- (1) 各加盟国は、一又は複数のCSIRTを指定し、又は設置するものとする。CSIRTは、主管当局内に指定し、又は設置してもよい。CSIRTは、第11条第1項に定める要件に適合し、少なくとも附属書I及びIIに掲げる部門、下位部門及び事業体の類型を対象とし、明確に定義された手続に従ってインシデント対応を所掌するものとする。
- (2) 加盟国は、各CSIRTが、第11条第3項に定める任務を効果的に遂行するために十分な資源を有することを確保するものとする。
- (3) 加盟国は、各CSIRTが、重要事業体及び重要度の高い事業体並びにその他の関連関係者と情報交換を行うための、適切で安全かつ高いレジリエンスを備えた通信・情報インフラを利用できることを確保するものとする。これを目的として、加盟国は、各CSIRTが安全な情報共有ツールの展開に寄与することを確保するものとする。
- (4) CSIRTは、重要事業体及び重要度の高い事業体の部門別又は部門横断的コミュニティと協力し、適切な場合には、第29条に従い関連情報を交換するものとする。
- (5) CSIRTは、第19条に従って組織されるピアレビューに参加するものとする。
- (6) 加盟国は、自国のCSIRTがCSIRTsネットワークにおいて効果的、効率的かつ安全に協力することを確保するものとする。
- (7) CSIRTは、第三国の国家コンピュータセキュリティ・インシデント対応チーム(国家CSIRT)と協力関係を構築することができる。かかる協力関係の一環として、加盟国は、トラフィック・ライト・プロトコル(TLP)を含む関連する情報共有プロトコルを用いて、当該第三国の国家CSIRTとの効果的、効率的かつ安全な情報交換を促進するものとする。CSIRTは、連合のデータ保護法に従い、個人データを含む関連情報を第三国の国家CSIRTと交換することができる。
- (8) CSIRTは、特に当該第三国の国家CSIRT又はこれに相当する第三国の機関にサイバーセキュリティ支援を提供する目的で、これらと協力することができる。
- (9) 各加盟国は、本条第1項にいうCSIRT及び第12条第1項に従い調整役として指定されたCSIRTの名称、重要事業体及び重要度の高い事業体に関するそれぞれの任務並びにこれらに対するその後の変更を、遅滞なく委員会に通知するものとする。
- (10) 加盟国は、自国のCSIRTの整備に当たり、ENISAの支援を要請することができる。
NIS2 指令(EU)2022/2555
第10条