NIS2 指令(EU)2022/2555

    第2条

    適用範囲

    NIS2 指令(EU)2022/2555 – Article 2: 適用範囲

    1. (1) 本指令は、附属書I又はIIに掲げる類型に属し、かつ、勧告2003/361/ECの附属書第2条にいう中規模企業に該当する、又は同条第1項に定める中規模企業の上限を超える公的又は私的な事業体であって、そのサービスを提供し、又はその活動を連合域内で行うものに適用される。 当該勧告の附属書第3条第4項は、本指令の適用上、適用しない。
    2. (2) 事業体の規模を問わず、次のいずれかに該当する場合には、本指令は附属書I又はIIに掲げる類型の事業体にも適用される。
      1. 次の者によりサービスが提供される場合: (i) 公衆電子通信ネットワークの提供者又は公衆に提供される電子通信サービスの提供者; (ii) 信頼サービス提供者; (iii) トップレベル・ドメイン名レジストリ及びドメイン名システム(DNS)サービス提供者;
      2. 当該事業体が、加盟国内において、重要な社会的又は経済的活動の維持に不可欠なサービスの唯一の提供者である場合。
      3. 当該事業体が提供するサービスに支障が生じた場合に、公の安全、治安又は公衆衛生に重大な影響を及ぼし得る場合。
      4. 当該事業体が提供するサービスに支障が生じた場合に、特にそのような支障が越境的影響を及ぼし得る分野において、重大なシステミック・リスクを誘発し得る場合。
      5. 当該事業体が、特定の分野又はサービスの類型について、又は当該加盟国における他の相互依存する分野に対し、国家又は地域レベルにおける特段の重要性のゆえに、重要とみなされる場合。
      6. 当該事業体公的行政機関である場合: (i) 加盟国が国内法に従い定義する中央政府の機関である場合。又は (ii) 加盟国が国内法に従い定義する地域レベルの機関であって、リスクに基づく評価に照らし、その提供するサービスに支障が生じた場合に重要な社会的又は経済的活動に重大な影響を及ぼし得る場合。
    3. (3) 事業体の規模を問わず、本指令は、指令(EU)2022/2557に基づき重要事業体として特定された事業体に適用される。
    4. (4) 事業体の規模を問わず、本指令は、ドメイン名登録サービスを提供する事業体に適用される。
    5. (5) 加盟国は、次に掲げる者についても本指令を適用することができる。
      1. 地方レベルの公的行政機関
      2. 教育機関。特に、重要な研究活動を実施する場合。
    6. (6) 本指令は、加盟国が国家安全保障を保護する責任及び、領土の一体性の確保や治安の維持を含む、その他の不可欠な国家機能を保護する権限を害するものではない。
    7. (7) 本指令は、国家安全保障、公の安全、防衛又は法執行(犯罪の予防、捜査、検知及び訴追を含む)の分野で活動を行う公的行政機関には適用されない。
    8. (8) 加盟国は、国家安全保障、公の安全、防衛又は法執行(犯罪の予防、捜査、検知及び訴追を含む)の分野で活動を行う特定の事業体、又は本条第7項にいう公的行政機関に対してのみサービスを提供する事業体について、当該活動又はサービスに関して、第21条又は第23条に定める義務の適用を免除することができる。この場合、第VII章にいう監督及び執行の措置は、当該特定の活動又はサービスには適用されない。事業体が本項にいう類型の活動のみを行い、又はサービスのみを提供する場合には、加盟国は、これらの事業体について第3条及び第27条に定める義務の適用を免除することもできる。
    9. (9) 第7項及び第8項は、事業体信頼サービス提供者として行為する場合には適用されない。
    10. (10) 本指令は、規則(EU)2022/2554第2条第4項に従って、加盟国が同規則の適用範囲から除外した事業体には適用されない。
    11. (11) 本指令に定める義務は、開示が加盟国の国家安全保障、公の安全又は防衛の重要な利益に反することとなる情報の提出を義務づけるものではない。
    12. (12) 本指令は、規則(EU)2016/679、指令2002/58/EC、欧州議会及び理事会の指令2011/93/EU及び2013/40/EU、並びに指令(EU)2022/2557を害することなく適用される。
    13. (13) 欧州連合の機能に関する条約(TFEU)第346条を害することなく、企業秘密に関する規則等、連合又は各国の規則により機密とされる情報は、本指令の適用に必要な場合に限り、本指令に従い委員会及びその他の関係当局と交換されるものとする。交換される情報は、当該交換の目的に関連し、かつその目的に照らして均衡が取れた範囲のものに限定されなければならない。情報の交換に当たっては、当該情報の機密性を保持し、関係する事業体のセキュリティ及び商業上の利益を保護しなければならない。
    14. (14) 事業体、主管当局、単一連絡窓口及びCSIRTは、本指令の目的のために必要な限度で、かつ規則(EU)2016/679に従って個人データを処理するものとする。特に、当該処理は同規則第6条に基づくものとする。 公衆電子通信ネットワークの提供者又は公衆に提供される電子通信サービスの提供者が本指令に基づき個人データを処理する場合には、特に指令2002/58/ECを含む連合のデータ保護法及び連合のプライバシー法に従って行うものとする。