- 1. 加盟国は、基幹事業体及び重要事業体が、当該事業体がその業務の遂行又はサービスの提供のために用いるネットワーク及び情報システムのセキュリティに対するリスクを管理し、かつ、そのサービスの受益者及び他のサービスに対するインシデントの影響を防止し又は最小化するために、適切かつ比例的な技術的、運用上及び組織上の措置を講ずることを確保するものとする。
最新の技術水準並びに該当する場合には関連する欧州及び国際標準、並びに実施費用を考慮に入れつつ、第一段落にいう措置は、当該リスクに見合ったネットワーク及び情報システムのセキュリティ水準を確保するものとする。これらの措置の比例性を評価するに当たっては、事業体のリスクへの曝露の程度、事業体の規模、インシデントの発生可能性及び重大性(その社会的・経済的影響を含む)を十分考慮するものとする。 - 2. 第1項にいう措置は、インシデントからネットワーク及び情報システム並びにそれらの物理的環境を保護することを目的とするオールハザード・アプローチに基づくものとし、少なくとも次の事項を含むものとする。
- リスク分析及び情報システムのセキュリティに関する方針。
- インシデント対応。
- 事業継続(バックアップ管理及び災害復旧等)並びに危機管理。
- サプライチェーン・セキュリティ(各事業体とその直接の供給者又はサービス提供者との関係に関わるセキュリティ面を含む)。
- ネットワーク及び情報システムの取得、開発及び保守におけるセキュリティ(脆弱性の取扱い及び開示を含む)。
- サイバーセキュリティ・リスク管理措置の有効性を評価するための方針及び手続。
- 基本的なサイバー衛生の実践及びサイバーセキュリティ研修。
- 暗号技術の使用及び、適切な場合には、暗号化に関する方針及び手続。
- 人的資源のセキュリティ、アクセス制御に関する方針及び資産管理。
- 適切な場合には、事業体内における多要素認証又は継続認証ソリューションの利用、安全な音声・映像・テキスト通信並びに安全な緊急通信システムの利用。
- 3. 加盟国は、本条第2項(d)にいう措置としていかなる措置が適切であるかを検討する際に、事業体が、各直接の供給者及びサービス提供者に特有の脆弱性並びに供給者及びサービス提供者の製品の全体的な品質及びサイバーセキュリティ慣行(安全な開発手順を含む)を考慮に入れることを確保するものとする。加盟国はまた、当該点にいう措置の適切性を検討する際に、事業体が、第22条第1項に従って実施される重要なサプライチェーンに関する協調的セキュリティ・リスク評価の結果を考慮に入れることを求められるよう確保するものとする。
- 4. 加盟国は、第2項に定める措置に準拠していないことを事業体が認識した場合には、当該事業体が不当な遅滞なく、必要かつ適切で比例的な是正措置の一切を講ずることを確保するものとする。
- 5. 2024年10月17日までに、委員会は、DNSサービス提供者、TLD(トップレベルドメイン)名レジストリ、クラウド・コンピューティング・サービス提供者、データセンター・サービス提供者、コンテンツ配信ネットワーク(CDN)提供者、マネージド・サービス提供者、マネージド・セキュリティ・サービス提供者、オンライン・マーケットプレイス、オンライン検索エンジン及びソーシャル・ネットワーキング・サービス・プラットフォームの提供者並びに信頼サービス提供者に関し、第2項にいう措置の技術的要件及び方法論上の要件を定める実施行為を採択するものとする。
委員会は、本項第一段落にいう者以外の基幹事業体及び重要事業体に関し、必要に応じて、第2項にいう措置の技術的要件及び方法論上の要件並びに部門別要件を定める実施行為を採択することができる。
本項第一段落及び第二段落にいう実施行為の策定に当たって、委員会は、可能な限り、欧州及び国際標準並びに関連する技術仕様に従うものとする。委員会は、第14条第4項(e)に従い、実施行為の草案について協力グループ及びENISAと助言を交換し、協力するものとする。
当該実施行為は、第39条第2項にいう審査手続に従って採択されるものとする。
NIS2指令 指令 (EU) 2022/2555
第21条