- (1) 各加盟国は、高度のサイバーセキュリティ水準を達成し、これを維持することを目的として、戦略目標、当該目標を達成するために必要な資源、並びに適切な政策及び規制上の措置を定める国家サイバーセキュリティ戦略を採択するものとする。国家サイバーセキュリティ戦略には、次の事項が含まれるものとする。
- 特に附属書I及びIIに掲げる部門を対象とする、加盟国のサイバーセキュリティ戦略の目的及び優先事項。
- 本項 (a)に掲げる目的及び優先事項を達成するためのガバナンス枠組み(第2項に言及される政策を含む)。
- 国家レベルにおける関係者の役割及び責任を明確化し、本指令に基づく主管当局、単一連絡先及びCSIRT間の国内での協力及び調整、ならびに当該機関と部門別の連合法令に基づく主管当局との間の調整及び協力を支えるガバナンス枠組み。
- 関連資産を特定するためのメカニズム及び当該加盟国におけるリスクの評価。
- 公共部門と民間部門の協力を含む、インシデントへの備え、対応及び復旧を確保するための措置の特定。
- 国家サイバーセキュリティ戦略の実施に関与する各種当局及び関係者の一覧。
- 本指令に基づく主管当局と指令(EU)2022/2557に基づく主管当局との間で、リスク、サイバー脅威及びインシデント並びに非サイバーのリスク、脅威及びインシデントに関する情報共有、並びに適宜、監督任務の遂行を目的として、強化された調整を図るための政策枠組み。
- 市民の間の全般的なサイバーセキュリティ意識の水準を高めるための、必要な措置を含む計画。
- (2) 国家サイバーセキュリティ戦略の一部として、加盟国は特に次の政策を採択するものとする。
- 事業体がそのサービスの提供に用いるICT製品及びICTサービスのサプライチェーンにおけるサイバーセキュリティに対処するもの。
- 公共調達において、ICT製品及びICTサービスに係るサイバーセキュリティ関連要件の組み込み及び具体化に関するもの(サイバーセキュリティ認証、暗号及びオープンソースのサイバーセキュリティ製品の利用に関する事項を含む)。
- 脆弱性の管理に関するもの(脆弱性の協調的開示の促進及び円滑化(第12条第1項に基づく)を含む)。
- 必要に応じ海底通信ケーブルのサイバーセキュリティを含め、オープン・インターネットの公共コアの一般的な可用性、完全性及び機密性の維持に関連するもの。
- 最先端のサイバーセキュリティ・リスク管理措置の実施を目的とする、関連する先端技術の開発及び統合の促進に関するもの。
- 市民、関係者及び事業体を対象として、サイバーセキュリティに関する教育及び訓練、サイバーセキュリティ技能、意識向上及び研究開発の取組を促進・展開するとともに、良好なサイバー衛生の実践及び統制に関する指針を提供するもの。
- 学術機関及び研究機関が、サイバーセキュリティ・ツール及び安全なネットワーク・インフラの展開を開発、強化及び促進することを支援するもの。
- 連合法に従い、事業体間の任意のサイバーセキュリティ情報共有を支援するための、関連手続及び適切な情報共有ツールを含むもの。
- 特に本指令の適用範囲から除外される中小企業を対象として、その特有のニーズに応じた容易にアクセス可能な指針及び支援を提供することにより、サイバー・レジリエンス及びサイバー衛生のベースラインを強化するもの。
- 能動的サイバー防護の促進に関するもの。
- (3) 加盟国は、自国の国家サイバーセキュリティ戦略を、採択後3か月以内に委員会に通知するものとする。加盟国は、当該通知から、自国の国家安全保障に関する情報を除外することができる。
- (4) 加盟国は、自国の国家サイバーセキュリティ戦略を、主要業績指標に基づき定期的に、かつ少なくとも5年ごとに評価し、必要に応じてこれを更新するものとする。ENISAは、加盟国の求めに応じ、当該戦略を本指令に定める要件及び義務に整合させるため、国家サイバーセキュリティ戦略の策定又は更新及び当該戦略の評価のための主要業績指標の策定又は更新について、加盟国を支援するものとする。
NIS2 指令(EU)2022/2555
第7条