NIS2 指令(EU)2022/2555

    第6条

    定義

    NIS2 指令(EU)2022/2555 – Article 6: 定義

    本指令の適用上、次の定義を用いる。

    1. (1) 「ネットワーク及び情報システム」とは、次のとおりである。
      1. 指令(EU)2018/1972第2条第1号に定義される電子通信ネットワーク。
      2. プログラムに従い、自動的にデジタルデータの処理を行うものを一つ以上含む、相互に接続又は関連づけられた機器の集合又は機器。
      3. (a) 及び (b) に掲げる要素によって、その運用、使用、保護及び保守の目的で保存、処理、検索又は送信されるデジタルデータ。
    2. (2) 「ネットワーク及び情報システムのセキュリティ」とは、所定の信頼水準において、保存、伝送又は処理されるデータ、又は当該 ネットワーク及び情報システム により提供され、若しくはそれを通じてアクセス可能なサービスの可用性、真正性、完全性又は機密性を損なうおそれのあるあらゆる事象に耐える能力をいう。
    3. (3) 「サイバーセキュリティ」とは、規則(EU)2019/881第2条第1号に定義されるサイバーセキュリティをいう。
    4. (4) 「国家サイバーセキュリティ戦略」とは、加盟国において、サイバーセキュリティの分野における戦略目標及び優先事項並びにそれらを達成するためのガバナンスを定める一貫した枠組みをいう。
    5. (5) 「ニアミス」とは、保存、伝送又は処理されるデータ、又はネットワーク及び情報システムにより提供され、若しくはそれを通じてアクセス可能なサービスの可用性、真正性、完全性又は機密性を損なう可能性があったものの、その現実化が成功裏に防止されたか、又は現実化しなかった事象をいう。
    6. (6) 「インシデント」とは、保存、伝送又は処理されるデータ、又はネットワーク及び情報システムにより提供され、若しくはそれを通じてアクセス可能なサービスの可用性、真正性、完全性又は機密性を損なう事象をいう。
    7. (7) 「大規模サイバーセキュリティ・インシデント」とは、当該インシデントへの対応に関する加盟国の能力を超えるレベルの混乱を引き起こすもの、又は少なくとも二つの加盟国に重大な影響を及ぼすインシデントをいう。
    8. (8) 「インシデント対応」とは、インシデントを防止、検知、分析し、封じ込め、又は対応し復旧することを目的とする一切の行為及び手続をいう。
    9. (9) 「リスク」とは、インシデントによって生じ得る損失又は混乱の可能性であって、当該損失又は混乱の規模と、当該インシデントの発生可能性との結合として表現されるものをいう。
    10. (10) 「サイバー脅威」とは、規則(EU)2019/881第2条第8号に定義されるサイバー脅威をいう。
    11. (11) 「重大なサイバー脅威」とは、その技術的特性に基づき、相当の物的又は非物的損害を生じさせることにより、事業体ネットワーク及び情報システム又は当該事業体のサービスの利用者に深刻な影響を及ぼし得る潜在力を有すると推定されるサイバー脅威をいう。
    12. (12) 「ICT製品」とは、規則(EU)2019/881第2条第12号に定義されるICT製品をいう。
    13. (13) 「ICTサービス」とは、規則(EU)2019/881第2条第13号に定義されるICTサービスをいう。
    14. (14) 「ICTプロセス」とは、規則(EU)2019/881第2条第14号に定義されるICTプロセスをいう。
    15. (15) 「脆弱性」とは、サイバー脅威により悪用され得るICT製品又はICTサービスの弱点、感受性又は欠陥をいう。
    16. (16) 「規格」とは、欧州議会及び理事会規則(EU)第1025/2012号第2条第1号に定義される規格をいう。(29)
    17. (17) 「技術仕様」とは、規則(EU)第1025/2012号第2条第4号に定義される技術仕様をいう。
    18. (18) 「インターネット・エクスチェンジ・ポイント(IXP)」とは、主としてインターネット・トラフィックの交換を容易にすることを目的として、相互に独立した二つを超えるネットワーク(自律システム)の相互接続を可能にするネットワーク設備であって、自律システムのみに相互接続を提供し、参加する任意の二つの自律システム間のインターネット・トラフィックが第三の自律システムを経由することを要求せず、また当該トラフィックを変更し又はその他の方法で干渉しないものをいう。
    19. (19) 「ドメイン名システム」又は「DNS」とは、階層的に分散した命名システムであって、インターネット・サービス及びリソースの識別を可能にし、エンドユーザー端末が当該サービス及びリソースに到達するためにインターネットのルーティング及び接続サービスを利用できるようにするものをいう。
    20. (20) DNSサービス提供者」とは、次のいずれかを提供する事業体をいう。
      1. インターネットのエンドユーザー向けの、公に提供される再帰的ドメイン名解決サービス。
      2. ルートネームサーバを除き、第三者の利用のための権威ドメイン名解決サービス。
    21. (21) 「トップレベル・ドメイン名レジストリ」又は「TLD名レジストリ」とは、特定のTLDの委任を受け、当該TLDの下でのドメイン名の登録及び当該TLDの技術的運用(そのネームサーバの運用、データベースの維持、並びにゾーンファイルのネームサーバ間での配布を含む)について責任を負う事業体をいい、これらの運用が当該事業体自らによって行われるか外部委託されるかを問わない。ただし、TLD名がレジストリ自らの使用のためにのみ用いられる場合を除く。
    22. (22) 「ドメイン名登録サービスを提供する事業体」とは、レジストラ又はレジストラの代理として行動する代理人(プライバシー又はプロキシ登録サービス提供者、再販業者等)をいう。
    23. (23) 「デジタルサービス」とは、欧州議会及び理事会指令(EU)2015/1535第1条第1項(b)に定義されるサービスをいう。(30)
    24. (24) 「信頼サービス」とは、規則(EU)第910/2014号第3条第16号に定義される信頼サービスをいう。
    25. (25) 「信頼サービス提供者」とは、規則(EU)第910/2014号第3条第19号に定義される信頼サービス提供者をいう。
    26. (26) 「適格信頼サービス」とは、規則(EU)第910/2014号第3条第17号に定義される適格信頼サービスをいう。
    27. (27) 「適格信頼サービス提供者」とは、規則(EU)第910/2014号第3条第20号に定義される適格信頼サービス提供者をいう。
    28. (28) 「オンライン・マーケットプレイス」とは、欧州議会及び理事会指令2005/29/EC第2条(n)に定義されるオンライン・マーケットプレイスをいう。(31)
    29. (29) 「オンライン検索エンジン」とは、欧州議会及び理事会規則(EU)2019/1150第2条第5号に定義されるオンライン検索エンジンをいう。(32)
    30. (30) 「クラウド・コンピューティング・サービス」とは、デジタルサービスであって、要求に応じた管理及び広範な遠隔アクセスにより、共有可能なコンピューティング資源のスケーラブルで弾力的なプールを利用可能にするものをいう。これには、当該資源が複数の場所に分散されている場合を含む。
    31. (31) 「データセンター・サービス」とは、データの保存、処理及び伝送サービスを提供するIT及びネットワーク機器の集中収容、相互接続及び運用に専用の構造物又は構造物群と、それに付随する電力供給及び環境制御のためのすべての設備及びインフラを包含するサービスをいう。
    32. (32) 「コンテンツ・デリバリー・ネットワーク」とは、コンテンツ及びサービス提供者に代わって、インターネット利用者に対するデジタル・コンテンツ及びサービスの高い可用性、アクセス性又は迅速な配信を確保することを目的として、地理的に分散配置されたサーバのネットワークをいう。
    33. (33) 「ソーシャル・ネットワーキング・サービス・プラットフォーム」とは、特にチャット、投稿、動画及び推奨の提示を通じて、複数のデバイスにわたりエンドユーザーが相互に接続、共有、発見及びコミュニケーションできるようにするプラットフォームをいう。
    34. (34) 「代表者」とは、連合内に設立された自然人又は法人であって、連合内に設立されていないDNSサービス提供者、TLD名レジストリドメイン名登録サービス提供事業体クラウド・コンピューティング・サービス提供者、データセンター・サービス提供者、コンテンツ・デリバリー・ネットワーク提供者、マネージド・サービス提供者マネージド・セキュリティ・サービス提供者、又はオンライン・マーケットプレイスオンライン検索エンジン若しくはソーシャル・ネットワーキング・サービス・プラットフォームの提供者のために、その者の名において行為することを明示的に指定された者をいい、本指令に基づく当該事業体の義務に関し、主管当局又はCSIRTが当該事業体に代えて当該代表者に連絡し得る者をいう。
    35. (35) 「公的行政事業体」とは、国内法に従い加盟国においてそのように認められる事業体(司法、議会又は中央銀行を除く)であって、次の基準を満たすものをいう。
      1. 一般的利益に係るニーズを満たす目的で設立され、産業的又は商業的性格を有しないこと。
      2. 法人格を有するか、又は法令により、他の法人格を有する事業体を代理して行為する権能を付与されていること。
      3. その大部分が国家、地域当局又はその他の公法により統治される機関により資金提供されていること、当該当局又は機関の経営監督下にあること、又はその行政、経営若しくは監督のための機関(ボード)の構成員の過半が国家、地域当局若しくはその他の公法により統治される機関により任命されていること。
      4. 人、物品、サービス又は資本の越境移動におけるその権利に影響を及ぼす行政上又は規制上の決定を、自然人又は法人に対して発する権限を有すること。
    36. (36) 「公衆電子通信ネットワーク」とは、指令(EU)2018/1972第2条第8号に定義される公衆電子通信ネットワークをいう。
    37. (37) 「電子通信サービス」とは、指令(EU)2018/1972第2条第4号に定義される電子通信サービスをいう。
    38. (38) 「事業体」とは、設立地の国内法の下でそのように創設され又は認められ、自らの名において権利を行使し義務を負うことができる自然人又は法人をいう。
    39. (39) 「マネージド・サービス提供者」とは、ICT製品、ネットワーク、インフラ、アプリケーション又はその他のネットワーク及び情報システムの設置、管理、運用又は保守に関連するサービスを、顧客の施設内又は遠隔での支援又は能動的な管理により提供する事業体をいう。
    40. (40) 「マネージド・セキュリティ・サービス提供者」とは、サイバーセキュリティリスク管理に関連する活動を実施し、又はその活動に対する支援を提供するマネージド・サービス提供者をいう。
    41. (41) 「研究機関」とは、商業的目的で当該研究の成果の活用を図ることを視野に入れて、応用研究又は実験的開発を主たる目的として行う事業体であって、教育機関を含まないものをいう。