NIS2 指令(EU)2022/2555

    第32条

    不可欠事業体に関する監督及び執行措置

    NIS2 指令(EU)2022/2555 – Article 32: 不可欠事業体に関する監督及び執行措置

    1. (1) 加盟国は、本指令に定める義務に関し不可欠事業体に課される監督又は執行措置が、各個別の事案の事情を考慮に入れつつ、効果的、均衡的(比例的)かつ抑止的であることを確保するものとする。
    2. (2) 加盟国は、所管当局が不可欠事業体に対する監督任務を行使するに当たり、少なくとも当該事業体を次の措置の対象とする権限を有することを確保するものとする:
      1. 現地検査及びオフサイト監督(訓練を受けた専門家による無作為抽出検査を含む)。
      2. 独立の機関又は所管当局によって実施される定期的監査及び対象を特定したセキュリティ監査。
      3. 随時監査(重大なインシデント又は不可欠事業体による本指令違反を理由として正当化される場合を含む)。
      4. 客観的、非差別的、公正かつ透明なリスク評価基準に基づくセキュリティ・スキャン(必要に応じ、当該事業体の協力の下で実施)。
      5. 当該事業体が採用したサイバーセキュリティ・リスク管理措置(文書化されたサイバーセキュリティ方針を含む)の評価に必要な情報、並びに第27条に従い所管当局に情報を提出する義務の遵守状況に関する情報の提出要求。
      6. 監督任務の遂行に必要なデータ、文書及び情報へのアクセスの要求。
      7. サイバーセキュリティ方針の実施を裏付ける証拠の提出要求(有資格の監査人によるセキュリティ監査の結果及びそれを支える証拠等)。
      第2項第1段落、ポイント (b)にいう対象を特定したセキュリティ監査は、所管当局又は監査対象事業体が実施したリスク評価、又はその他のリスク関連の利用可能な情報に基づくものとする。 いかなる対象を特定したセキュリティ監査の結果も、所管当局に提供されるものとする。独立の機関が実施する当該監査の費用は、所管当局が相当の根拠により異なる決定をする場合を除き、監査対象事業体が負担するものとする。
    3. (3) 所管当局は、第2項ポイント (e)、(f)又は(g)の権限を行使する場合、要求の目的を明示し、求める情報を特定するものとする。
    4. (4) 加盟国は、所管当局が不可欠事業体に対する執行権限を行使するに当たり、少なくとも次の権限を有することを確保するものとする:
      1. 当該事業体による本指令の違反について警告を発すること。
      2. 拘束力のある指示を発すること(インシデントを予防し、又は是正するために必要な措置、当該措置の実施及びその実施状況の報告に係る期限を含む)、又は、当該事業体に対し、認定された欠陥又は本指令の違反を是正するよう命ずること。
      3. 当該事業体に対し、本指令に違反する行為を停止し、当該行為を繰り返さないよう命ずること。
      4. 当該事業体に対し、サイバーセキュリティ・リスク管理措置を第21条に適合させること、又は第23条に定める報告義務を、指定された方法及び期間内に履行することを命ずること。
      5. 当該事業体がサービスを提供し又は活動を行う相手方であって、重大なサイバー脅威の影響を受け得る自然人又は法人に対し、当該脅威の性質並びに当該自然人又は法人が当該脅威に対応して取り得る保護的又は是正的措置について通知するよう命ずること。
      6. 当該事業体に対し、合理的な期限内に、セキュリティ監査の結果として示された勧告を実施するよう命ずること。
      7. 一定期間、明確に定義された任務を付して監視担当官を指名し、当該事業体による第21条及び第23条の遵守を監督させること。
      8. 当該事業体に対し、所定の方法で、本指令の侵害の側面を公表するよう命ずること。
      9. 国内法に従い、関係機関、裁判所又は法廷に対し、又は自ら、第34条に基づく行政罰金を、本項(a)から(h)までのいずれかの措置に加えて科すこと。
    5. (5) 第4項(a)から(d)及び(f)に基づき採られた執行措置が効果を奏しない場合、加盟国は、所管当局が、不可欠事業体に対し、欠陥を是正し又は当該当局の要請に適合するために必要な措置を講ずべき期限を設定する権限を有することを確保するものとする。当該期限までに要求された措置が講じられない場合、加盟国は、所管当局が次の権限を有することを確保するものとする:
      1. 国内法に従い、当該所管当局自らが、又は認証機関若しくは認可機関、裁判所又は法廷に対し、不可欠事業体が提供する関連サービス又は実施する活動の全部又は一部に係る認証又は認可を一時的に停止することを命ずる、若しくは求めること。
      2. 国内法に従い、関係機関、裁判所又は法廷に対し、不可欠事業体の最高経営責任者(CEO)又は法定代理人レベルで経営上の責任を遂行する自然人に対し、当該事業体における管理上の職務の行使を一時的に禁止するよう求めること。
      本項に基づき課される一時的な停止又は禁止は、当該事業体が欠陥を是正し、又は当該所管当局の要件に適合するために必要な措置を講ずるまでの間に限って適用されるものとする。かかる一時的停止又は禁止の賦課には、連合法の一般原則及び欧州連合基本権憲章に従った適切な手続上の保障(実効的救済及び公正な裁判を受ける権利、無罪推定並びに防御権を含む)が付されるものとする。 本項に定める執行措置は、本指令の適用対象となる公的行政機関には適用されない。
    6. (6) 加盟国は、不可欠事業体を代表する権限、その名で意思決定を行う権限又はその管理を行使する権限に基づいて、当該不可欠事業体の責任者である、又は法定代理人として行動する自然人が、当該不可欠事業体の本指令への適合を確保する権限を有することを確保するものとする。加盟国は、当該自然人が本指令の遵守確保に関する義務に違反した場合に、その責任を問うことができるようにするものとする。 公的行政機関に関しては、本項は、公務員並びに選挙又は任命により就任した公職者の責任に関する国内法を害するものではない。
    7. (7) 所管当局は、第4項又は5にいういずれかの執行措置を採るに当たり、防御権を尊重し、各個別の事案の事情を考慮し、少なくとも次の点を十分考慮に入れるものとする。
      1. 違反の重大性及び違反された規定の重要性(特に、少なくとも次のものは、いずれの場合も重大な違反を構成する。 (i) 繰り返される違反。 (ii) 重大なインシデントの通知又は是正の不履行。 (iii) 所管当局からの拘束力のある指示に従った欠陥の是正の不履行。 (iv) 違反の認定後に所管当局が命じた監査又はモニタリング活動の妨害。 (v) サイバーセキュリティ・リスク管理措置又は第21条及び第23条に定める報告義務に関し、虚偽又は著しく不正確な情報の提供。)
      2. 違反の継続期間。
      3. 当該事業体による関連する過去の違反。
      4. 生じた物的又は非物的損害(財務上又は経済上の損失、他のサービスへの影響及び影響を受けた利用者数を含む)。
      5. 違反行為者の故意又は過失の有無。
      6. 当該事業体が物的又は非物的損害を防止又は軽減するために講じた措置。
      7. 承認された行動規範又は承認された認証制度への準拠。
      8. 責任を問われる自然人又は法人の所管当局に対する協力の程度。
    8. (8) 所管当局は、自らの執行措置について詳細な理由付けを示すものとする。かかる措置を採る前に、所管当局は当該事業体に対し予備的認定を通知するものとする。また、インシデントの予防又は対応のための即時の措置が妨げられることとなる相当の根拠により正当化される事案を除き、当該事業体に対し意見提出のための合理的な期間を認めるものとする。
    9. (9) 加盟国は、本指令に基づく自国の所管当局が、指令(EU)2022/2557に基づき同一加盟国における関連所管当局に対し、指令(EU)2022/2557に基づきクリティカル事業体として特定された事業体の本指令への適合を確保することを目的として監督及び執行権限を行使する際に通知することを確保するものとする。必要に応じ、指令(EU)2022/2557に基づく所管当局は、本指令に基づく所管当局に対し、指令(EU)2022/2557に基づきクリティカル事業体として特定された事業体に関しその監督及び執行権限を行使するよう求めることができる。
    10. (10) 加盟国は、本指令に基づく自国の所管当局が、規則(EU)2022/2554に基づく当該加盟国の関連所管当局と協力することを確保するものとする。特に、規則(EU)2022/2554第31条に従い重要ICT第三者サービス提供者として指定された不可欠事業体について本指令への適合を確保することを目的として監督及び執行権限を行使する場合には、規則(EU)2022/2554第32条第1項に基づき設置された監督フォーラムに通知するものとする。