NIS2 指令(EU)2022/2555

    第23条

    報告義務

    NIS2 指令(EU)2022/2555 – Article 23: 報告義務

    1. (1) 各加盟国は、基幹事業体及び重要事業体が、第4項に従い、自らのサービスの提供に重大な影響を及ぼすインシデント重大なインシデント)について、不当な遅滞なく、自国のCSIRT又は、該当する場合には、所管当局に通報することを確保するものとする。適切な場合には、当該事業体は、そのサービスの提供に悪影響を及ぼすおそれがある重大なインシデントについて、そのサービスの受益者に対し不当な遅滞なく通知するものとする。各加盟国は、当該事業体が、とりわけ、CSIRT又は該当する場合には所管当局が当該インシデントの越境的影響の有無を判定できるようにする情報を報告することを確保するものとする。通報を行ったという事実のみをもって、通報した事業体の責任が加重されることはない。 当該事業体が第一段落に基づき重大なインシデントを所管当局に通報した場合には、加盟国は、当該所管当局が受領次第、その通報をCSIRTに転送することを確保するものとする。 国境を越える又は部門横断的な重大なインシデントの場合、加盟国は、自国の単一連絡窓口が、第4項に従って通報された関連情報を適時に提供されるよう確保するものとする。
    2. (2) 該当する場合、加盟国は、基幹事業体及び重要事業体が、重大なサイバー脅威の影響を受け得る自らのサービスの受益者に対し、当該受益者が当該脅威に対応して取り得る措置又は救済手段を不当な遅滞なく伝達することを確保するものとする。適切な場合には、当該事業体は、当該受益者に対し重大なサイバー脅威そのものについても通知するものとする。
    3. (3) インシデントは、次の場合、重大とみなされる。
      1. 当該事業体のサービスに深刻な運用上の支障を生じさせた場合、又は生じさせ得る場合、若しくは当該事業体に財務上の損失を生じさせた場合、又は生じさせ得る場合。
      2. 相当の物的又は非物的損害を生じさせることにより、他の自然人又は法人に影響を与えた場合、又は与え得る場合。
    4. (4) 加盟国は、第1項に基づく通報の目的のため、当該事業体がCSIRT又は、該当する場合には、所管当局に対し、次の各号のとおり提出することを確保するものとする。
      1. 不当な遅滞なく、かついずれにしても重大なインシデントを認識してから24時間以内に、早期警告。該当する場合には、当該早期警告には、重大なインシデントが違法又は悪意ある行為により引き起こされた疑いがあるか、又は越境的影響を及ぼし得るかどうかを示すものとする。
      2. 不当な遅滞なく、かついずれにしても重大なインシデントを認識してから72時間以内に、インシデント通報。該当する場合には、point (a)にいう情報を更新するとともに、重大なインシデントの初期評価(深刻度及び影響を含む)並びに、入手可能な場合には、侵害の指標を示すものとする。
      3. CSIRT又は、該当する場合には、所管当局の求めに応じ、関連する状況の更新に関する中間報告。
      4. point (b)に基づくインシデント通報の提出後、遅くとも1か月以内に、次の事項を含む最終報告。(i) インシデントの詳細な説明(深刻度及び影響を含む)。 (ii) 当該インシデントを引き起こした可能性が高い脅威の類型又は根本原因。 (iii) 実施済み及び継続中の緩和措置。 (iv) 該当する場合には、当該インシデントの越境的影響。
      5. point (d)にいう最終報告の提出時点でインシデントが進行中である場合には、加盟国は、当該事業体が当該時点で進捗報告を提出し、かつ当該インシデントのハンドリング終了後1か月以内に最終報告を提出することを確保するものとする。
      第一段落のpoint (b)の特則として、信頼サービス提供者は、その信頼サービスの提供に影響を及ぼす重大なインシデントについて、重大なインシデントを認識してから不当な遅滞なく、かついずれにしても24時間以内に、CSIRT又は、該当する場合には、所管当局に通報するものとする。
    5. (5) CSIRT又は所管当局は、第4項, point (a)にいう早期警告を受領後、不当な遅滞なく、可能な限り24時間以内に、通報した事業体に対し、当該重大なインシデントに関する初期的なフィードバックを含む回答を行い、また、当該事業体の求めに応じ、実施し得る緩和措置に関する指針又は運用上の助言を提供するものとする。第1項にいう通報の当初の受領者がCSIRTでない場合には、当該指針は、CSIRTと協力して所管当局が提供するものとする。CSIRTは、当該事業体から要請があった場合には、追加の技術支援を提供するものとする。重大なインシデントが刑事事件性を帯びている疑いがある場合には、CSIRT又は所管当局は、法執行当局への通報に関する指針も提供するものとする。
    6. (6) 適切な場合には、特に重大なインシデントが二以上の加盟国に関係する場合には、CSIRT、所管当局又は単一連絡窓口は、不当な遅滞なく、他の影響を受ける加盟国及びENISAに対し、当該重大なインシデントについて通知するものとする。当該通知には、第4項に従って受領した情報の類型を含めるものとする。この際、CSIRT、所管当局又は単一連絡窓口は、連合法又は国内法に従い、当該事業体のセキュリティ及び営業上の利益並びに提供された情報の機密性を保持するものとする。
    7. (7) 重大なインシデントを予防し、又は進行中の重大なインシデントに対処するために公衆への周知が必要な場合、若しくは当該重大なインシデントの公表が公益に適う場合には、加盟国のCSIRT又は、該当する場合には、その所管当局は、必要に応じ、関係する他の加盟国のCSIRT又は所管当局とともに、当該事業体と協議した後、当該重大なインシデントについて公衆に周知し、又は当該事業体にこれを行うよう求めることができる。
    8. (8) CSIRT又は所管当局の求めに応じ、単一連絡窓口は、第1項に従って受領した通報を、影響を受ける他の加盟国の単一連絡窓口に転送するものとする。
    9. (9) 単一連絡窓口は、3か月ごとに、ENISAに対し、本条第1項及び第30条に従って通報された重大なインシデントインシデントサイバー脅威及びニアミスに関する匿名化・集計化データを含む要約報告を提出するものとする。比較可能な情報の提供に資するため、ENISAは、当該要約報告に含める情報の範囲及び項目に関する技術的指針を採択することができる。ENISAは、6か月ごとに、受領した通報に関する所見を協力グループ及びCSIRTsネットワークに通知するものとする。
    10. (10) CSIRTs又は、該当する場合には、所管当局は、指令(EU) 2022/2557に基づきクリティカル事業体として識別された事業体が本条第1項及び第30条に従って通報した重大なインシデントインシデントサイバー脅威及びニアミスに関する情報を、同指令に基づく所管当局に提供するものとする。
    11. (11) 委員会は、本条第1項及び第30条に基づき提出される通報並びに本条第2項に基づき行われる連絡の情報の種類、様式及び手続をさらに特定する実施行為を採択することができる。 2024年10月17日までに、委員会は、DNSサービス提供者TLD名レジストリクラウド・コンピューティング・サービス提供者、データセンター・サービス提供者、コンテンツ配信ネットワーク(CDN)提供者、マネージド・サービス提供者マネージド・セキュリティ・サービス提供者オンライン・マーケットプレイスオンライン検索エンジン及びソーシャル・ネットワーキング・サービス・プラットフォームの提供者に関し、第3項にいうインシデントが重大とみなされる事例をさらに特定する実施行為を採択するものとする。委員会は、他の基幹事業体及び重要事業体に関しても、かかる実施行為を採択することができる。 委員会は、第14条第4項(e)に従い、本項第一及び第二段落にいう実施行為の草案について、協力グループと助言を交換し、協力するものとする。 当該実施行為は、第39条第2項にいう審査手続に従って採択されるものとする。