- (1) 加盟国は、基幹及び重要な 事業体 が、当該 事業体 がその業務の遂行又はサービスの提供のために用いる ネットワーク及び情報システムのセキュリティ に対する リスク を管理し、かつ、そのサービスの受益者及び他のサービスに対する インシデント の影響を防止し又は最小化するために、適切かつ比例的な技術的、運用上及び組織上の措置を講ずることを確保するものとする。 最新の技術水準並びに、該当する場合には関連する欧州及び国際 標準、並びに実施費用を考慮に入れつつ、第一段落にいう措置は、当該 リスク に見合った ネットワーク及び情報システムのセキュリティ 水準を確保するものとする。これらの措置の比例性を評価するに当たっては、事業体の リスク への曝露の程度、事業体の規模、 インシデント の発生可能性及び重大性(その社会的・経済的影響を含む)を十分考慮するものとする。
- (2) 第1項 にいう措置は、 インシデント から ネットワーク及び情報システム 並びにそれらの物理的環境を保護することを目的とするオールハザード・アプローチに基づくものとし、少なくとも次の事項を含むものとする:
- リスク 分析及び情報システムのセキュリティに関する方針;
- インシデント対応;
- 事業継続(バックアップ管理及び災害復旧等)並びに危機管理;
- サプライチェーン・セキュリティ(各事業体とその直接の供給者又はサービス提供者との関係に関わるセキュリティ面を含む);
- ネットワーク及び情報システム の取得、開発及び保守におけるセキュリティ( 脆弱性 の取扱い及び開示を含む);
- サイバーセキュリティ・ リスク 管理措置の有効性を評価するための方針及び手続;
- 基本的なサイバー衛生の実践及び サイバーセキュリティ 研修;
- 暗号技術の使用及び、適切な場合には、暗号化に関する方針及び手続;
- 人的資源のセキュリティ、アクセス制御に関する方針及び資産管理;
- 適切な場合には、 事業体 内における多要素認証又は継続認証ソリューションの利用、安全な音声・映像・テキスト通信並びに安全な緊急通信システムの利用。
- (3) 加盟国は、 第2項、 同項(d) にいう措置としていかなる措置が適切であるかを検討する際に、 事業体 が、各直接の供給者及びサービス提供者に特有の 脆弱性 並びに供給者及びサービス提供者の製品の全体的な品質及び サイバーセキュリティ 慣行(安全な開発手順を含む)を考慮に入れることを確保するものとする。加盟国はまた、当該点にいう措置の適切性を検討する際に、 事業体 が、 第22条第1項 に従って実施される重要なサプライチェーンに関する協調的セキュリティ・ リスク 評価の結果を考慮に入れることを求められるよう確保するものとする。
- (4) 加盟国は、 事業体 が 第2項 に定める措置に準拠していないことを認識した場合には、当該 事業体 が不当な遅滞なく、必要かつ適切で比例的な是正措置の一切を講ずることを確保するものとする。
- (5) 2024年10月17日までに、委員会は、 DNSサービス提供者、 TLD(トップレベルドメイン)名レジストリ、 クラウド・コンピューティング・サービス 提供者、 データセンター・サービス 提供者、 コンテンツ配信ネットワーク(CDN) 提供者、 マネージド・サービス提供者、 マネージド・セキュリティ・サービス提供者、オンライン・マーケットプレイス、 オンライン検索エンジン 及び ソーシャル・ネットワーキング・サービス・プラットフォーム の提供者並びに 信頼サービス提供者 に関し、 第2項 にいう措置の技術的要件及び方法論上の要件を定める実施行為を採択するものとする。 委員会は、本項第一段落にいう者以外の基幹及び重要な 事業体 に関し、必要に応じて、 第2項 にいう措置の技術的要件及び方法論上の要件並びに部門別要件を定める実施行為を採択することができる。 本項第一段落及び第二段落にいう実施行為の策定に当たって、委員会は、可能な限り、欧州及び国際 標準 並びに関連する 技術仕様 に従うものとする。委員会は、 第14条第4項(e) に従い、実施行為の草案について協力グループ及びENISAと助言を交換し、協力するものとする。 当該実施行為は、 第39条第2項 にいう審査手続に従って採択されるものとする。
NIS2 指令(EU)2022/2555
第21条