- (1) 加盟国は、本指令の適用範囲に属する事業体並びに、該当する場合には本指令の適用範囲に属しない他の事業体が、相互に、任意に、関連するサイバーセキュリティ情報を交換できるようにするものとする。当該情報には、サイバー脅威、ニアミス(未遂事案)、脆弱性、手法及び手順、侵害の指標(IOC)、敵対的戦術、脅威行為者特有の情報、サイバーセキュリティ上の警報、並びにサイバー攻撃を検知するためのサイバーセキュリティ・ツールの設定に関する推奨事項に係る情報が含まれ得る。当該情報共有は、次の場合に行われるものとする。
- (2) 加盟国は、情報の交換が、不可欠及び重要な事業体からなるコミュニティ、並びに該当する場合にはそれらの供給者又はサービス提供者の間で行われることを確保するものとする。当該交換は、共有される情報の潜在的に機微な性質に配慮し、サイバーセキュリティ情報共有取決めを通じて実施されるものとする。
- (3) 加盟国は、本条第2項にいうサイバーセキュリティ情報共有取決めの構築を促進するものとする。当該取決めには、専用のICTプラットフォーム及び自動化ツールの利用、並びに情報共有取決めの内容及び条件を含む運用上の要素を定めることができる。当該取決めにおける公的機関の関与の詳細を定めるに当たり、加盟国は、所管当局又はCSIRTが提供する情報に条件を付すことができる。加盟国は、第7条第2項(h)にいう自国の方針に従い、当該取決めの適用に対する支援を提供するものとする。
- (4) 加盟国は、不可欠及び重要な事業体が、本条第2項にいうサイバーセキュリティ情報共有取決めに参加するに当たり、当該参加について所管当局に通知し、又は該当する場合には、撤回が効力を生じた時点で当該取決めからの撤回について通知することを確保するものとする。
- (5) ENISAは、本条第2項にいうサイバーセキュリティ情報共有取決めの構築に関し、優良事例の共有及び指針の提供を通じて支援を行うものとする。
NIS2 指令(EU)2022/2555
第29条