サイバーレジリエンス法 規則 (EU) 2024/2847

第16条

単一報告プラットフォームの設置

  1. 1. 第14条第1項及び第3項並びに第15条第1項及び第2項に規定する通知のため、並びに製造業者の報告義務を簡素化するため、ENISAにより単一報告プラットフォームを設置するものとする。当該単一報告プラットフォームの日常的な運用は、ENISAが管理し、及び維持するものとする。単一報告プラットフォームのアーキテクチャは、加盟国及びENISAが独自の電子的通知エンドポイントを設置できるものとしなければならない。
  2. 2. 通知を受領した後、当初当該通知を受領したコーディネーターとして指定されたCSIRTは、遅滞なく、単一報告プラットフォームを通じて、製造業者が当該デジタル要素を有する製品を利用可能にしたと示した領域内のコーディネーターとして指定されたCSIRTに対し、その通知を伝達しなければならない。
    例外的な状況において、特に、製造業者の要請があり、かつ、本規則第14条第2項(a)に基づき製造業者が示した通知情報の機微性の程度に照らして、当該通知の伝達は、正当なサイバーセキュリティ関連の理由に基づき、厳に必要な期間に限って遅らせることができる。これには、脆弱性が指令(EU) 2022/2555第12条第1項にいう協調的な脆弱性開示手続の対象となっている場合を含む。CSIRTが通知を留保することを決定した場合には、ENISAに対し、その決定について直ちに通知するとともに、当該通知を留保する理由及び本項に定める伝達手続に従っていつ当該通知を伝達するかを示さなければならない。ENISAは、通知の伝達の遅延に関して、サイバーセキュリティ関連の理由の適用についてCSIRTを支援することができる。
    特に例外的な状況において、製造業者第14条第2項(b)に規定する通知において、次のいずれかを示した場合には、
    1. 通知された脆弱性が悪意ある行為者により現に悪用されており、かつ、利用可能な情報によれば、製造業者が当該脆弱性を通知したコーディネーターとして指定されたCSIRTの加盟国以外の加盟国では悪用されていないこと。
    2. 通知された脆弱性を直ちにさらに伝達することにより、当該加盟国の重大な利益に反する開示となる情報が提供される可能性が高いこと。
    3. 通知された脆弱性が、さらに伝達されることに起因する差し迫った高度のサイバーセキュリティ上のリスクをもたらすこと。

    製造業者によって通知が行われたという情報、製品に関する一般的情報、エクスプロイトの一般的性質に関する情報、及びセキュリティに関連する根拠が提起されたという情報のみを、完全な通知が関係するCSIRT及びENISAに共有されるまでの間、ENISAに対して同時に利用可能なものとする。ENISAは、当該情報に基づき、域内市場におけるセキュリティに影響を及ぼすシステミックリスクが存在すると判断する場合には、受領側のCSIRTに対し、当該完全な通知を、コーディネーターとして指定された他のCSIRT及びENISA自身に共有するよう勧告するものとする。
  3. 3. デジタル要素を含む製品において現に悪用されている脆弱性に関する通知又はデジタル要素を含む製品のセキュリティに影響を及ぼす重大インシデントに関する通知を受領した後、コーディネーターとして指定されたCSIRTは、それぞれの加盟国の市場監視当局が本規則に基づく義務を履行するために必要な通知済み情報を、当該市場監視当局に提供するものとする。
  4. 4. ENISAは、単一報告プラットフォームのセキュリティ及び単一報告プラットフォームを通じて提出又は共有される情報に対して生ずるリスクを管理するため、適切かつ均衡のとれた技術的、運用上及び組織上の措置を講ずるものとする。ENISAは、単一報告プラットフォームに影響を及ぼすあらゆるセキュリティインシデントについて、不当な遅滞なく、CSIRTsネットワーク及び委員会に通知するものとする。
  5. 5. ENISAは、CSIRTsネットワークと協力して、第1項に規定する単一報告プラットフォームの設置、維持及び安全な運用に関する技術的、運用上及び組織上の措置についての仕様を定め、及び実施するものとする。これには、少なくとも、単一報告プラットフォームの設置、運用及び維持に関連するセキュリティ上の取決め、並びに国レベルでコーディネーターとして指定されたCSIRT及びEUレベルでのENISAが設置する電子的通知エンドポイントに関するものを含めるものとし、さらに、通知された脆弱性について是正措置又は緩和措置が利用可能でない場合に、当該脆弱性に関する情報が、厳格なセキュリティ・プロトコルに従い、かつ知る必要がある者に限って共有されることを確保するための手続的側面を含むものとする。
  6. 6. コーディネーターとして指定されたCSIRTが、指令 (EU) 2022/2555 第12条第1項に規定する協調的脆弱性開示手続の一環として、現に悪用されている脆弱性を認識した場合には、当初に通知を受領した当該コーディネーター指定CSIRTは、正当なサイバーセキュリティ関連の根拠に基づき、かつ厳格に必要な期間を超えない範囲で、関与する協調的脆弱性開示手続の当事者による開示への同意が得られるまで、単一報告プラットフォームを通じた関連通知の共有を遅らせることができる。この要件は、製造業者本条に定める手続に従い、任意に当該脆弱性を通知することを妨げるものではない。