« U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます | Main | クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合 »

2020.12.28

欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

こんにちは、丸山満彦です。

欧州委員会が新しいサイバーセキュリティ戦略 (The EU's Cybersecurity Strategy for the Digital Decade) を公表し、「Directive on Security of Network and Information Systems(ネットワークおよび情報システムのセキュリティに関する指令)の改訂(NIS2 Derective)を提案していますね。。。

 

 

EU Commission

・2020.12.16 (Press) New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient

・[PDF]

サイバーセキュリティ戦略

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・・The Cybersecurity Strategy

戦略の本文は次のPDFです。

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

目次は、

原文 仮訳
I. INTRODUCTION: A CYBERSECURE DIGITAL TRANSFORMATION IN A COMPLEX THREAT ENVIRONMENT I. 序文:複雑な脅威環境下でのサイバースセキュア・デジタル・トランスフォーメーション
II. THINKING GLOBAL, ACTING EUROPEAN II. グローバルに考え、ヨーロッパに行動する
1. RESILIENCE, TECHNOLOGICAL SOVEREIGNTY AND LEADERSHIP 1. 回復力、技術的地位およびリーダーシップ
1.1 Resilient infrastructure and critical services 1.1 回復力のあるインフラと重要なサービス
1.2 Building a European Cyber Shield 1.2 欧州のサイバー盾の構築
1.3 An ultra-secure communication infrastructure 1.3 超セキュアな通信インフラ
1.4 Securing the next generation of broadband mobile networks 1.4 次世代のブロードバンドモバイルネットワークの確保
1.5 An Internet of Secure Things 1.5 セキュアなIoT
1.6 Greater global Internet security 1.6 世界的なインターネットセキュリティの拡大
1.7 A reinforced presence on the technology supply chain 1.7 技術サプライチェーンにおける存在感の強化
1.8 A Cyber-skilled EU workforce 1.8 サイバースキルを持ったEUの労働力
2. BUILDING OPERATIONAL CAPACITY TO PREVENT, DETER AND RESPOND 2. 防止、抑止、対応するための運用能力の構築
2.1 A Joint Cyber Unit 2.1 共同サイバーユニット
2.2 Tackling cybercrime 2.2 サイバー犯罪への取り組み
2.3 EU cyber diplomacy toolbox 2.3 EUのサイバー外交ツールボックス
2.4 Boosting cyber defence capabilities 2.4 サイバー防衛力の強化
3. ADVANCING A GLOBAL AND OPEN CYBERSPACE 3. グローバルでオープンなサイバー空間の推進
3.1 EU leadership on standards, norms and frameworks in cyberspace 3.1 サイバー空間における基準、規範、枠組みに関するEUのリーダーシップ
  Stepping up on international standardisation  国際標準化のステップアップ
  Advance Responsible State Behaviour in Cyberspace  サイバー空間における責任ある国家行動の推進
  The Budapest Convention on Cybercrime  サイバー犯罪に関するブダペスト条約
3.2 Cooperation with partners and the multi-stakeholder community 3.2 パートナーやマルチステークホルダー・コミュニティとの連携
3.3 Strengthening global capacities to increase global resilience 3.3 世界的な回復力を高めるためのグローバルなキャパシティの強化
III. CYBERSECURITY IN THE EU INSTITUTIONS, BODIES AND AGENCIES III. EU の機関・機関・機関におけるサイバーセキュリティ
IV. CONCLUSIONS IV. 結論
Appendix: Next steps on cybersecurity of 5G networks 付録 5Gネットワークのサイバーセキュリティに関する次のステップ

 

・(関連)

 

NIC2指令案

・2020.12.16 Proposal for directive on measures for high common level of cybersecurity across the Union

指令案とその付属書

 

指令文書

原文 仮訳
1. CONTEXT OF THE PROPOSAL 1. 提案の文脈
• Reasons for and objectives of the proposal • 提案の理由と目的
• Consistency with existing policy provisions in the policy area • 政策エリア内の既存の政策規定との整合性
• Consistency with other Union policies • 他の組合方針との整合性
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY 2. 法的根拠、サブシディアリティ、プロポーショナルリティ
• Legal basis • 法的根拠
• Subsidiarity (for non-exclusive competence) • 補完性(非独占的能力の場合)
• Proportionality • 比例性
• Choice of the instrument • 文書の選択
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS 3. 事後評価、ステークホルダー協議、影響評価の結果
• Ex-post evaluations/fitness checks of existing legislation • 既存法の事後評価・適合性チェック
• Stakeholder consultations • ステークホルダー協議
• Collection and use of expertise • 専門知識の収集と活用
• Impact assessment • 影響評価
• Regulatory fitness and simplification • 規制の適合性と簡素化
• Fundamental rights • 基本的な権利
4. BUDGETARY IMPLICATIONS 4. 予算面での影響
5. OTHER ELEMENTS 5. その他の要素
• Implementation plans and monitoring, evaluation and reporting arrangements • 実施計画とモニタリング、評価、報告の取り決め
• Detailed explanation of the specific provisions of the proposal • 提案の具体的な規定の詳細な説明

 

指令案

# 原文 # 仮訳
CHAPTER I General provisions  第1章 総則 
Article 1 Subject matter 第1条 対象
Article 2 Scope 第2条 範囲
Article 3 Minimum harmonisation 第3条 最小限の調和
Article 4 Definitions 第4条 定義
CHAPTER II Coordinated cybersecurity regulatory frameworks 第2章 調整されたサイバーセキュリティ規制の枠組み
Article 5 National cybersecurity strategy 第5条 国家のサイバーセキュリティ戦略
Article 6 Coordinated vulnerability disclosure and a European vulnerability registry 第6条 協調的な脆弱性開示と欧州の脆弱性レジストリ
Article 7 National cybersecurity crisis management frameworks 第7条 国家的なサイバーセキュリティ危機管理の枠組み
Article 8 National competent authorities and single points of contact 第8条 国内の所管官庁と単一窓口
Article 9 Computer security incident response teams (CSIRTs) 第9条 コンピュータセキュリティインシデント対応チーム(CSIRT
Article 10 Requirements and tasks of CSIRTs 第10条 CSIRTの要件と業務
Article 11 Cooperation at national level 第11条 国家レベルでの協力
CHAPTER III Cooperation  第3章 協力
Article 12 Cooperation Group 第12条 協力グループ
Article 13 CSIRTs network 第13条 CSIRTネットワーク
Article 14 The European cyber crises liaison organisation network (EU - CyCLONe) 第14条 欧州サイバー危機連絡組織ネットワーク (EU - CyCLONe)
Article 15 Report on the state of cybersecurity in the Union 第15条 連邦におけるサイバーセキュリティのあり方についての報告
Article 16 Peer-reviews 第16条 ピアレビュー
CHAPTER IV Cybersecurity risk management and reporting obligations 第4章 サイバーセキュリティのリスク管理と報告義務
SECTION I Cybersecurity risk management and reporting 第1節 サイバーセキュリティのリスク管理と報告
Article 17 Governance 第17条 ガバナンス
Article 18 Cybersecurity risk management measures 第18条 サイバーセキュリティのリスクマネジメント対策
Article 19 EU coordinated risk assessments of critical supply chains 第19条 EUが協調して実施した重要サプライチェーンのリスク評価
Article 20 Reporting obligations 第20条 報告義務
Article 21 Use of European cybersecurity certification schemes 第21条 欧州のサイバーセキュリティ認証スキームの利用
Article 22 Standardisation 第22条 標準化
Article 23 Databases of domain names and registration data 第23条 ドメイン名と登録データのデータベース
Section II Jurisdiction and Registration 第2節 管轄と登録
Article 24 Jurisdiction and territoriality 第24条 管轄権と領土
Article 25 Registry for essential and important entities 第25条 必須事業体、重要事業体の登録
CHAPTER V Information sharing 第5章 情報共有
Article 26 Cybersecurity information-sharing arrangements 第26条 サイバーセキュリティの情報共有の取り決め
Article 27 Voluntary notification of relevant information 第27条 関連情報の自主的な通知
CHAPTER VI Supervision and enforcement 第6章 監督と執行
Article 28 General aspects concerning supervision and enforcement 第28条 監督及び執行に関する一般的な側面
Article 29 Supervision and enforcement for essential entities 第29条 必須事業体の監督と執行
Article 30 Supervision and enforcement for important entities 第30条 重要事業体の監督と執行
Article 31 General conditions for imposing administrative fines on essential and important entities 第31条 必須事業体、重要事業体に行政罰金を課すための一般的な条件
Article 32 Infringements entailing a personal data breach 第32条 個人情報の漏洩を伴う侵害
Article 33 Penalties 第33条 罰則
Article 34 Mutual assistance 第34条 相互扶助
CHAPTER VII Transitional and final provisions 第7章 経過規定と最終規定
Article 35 Review 第35条 レビュー
Article 36 Exercise of the delegation 第36条 委任の行使
Article 37 Committee procedure 第37条 委員会手続き
Article 38 Transposition 第38条 転置
Article 39 Amendment of Regulation (EU) No 910/2014 第39条 規則(EU)第910/2014号の改正について
Article 40 Amendment of Directive (EU) 2018/1972 第40条 指令(EU)2018/1972の改正
Article 41 Repeal 第41条 廃止
Article 42 Entry into force 第42条 適用
Article 43 Addressees 第43条 連絡先

 必須事業体と重要事業体は

↓↓↓

 

必須事業体

セクター サブセクター 事業者
1. エネルギー (a) 電力 供給事業者
流通システム事業者
送信システム事業者
生産者
指名電気事業者
電力市場参加者。
(b) 地域冷暖房 地域暖房または地域冷房
(c) 石油 石油輸送用パイプライン事業者
石油の生産・精製・処理施設、貯蔵・輸送施設の運営者
中央石油株式保有事業体
(d) ガス 供給事業
配電システム事業者
送電システム事業者
貯蔵システム事業者
LNGシステム事業者
天然ガス事業者
天然ガスの精製・処理施設の事業者
(e) 水素 水素製造・貯蔵・伝送事業者
2. 輸送 (a) 航空 航空会社
空港管理機関・空港内に含まれる付帯設備を運営する事業体
航空交通管制(ATC)サービスを提供する交通管制事業者
(b) 鉄道 インフラ管理者
鉄道事業
(c) 水上交通 内航・海上・沿岸の旅客・貨物水運会社
港湾管理機関・港湾内に含まれている工事や設備を運営する事業体。
船舶交通サービスの事業者
(d) 道路 道路交通管制事業者
高度道路交通システムの事業者
3. 銀行業務   信用機関
4. 金融市場のインフラ   運営者
セントラル・カウンターパーティー(CCP)
5. 健康   医療提供者
健康検査室
医薬品の研究開発活動を行う事業者
基礎医薬品及び医薬品調剤製造事業者
公衆衛生上の緊急時に重要と考えられる医療機器製造事業者
6. 飲料水   飲料水の供給者・販売業者
7. 廃水   家庭・工業排水の収集処分処理事業者
8. デジタルインフラ   インターネット交換ポイント事業者
DNSサービスプロバイダ
TLD名登録
クラウドコンピューティングサービスプロバイダー
データセンターサービスプロバイダー
コンテンツ配信ネットワーク事業者
信託サービス提供者
公共電子通信ネットワーク提供者
9. 行政   中央政府の行政機関
NUTSレベル1地域行政機関
NUTSレベル2地域行政機関
10. 宇宙   宇宙ベースのサービスの提供を支援する、加盟国または民間団体が所有、管理、運営する地上インフラの事業者

 

重要事業体

セクター サブセクター 事業者
1. 郵便・宅配便   郵便事業者及び宅配便事業者
2. 廃棄物管理   廃棄物管理事業者
3. 化学品の製造・製造・販売   物及び成形品の製造、生産及び流通を行う事業者
4. 食品の生産・加工・流通   食品事業者
5. 製造業 イ 医療機器及び体外診断用医療機器の製造 医療機器製造事業者
(b) 電子計算機製品、電子製品及び光学製品の製造 該当事業者
(c) 電気機器の製造 該当事業者
(d) 機械及び装置の製造業 他に分類されないもの 該当事業者
(e) 自動車、トレーラー及びセミトレーラーの製造 該当事業者
(f) その他の輸送用機器の製造 該当事業者
6. デジタルプロバイダー   オンラインマーケットプレイス提供者
オンライン検索エンジン提供者
ソーシャル・ネットワーキング・サービス・プラットフォーム提供者

 

 


•  Detailed explanation of the specific provisions of the proposal

The proposal is structured around several main policy areas, which are inter-related and serve the purpose of raising the level of cybersecurity in the Union.

 

Subject matter and scope (Article 1 and Article 2)

The Directive, in particular: (a) lays down obligations for the Member States to adopt a national cybersecurity strategy, designate competent national authorities, single points of contact and CSIRTs; (b) provides that Member States shall lay down cybersecurity risk management and reporting obligations for entities referred to as essential entities in Annex I and important entities in Annex II; (c) provides that Member States shall lay down obligations on cybersecurity information sharing.

It applies to certain public or private essential entities operating in the sectors listed in Annex I (energy; transport; banking; financial market infrastructures; health, drinking water; waste water; digital infrastructure; public administration and space) and certain important entities operating in the sectors listed in Annex II (postal and courier services; waste management; manufacture, production and distribution of chemicals; food production, processing and distribution; manufacturing and digital providers). Micro and small entities within the meaning of Commission Recommendation 2003/361/EC of 6 May 2003 are excluded from the scope of the Directive, except for providers of electronic communications networks or of publicly available electronic communications services, trust service providers, Top-level domain name (TLD) name registries and public administration, and certain other entities, such as the sole provider of a service in a Member State.

 

National cybersecurity frameworks (Articles 5 to 11)

Member States are required to adopt a national cybersecurity strategy defining the strategic objectives and appropriate policy and regulatory measures with a view to achieving and maintaining a high level of cybersecurity.

The Directive also establishes a framework for Coordinated Vulnerability Disclosure and requires Member States to designate CSIRTs to act as trusted intermediaries and facilitate the interaction between the reporting entities and the manufacturers or providers of ICT products and ICT services. ENISA is required to develop and maintain a European vulnerability registry for the discovered vulnerabilities.

Member States are required to put in place National Cybersecurity Crisis Management Frameworks, inter alia by designating national competent authorities responsible for the management of large-scale cybersecurity incidents and crises.

Member States are also required to designate one or more national competent authorities on cybersecurity for the supervisory tasks under this Directive and a national single point of contact on cybersecurity (SPOC) to exercise a liaison function to ensure cross-border cooperation of Member State authorities. Member States are also required to designate CSIRTs.

 

Cooperation (Articles 12 to 16)

The Directive establishes a Cooperation Group to support and facilitate strategic cooperation and the exchange of information among Member States and to develop trust and confidence. It also establishes a CSIRTs network to contribute to the development of confidence and trust between the Member States and to promote swift and effective operational cooperation.

A European Cyber Crises Liaison Organisation Network (EU - CyCLONe) is established to support the coordinated management of large-scale cybersecurity incidents and crises and to ensure the regular exchange of information among Member States and EU institutions.

ENISA is required to issue in cooperation with the Commission a biennial report on the state of cybersecurity in the Union.

The Commission is required to establish a peer-review system allowing regular peer-reviews of the Member States’ effectiveness of cybersecurity policies.

 

Cybersecurity risk management and reporting obligations (Articles 17 to 23)

The Directive requires Member States to provide that management bodies of all entities under the scope to approve the cybersecurity risk management measures taken by the respective entities and to follow specific cybersecurity-related training.

Member States are required to ensure that entities under the scope take appropriate and proportionate technical and organisational measures to manage the cybersecurity risks posed to the security of network and information systems. They are also required to ensure that entities notify the national competent authorities or the CSIRTs of any cybersecurity incident having a significant impact on the provision of the service they provide.

TLD registries and the entities providing domain name registration services for the TLD shall collect and maintain accurate and complete domain name registration data. Furthermore, such entities are required to provide efficient access to domain registration data for legitimate access seekers.

 

Jurisdiction and Registration (Articles 24 and 25)

As a rule, essential and important entities are deemed to be under the jurisdiction of the Member State where they provide their services. However, certain types of entities (DNS service providers, TLD name registries, cloud computing service providers, data centre service providers and content delivery network providers, as well as certain digital providers) are deemed to be under the jurisdiction of the Member State in which they have their main establishment in the Union. This is to ensure that such entities do not face a multitude of different legal requirements, as they provide services across borders to a particularly high extent. ENISA is required to create and maintain a registry of the later type of entities.

 

Information sharing (Articles 26 and 27)

Member States shall provide rules enabling entities to engage in cybersecurity-related information sharing within the framework of specific cybersecurity information-sharing arrangements, in compliance with Article 101 TFEU. In addition, Member States shall allow entities outside the scope of this Directive to report, on a voluntary basis, significant incidents, cyber threats or near misses.

 

Supervision and enforcement (Articles 28 to 34)

Competent authorities are required to supervise the entities under the scope of the Directive, and in particular to ensure their compliance with the security and incident notification requirements. It distinguishes between an ex ante supervisory regime for essential entities and an ex post supervisory regime for important entities, the later requiring competent authorities to take action when provided with evidence or indication that an important entity does not meet the security and incident notification requirements.

The Directive also requires Members States to impose administrative fines to essential and important entities and defines certain maximum fines.

Member States are required to cooperate and assist each other as necessary when entities provide services in more than one Member State or when an entity’s main establishment or its representative is located in a certain Member State but its network and information systems are located in one or more other Member States.


 

・[HTML] NIS2案

 

|

« U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます | Main | クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます | Main | クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合 »