固たる証拠を提示すること。
人事やCISOが次に すべきことは何でしょうか
- NIS2、DORA、CRAに沿ったHR–CISO共同サイバーワークフォース戦略を構築します。
- ECSF/SFIAを使って役割プロファイルや職務記述書を更新してください。
- リスクの高い地域でスキルギャップ分析を実施しましょう。
- 一般的な認知から、認定資格を持つ階層的で役割ベースのトレーニングへと移行しましょう。
- 社内流動性や再スキルを活用して、サイバー、GRC、DevSecOps、レジリエンスの役割を埋めましょう。
規制のスケジュールは固定されています。人材パイプラインはそうではありません。今行動する組織こそが、調整された人事とCISOのアジェンダを通じて、コンプライアンスとレジリエンスの両方を保つ存在となるでしょう。
グローバル指令とCompTIA:規制をスキル、役割、認定 に変える
NIS2、DORA、CRAは達成すべきことを定義しています。ECSFとSFIAは、誰がどの能力で作業を行うべきかを定義するのに役立ちます。この実現のために、多くの組織は Security+、 CySA+、 PenTest+ 、 SecurityXなど、これらのフレームワークに明確にマッピング可能な業界認証も求めています。
- NIS2は、エネルギー、交通、医療、デジタルインフラ、公共行政、ICTサービスなどの分野における「必須」および「重要」機関に対するセキュリティ要件を強化します。
- DORAは金融機関とその重要なICTプロバイダーを対象とし、デジタル運用のレジリエンス(ICTの障害やサイバーインシデントに耐え、対応し、復旧する能力)に焦点を当てています。
- CRAは、デジタル製品の製造業者、ソフトウェア開発者、輸入業者、流通業者を対象としています。
- CompTIAの認定はこれらのフレームワークや主要指令に対応しており、HRやCISOが規制要件→役割→スキル→認定をつなげる実践的な方法を提供しています。
CompTIA認定がNIS2、DORA、CRA、ECSF、SFIAとどのように整合しているか、さまざまな役割に適した経路を特定したり、 グローバルスキル指令やフレームワークでどのように適合できるかについてチームにご相談いただくこともできます。