- (1) 協力グループは、2025年1月17日に、委員会及びENISAの支援を受け、また、該当する場合にはCSIRTsネットワークの支援も受けて、共有された経験から教訓を得、相互信頼を強化し、サイバーセキュリティの高い共通水準を達成するとともに、本指令の実施に必要な加盟国のサイバーセキュリティ能力及び政策を強化することを目的として、ピアレビューの方法論及び組織的側面を定めるものとする。ピアレビューへの参加は任意である。ピアレビューはサイバーセキュリティの専門家により実施されるものとする。当該サイバーセキュリティ専門家は、レビュー対象の加盟国とは異なる少なくとも二の加盟国により指名されるものとする。
- サイバーセキュリティ・リスク管理措置並びに報告義務の実施水準(第21条及び第23条に定めるもの)。
- 能力の水準(利用可能な財政的、技術的及び人的資源を含む)並びに主管当局による任務遂行の有効性。
- CSIRTの運用能力。
- 第37条にいう相互支援の実施水準。
- サイバーセキュリティに関する情報共有取決めの実施水準(第29条にいうもの)。
- 国境を越える又は分野横断的性質を有する特定の事項。
- (2) 第1項にいう方法論には、加盟国がピアレビューの実施に適格なサイバーセキュリティ専門家を指名するための客観的、非差別的、公平かつ透明な基準を含めるものとする。委員会及びENISAは、ピアレビューにオブザーバーとして参加するものとする。
- (3) 加盟国は、ピアレビューの目的で、第1項(f)にいう特定の事項を特定することができる。
- (4) 第1項にいうピアレビューを開始する前に、加盟国は、その対象範囲(第3項に従い特定された特定の事項を含む)を参加加盟国に通知するものとする。
- (5) ピアレビューの開始前に、加盟国は、レビュー対象の側面について自己評価を行い、当該自己評価を指名されたサイバーセキュリティ専門家に提供することができる。協力グループは、委員会及びENISAの支援を受けて、加盟国の自己評価の方法論を定めるものとする。
- (6) ピアレビューには、現地(対面又は仮想)訪問並びにオフサイトでの情報交換が含まれるものとする。善意の協力の原則に則り、ピアレビューの対象となる加盟国は、評価に必要な情報を、連合法又は国内法における機密情報若しくは秘密情報の保護並びに国家安全保障等の国家の本質的機能の保護を害することなく、指名されたサイバーセキュリティ専門家に提供するものとする。協力グループは、委員会及びENISAと協力して、指名されたサイバーセキュリティ専門家の作業方法を支える適切な行動規範を策定するものとする。ピアレビューを通じて得られた情報は、当該目的のためにのみ使用されるものとする。ピアレビューに参加するサイバーセキュリティ専門家は、当該ピアレビューの過程で取得した機微な情報又は機密情報をいかなる第三者にも開示してはならない。
- (7) 一度ピアレビューの対象となった場合、当該加盟国においてレビューされた同一の側面は、当該ピアレビューの終了後2年間は、当該加盟国からの別段の要請がある場合又は協力グループの提案に基づき合意がなされた場合を除き、再度のピアレビューの対象とならないものとする。
- (8) 加盟国は、指名されたリスクの利益相反のいかなるリスクも、ピアレビューの開始前に、他の加盟国、協力グループ、委員会及びENISAに開示されることを確保するものとする。ピアレビューの対象となる加盟国は、指名を行った加盟国に通知された正当かつ十分に理由付けられた根拠に基づき、特定のサイバーセキュリティ専門家の指名に異議を申し立てることができる。
- (9) サイバーセキュリティ専門家は、ピアレビューに参加するに当たり、ピアレビューの所見及び結論に関する報告書を作成するものとする。ピアレビューの対象となった加盟国は、自国に関する報告書案に意見を提出することができ、当該意見は報告書に添付されるものとする。報告書には、ピアレビューの対象となった側面の改善を可能にする勧告を含めるものとする。報告書は、該当する場合には、協力グループ及びCSIRTsネットワークに提出されるものとする。ピアレビューの対象となった加盟国は、自国の報告書又はその秘匿処理を施した版を公表することを決定することができる。
NIS2 指令(EU)2022/2555
第19条