- (1) 重要事業体が本指令、特にその第21条及び第23条に適合していない疑いがあることを示す証拠、示唆又は情報が提供された場合、加盟国は、必要に応じ、事後の監督措置を通じて所管当局が行動を起こすことを確保するものとする。加盟国は、各個別の事案の事情を考慮しつつ、当該措置が効果的、比例的かつ抑止的であることを確保するものとする。
- (2) 加盟国は、所管当局が、重要事業体に関する監督任務を遂行するに当たり、当該事業体を少なくとも次の対象とする権限を有することを確保するものとする。
- 訓練を受けた専門職員による現地検査及びオフサイトの事後監督。
- 独立した機関又は所管当局が実施する対象を絞ったセキュリティ監査。
- 客観的、無差別、公正かつ透明なリスク評価基準に基づくセキュリティ・スキャン(必要に応じ、当該事業体の協力を得て実施するもの)。
- 当該事業体が採用したサイバーセキュリティ・リスク管理措置(文書化されたサイバーセキュリティ方針を含む)の事後的評価に必要な情報、並びに第27条に従い所管当局に情報を提出する義務の遵守状況に関する情報の提出要求。
- 監督任務の遂行に必要なデータ、文書及び情報へのアクセスの要求。
- サイバーセキュリティ方針の実施の証拠、例えば資格を有する監査人が実施したセキュリティ監査の結果及びそれを裏付ける証拠の提出要求。
- (3) 所管当局は、第2項(d)、(e)又は(f)に基づく権限を行使するに当たり、請求の目的を明示し、求める情報を特定するものとする。
- (4) 加盟国は、所管当局が、重要事業体に関し執行権限を行使するに当たり、少なくとも次の権限を有することを確保するものとする。
- 当該事業体による本指令の侵害について警告を発すること。
- 当該事業体に対し、特定された欠陥又は本指令の侵害を是正するよう求める拘束力のある指示又は命令を採ること。
- 当該事業体に対し、本指令に違反する行為を中止し、当該行為を繰り返さないよう命ずること。
- 当該事業体に対し、そのサイバーセキュリティ・リスク管理措置を第21条に適合するよう確保し、又は第23条に定める報告義務を、定められた方法及び期間内に履行するよう命ずること。
- 当該事業体に対し、当該事業体がサービスを提供し又は活動を行う相手方であって、重大なサイバー脅威の影響を受け得る自然人又は法人に対し、当該脅威の性質並びに当該自然人又は法人が当該脅威に対応して取り得る保護的又は是正的措置について通知するよう命ずること。
- 当該事業体に対し、合理的な期限内に、セキュリティ監査の結果として示された勧告を実施するよう命ずること。
- 当該事業体に対し、所定の方法で、本指令の侵害の側面を公表するよう命ずること。
- 国内法に従い、関係機関、裁判所又は法廷に対し、又は自ら、第34条に基づく行政罰金を、本項(a)から(g)までのいずれかの措置に加えて科すこと。
- (5) 第32条第6項、第7項及び第8項は、本条に定める重要事業体に対する監督及び執行措置に準用する。
- (6) 加盟国は、本指令に基づく自国の所管当局が、規則(EU)2022/2554に基づく当該加盟国の関連所管当局と協力することを確保するものとする。特に、規則(EU)2022/2554第31条に従い重要ICT第三者サービス提供者として指定された重要事業体について本指令への適合を確保することを目的として監督及び執行権限を行使する場合には、規則(EU)2022/2554第32条第1項に基づき設置された監督フォーラムに通知するものとする。
NIS2 指令(EU)2022/2555
第33条