- 1. 製造業者は、デジタル要素を有する製品に含まれる現に悪用されている脆弱性であって、自らが認識したものについて、本条第7項に従いコーディネーターとして指定されたCSIRT及びENISAに対し、同時に通知しなければならない。製造業者は、当該現に悪用されている脆弱性を、第16条に基づき設置される単一報告プラットフォームを通じて通知しなければならない。
- 2. 第1項に規定する通知のため、製造業者は、次のものを提出しなければならない。
- 現に悪用されている脆弱性に関する早期警告通知であって、製造業者がこれを認識した後、遅滞なく、いかなる場合でも24時間以内に提出されるもの。この通知には、該当する場合には、製造業者が、そのデジタル要素を有する製品が提供されたことを認識している加盟国の領域を示さなければならない。
- 関連情報が既に提供されている場合を除き、脆弱性通知であって、製造業者が当該現に悪用されている脆弱性を認識した後、遅滞なく、いかなる場合でも72時間以内に提出されるもの。この通知には、入手可能な範囲で、対象となるデジタル要素を有する製品、当該攻撃手法及び当該脆弱性の一般的性質、並びに講じられた是正措置又は緩和措置、及び利用者が講じることのできる是正措置又は緩和措置に関する一般的情報を記載しなければならず、また、該当する場合には、通知された情報について製造業者がどの程度機微であると考えるかも示さなければならない。
- 関連情報が既に提供されている場合を除き、是正措置又は緩和措置が利用可能となった後14日以内に提出される最終報告書であって、少なくとも次に掲げる事項を含むもの。
- 3. 製造業者は、デジタル要素を有する製品のセキュリティに影響を及ぼす重大インシデントであって、自らが認識したものについて、本条第7項に従いコーディネーターとして指定されたCSIRT及びENISAに対し、同時に通知しなければならない。製造業者は、当該インシデントを、第16条に基づき設置される単一報告プラットフォームを通じて通知しなければならない。
- 4. 第3項に規定する通知のため、製造業者は、次のものを提出しなければならない。
- デジタル要素を備えた製品のセキュリティに影響を及ぼす重大インシデントについて、製造業者がこれを認識してから不当な遅滞なく、いかなる場合でも24時間以内に行う早期警告通知であって、少なくとも、当該インシデントが違法又は悪意ある行為に起因する疑いがあるか否かを含むものとし、また、該当する場合には、製造業者がそのデジタル要素を備えた製品が提供されたことを認識している加盟国の領域を示すものとすること。
- 関連情報が既に提供されている場合を除き、製造業者が当該インシデントを認識してから不当な遅滞なく、いかなる場合でも72時間以内に行うインシデント通知であって、利用可能な場合には、当該インシデントの性質に関する一般的情報、当該インシデントの初期評価、並びに講じられた是正又は緩和措置、および利用者が講ずることのできる是正又は緩和措置を提供するものとし、また、該当する場合には、通知された情報について製造業者がどの程度機微であると考えるかを示すものとすること。
- 関連情報が既に提供されている場合を除き、(b)号に基づくインシデント通知の提出後1か月以内に提出する最終報告であって、少なくとも次の事項を含むものとすること。
- 5. 第3項の適用上、デジタル要素を備えた製品のセキュリティに影響を及ぼすインシデントは、次のいずれかに該当する場合には、重大であるものとみなす。
- 機微又は重要なデータ若しくは機能の可用性、真正性、完全性又は機密性を保護するデジタル要素を備えた製品の能力に悪影響を及ぼし、又は及ぼし得る場合。又は
- デジタル要素を備えた製品又は当該製品の利用者のネットワーク及び情報システムにおいて、悪意あるコードの導入又は実行をもたらし、又はもたらし得る場合。
- 6. 必要な場合には、通知を最初に受領した調整役として指定されたCSIRTは、製造業者に対し、現に悪用されている脆弱性又はデジタル要素を備えた製品のセキュリティに影響を及ぼす重大インシデントに関する関連する状況更新についての中間報告の提供を求めることができる。
- 7. 本条第1項及び第3項に規定する通知は、第16条に規定する単一の報告プラットフォームを通じて、第16条第1項に規定する電子的通知エンドポイントのいずれかを用いて提出するものとする。通知は、製造業者が連合内に主たる事業所を有する加盟国の調整役として指定されたCSIRTの電子的通知エンドポイントを用いて提出するものとし、かつ、ENISAが同時にアクセス可能でなければならない。
本規則の適用上、製造業者の主たる事業所は、デジタル要素を備えたその製品のサイバーセキュリティに関連する決定が主として行われる加盟国に連合内の主たる事業所を有するものとみなす。そのような加盟国を特定できない場合には、主たる事業所は、当該製造業者が連合内に有する事業所のうち従業員数が最も多い事業所の所在する加盟国にあるものとみなす。
製造業者が連合内に主たる事業所を有しない場合には、当該製造業者は、自らが利用可能な情報に基づき、次の順序に従って決定される加盟国において調整役として指定されたCSIRTの電子的通知エンドポイントを用いて、第1項及び第3項に規定する通知を提出するものとする。- その製造者のデジタル要素を有する製品について、当該製造者を代理して行動する授権代理人が最も多くの製品に関して設立されている加盟国
- その製造者のデジタル要素を有する製品について、最も多くの製品を市場に投入する輸入業者が設立されている加盟国
- その製造者のデジタル要素を有する製品について、最も多くの製品を市場において提供する流通業者が設立されている加盟国
- その製造者のデジタル要素を有する製品の利用者が最も多く所在する加盟国
第3副段落の(d)に関しては、製造者は、デジタル要素を有する製品の安全性に影響を及ぼす、その後に生じた現に悪用されている脆弱性又は重大なインシデントに関する通知を、最初に報告を行ったコーディネーターとして指定された同一のCSIRTに提出することができる。 - 8. 製造者は、デジタル要素を有する製品の安全性に影響を及ぼす現に悪用されている脆弱性又は重大なインシデントを認識した後、当該デジタル要素を有する製品の影響を受ける利用者に対し、また適切な場合にはすべての利用者に対し、当該脆弱性又はインシデントについて、並びに必要な場合には、利用者が当該脆弱性又はインシデントの影響を軽減するために実施できるあらゆるリスク軽減措置及び是正措置について、適切な場合には容易に自動処理可能な構造化された機械可読形式により、通知しなければならない。製造者がデジタル要素を有する製品の利用者に対して適時に情報提供を行わない場合には、通知を受けたコーディネーターとして指定されたCSIRTは、当該脆弱性又はインシデントの影響の防止又は軽減のために相当かつ必要であると判断するときは、利用者に対して当該情報を提供することができる。
- 9. 委員会は、2025年12月11日までに、本規則第61条に従い委任法令を採択し、本規則第16条(2)に規定する通知の公表の延期に関し、サイバーセキュリティに関連する根拠を適用するための条件及び要件を特定することにより、本規則を補完するものとする。委員会は、当該委任法令案の作成に当たり、指令(EU) 2022/2555第15条に基づき設置されたCSIRTsネットワーク及びENISAと協力するものとする。
- 10. 委員会は、実施法令により、本条並びに第15条及び第16条に規定する通知の方式及び手続をさらに特定することができる。これらの実施法令は、第62条(2)に規定する審査手続に従って採択されるものとする。委員会は、これらの実施法令案の作成に当たり、CSIRTsネットワーク及びENISAと協力するものとする。
サイバーレジリエンス法 規則 (EU) 2024/2847
第14条