- (1) 各加盟国は、大規模なサイバーセキュリティ・インシデント及び危機の管理を所掌する一又は複数の主管当局(サイバー危機管理当局)を指定し、又は設置するものとする。加盟国は、当該当局が、効果的かつ効率的に付与された任務を遂行できるよう、十分な資源を有することを確保するものとする。加盟国は、一般的な国家危機管理の既存の枠組みとの整合性を確保するものとする。
- (2) 加盟国が第1項に従い二以上のサイバー危機管理当局を指定し、又は設置する場合には、当該当局のうち、どの当局が大規模なサイバーセキュリティ・インシデント及び危機の管理における調整を担うかを明確に示すものとする。
- (3) 各加盟国は、本指令の目的のため、危機の際に展開可能な能力、資産及び手続を特定するものとする。
- (4) 各加盟国は、大規模なサイバーセキュリティ・インシデント及び危機の管理の目的及び取決めを定める、国家レベルの大規模サイバーセキュリティ・インシデント及び危機対応計画を採択するものとする。当該計画には、特に次の事項を定めるものとする。
- 国家における備えの措置及び活動の目的。
- サイバー危機管理当局の任務及び責任。
- サイバー危機管理の手続(一般的な国家危機管理枠組への統合及び情報交換チャネルを含む)。
- 演習及び訓練活動を含む、国家における備えの措置。
- 関与する関連の公的及び民間の関係者並びにインフラ。
- 連合レベルにおける大規模なサイバーセキュリティ・インシデント及び危機の協調的管理に、当該加盟国が効果的に参加し、これを支援することを確保するための、関係する国内当局及び機関間の国内手続及び取決め。
- (5) 各加盟国は、第1項にいうサイバー危機管理当局の指定又は設置から3か月以内に、当該当局の名称及びその後の変更を委員会に通知するものとする。加盟国は、当該計画の採択から3か月以内に、委員会及び欧州サイバー危機リエゾン組織ネットワーク (EU-CyCLONe) に対し、第4項の要件に関連する自国の国家大規模なサイバーセキュリティ・インシデント及び危機対応計画に関する関連情報を提出するものとする。加盟国は、当該除外が自国の国家安全保障上必要である場合には、必要な範囲で情報を除外することができる。
NIS2 指令(EU)2022/2555
第9条