欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂（NIS2指令）提案 at 2020.12.16

こんにちは、丸山満彦です。

欧州委員会が新しいサイバーセキュリティ戦略 (The EU's Cybersecurity Strategy for the Digital Decade) を公表し、「Directive on Security of Network and Information Systems（ネットワークおよび情報システムのセキュリティに関する指令）の改訂（NIS2 Derective）を提案していますね。。。

 

 

● EU Commission

・2020.12.16 (Press) New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient

・[PDF]

サイバーセキュリティ戦略

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・・The Cybersecurity Strategy

戦略の本文は次のPDFです。

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

目次は、

原文	仮訳
I. INTRODUCTION: A CYBERSECURE DIGITAL TRANSFORMATION IN A COMPLEX THREAT ENVIRONMENT	I. 序文：複雑な脅威環境下でのサイバースセキュア・デジタル・トランスフォーメーション
II. THINKING GLOBAL, ACTING EUROPEAN	II. グローバルに考え、ヨーロッパに行動する
1. RESILIENCE, TECHNOLOGICAL SOVEREIGNTY AND LEADERSHIP	1. 回復力、技術的地位およびリーダーシップ
1.1 Resilient infrastructure and critical services	1.1 回復力のあるインフラと重要なサービス
1.2 Building a European Cyber Shield	1.2 欧州のサイバー盾の構築
1.3 An ultra-secure communication infrastructure	1.3 超セキュアな通信インフラ
1.4 Securing the next generation of broadband mobile networks	1.4 次世代のブロードバンドモバイルネットワークの確保
1.5 An Internet of Secure Things	1.5 セキュアなIoT
1.6 Greater global Internet security	1.6 世界的なインターネットセキュリティの拡大
1.7 A reinforced presence on the technology supply chain	1.7 技術サプライチェーンにおける存在感の強化
1.8 A Cyber-skilled EU workforce	1.8 サイバースキルを持ったEUの労働力
2. BUILDING OPERATIONAL CAPACITY TO PREVENT, DETER AND RESPOND	2. 防止、抑止、対応するための運用能力の構築
2.1 A Joint Cyber Unit	2.1 共同サイバーユニット
2.2 Tackling cybercrime	2.2 サイバー犯罪への取り組み
2.3 EU cyber diplomacy toolbox	2.3 EUのサイバー外交ツールボックス
2.4 Boosting cyber defence capabilities	2.4 サイバー防衛力の強化
3. ADVANCING A GLOBAL AND OPEN CYBERSPACE	3. グローバルでオープンなサイバー空間の推進
3.1 EU leadership on standards, norms and frameworks in cyberspace	3.1 サイバー空間における基準、規範、枠組みに関するEUのリーダーシップ
Stepping up on international standardisation	国際標準化のステップアップ
Advance Responsible State Behaviour in Cyberspace	サイバー空間における責任ある国家行動の推進
The Budapest Convention on Cybercrime	サイバー犯罪に関するブダペスト条約
3.2 Cooperation with partners and the multi-stakeholder community	3.2 パートナーやマルチステークホルダー・コミュニティとの連携
3.3 Strengthening global capacities to increase global resilience	3.3 世界的な回復力を高めるためのグローバルなキャパシティの強化
III. CYBERSECURITY IN THE EU INSTITUTIONS, BODIES AND AGENCIES	III. EU の機関・機関・機関におけるサイバーセキュリティ
IV. CONCLUSIONS	IV. 結論
Appendix: Next steps on cybersecurity of 5G networks	付録 5Gネットワークのサイバーセキュリティに関する次のステップ

 

・（関連）

• Shaping Europe’s Digital Future, 
• Recovery Plan for Europe
• the Security Union Strategy 2020-2025

 

NIC2指令案

・2020.12.16 Proposal for directive on measures for high common level of cybersecurity across the Union

指令案とその付属書

• [PDF] 1- Proposed directive on measures for a high common level of cybersecurity across the Union
• [PDF] 2- Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union

 

指令文書

原文	仮訳
1. CONTEXT OF THE PROPOSAL	1. 提案の文脈
• Reasons for and objectives of the proposal	• 提案の理由と目的
• Consistency with existing policy provisions in the policy area	• 政策エリア内の既存の政策規定との整合性
• Consistency with other Union policies	• 他の組合方針との整合性
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY	2. 法的根拠、サブシディアリティ、プロポーショナルリティ
• Legal basis	• 法的根拠
• Subsidiarity (for non-exclusive competence)	• 補完性（非独占的能力の場合）
• Proportionality	• 比例性
• Choice of the instrument	• 文書の選択
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS	3. 事後評価、ステークホルダー協議、影響評価の結果
• Ex-post evaluations/fitness checks of existing legislation	• 既存法の事後評価・適合性チェック
• Stakeholder consultations	• ステークホルダー協議
• Collection and use of expertise	• 専門知識の収集と活用
• Impact assessment	• 影響評価
• Regulatory fitness and simplification	• 規制の適合性と簡素化
• Fundamental rights	• 基本的な権利
4. BUDGETARY IMPLICATIONS	4. 予算面での影響
5. OTHER ELEMENTS	5. その他の要素
• Implementation plans and monitoring, evaluation and reporting arrangements	• 実施計画とモニタリング、評価、報告の取り決め
• Detailed explanation of the specific provisions of the proposal	• 提案の具体的な規定の詳細な説明

 

指令案

#	原文	#	仮訳
CHAPTER I	General provisions	第1章	総則
Article 1	Subject matter	第1条	対象
Article 2	Scope	第2条	範囲
Article 3	Minimum harmonisation	第3条	最小限の調和
Article 4	Definitions	第4条	定義
CHAPTER II	Coordinated cybersecurity regulatory frameworks	第2章	調整されたサイバーセキュリティ規制の枠組み
Article 5	National cybersecurity strategy	第5条	国家のサイバーセキュリティ戦略
Article 6	Coordinated vulnerability disclosure and a European vulnerability registry	第6条	協調的な脆弱性開示と欧州の脆弱性レジストリ
Article 7	National cybersecurity crisis management frameworks	第7条	国家的なサイバーセキュリティ危機管理の枠組み
Article 8	National competent authorities and single points of contact	第8条	国内の所管官庁と単一窓口
Article 9	Computer security incident response teams (CSIRTs)	第9条	コンピュータセキュリティインシデント対応チーム（CSIRT
Article 10	Requirements and tasks of CSIRTs	第10条	CSIRTの要件と業務
Article 11	Cooperation at national level	第11条	国家レベルでの協力
CHAPTER III	Cooperation	第3章	協力
Article 12	Cooperation Group	第12条	協力グループ
Article 13	CSIRTs network	第13条	CSIRTネットワーク
Article 14	The European cyber crises liaison organisation network (EU - CyCLONe)	第14条	欧州サイバー危機連絡組織ネットワーク (EU - CyCLONe)
Article 15	Report on the state of cybersecurity in the Union	第15条	連邦におけるサイバーセキュリティのあり方についての報告
Article 16	Peer-reviews	第16条	ピアレビュー
CHAPTER IV	Cybersecurity risk management and reporting obligations	第4章	サイバーセキュリティのリスク管理と報告義務
SECTION I	Cybersecurity risk management and reporting	第1節	サイバーセキュリティのリスク管理と報告
Article 17	Governance	第17条	ガバナンス
Article 18	Cybersecurity risk management measures	第18条	サイバーセキュリティのリスクマネジメント対策
Article 19	EU coordinated risk assessments of critical supply chains	第19条	EUが協調して実施した重要サプライチェーンのリスク評価
Article 20	Reporting obligations	第20条	報告義務
Article 21	Use of European cybersecurity certification schemes	第21条	欧州のサイバーセキュリティ認証スキームの利用
Article 22	Standardisation	第22条	標準化
Article 23	Databases of domain names and registration data	第23条	ドメイン名と登録データのデータベース
Section II	Jurisdiction and Registration	第2節	管轄と登録
Article 24	Jurisdiction and territoriality	第24条	管轄権と領土
Article 25	Registry for essential and important entities	第25条	必須事業体、重要事業体の登録
CHAPTER V	Information sharing	第5章	情報共有
Article 26	Cybersecurity information-sharing arrangements	第26条	サイバーセキュリティの情報共有の取り決め
Article 27	Voluntary notification of relevant information	第27条	関連情報の自主的な通知
CHAPTER VI	Supervision and enforcement	第6章	監督と執行
Article 28	General aspects concerning supervision and enforcement	第28条	監督及び執行に関する一般的な側面
Article 29	Supervision and enforcement for essential entities	第29条	必須事業体の監督と執行
Article 30	Supervision and enforcement for important entities	第30条	重要事業体の監督と執行
Article 31	General conditions for imposing administrative fines on essential and important entities	第31条	必須事業体、重要事業体に行政罰金を課すための一般的な条件
Article 32	Infringements entailing a personal data breach	第32条	個人情報の漏洩を伴う侵害
Article 33	Penalties	第33条	罰則
Article 34	Mutual assistance	第34条	相互扶助
CHAPTER VII	Transitional and final provisions	第7章	経過規定と最終規定
Article 35	Review	第35条	レビュー
Article 36	Exercise of the delegation	第36条	委任の行使
Article 37	Committee procedure	第37条	委員会手続き
Article 38	Transposition	第38条	転置
Article 39	Amendment of Regulation (EU) No 910/2014	第39条	規則(EU)第910/2014号の改正について
Article 40	Amendment of Directive (EU) 2018/1972	第40条	指令（EU）2018/1972の改正
Article 41	Repeal	第41条	廃止
Article 42	Entry into force	第42条	適用
Article 43	Addressees	第43条	連絡先

 必須事業体と重要事業体は

↓↓↓

 

必須事業体

セクター	サブセクター	事業者
1. エネルギー	(a) 電力	供給事業者
		流通システム事業者
		送信システム事業者
		生産者
		指名電気事業者
		電力市場参加者。
	(b) 地域冷暖房	地域暖房または地域冷房
	(c) 石油	石油輸送用パイプライン事業者
		石油の生産・精製・処理施設、貯蔵・輸送施設の運営者
		中央石油株式保有事業体
	(d) ガス	供給事業
		配電システム事業者
		送電システム事業者
		貯蔵システム事業者
		LNGシステム事業者
		天然ガス事業者
		天然ガスの精製・処理施設の事業者
	(e) 水素	水素製造・貯蔵・伝送事業者
2. 輸送	(a) 航空	航空会社
		空港管理機関・空港内に含まれる付帯設備を運営する事業体
		航空交通管制（ATC）サービスを提供する交通管制事業者
	(b) 鉄道	インフラ管理者
		鉄道事業
	(c) 水上交通	内航・海上・沿岸の旅客・貨物水運会社
		港湾管理機関・港湾内に含まれている工事や設備を運営する事業体。
		船舶交通サービスの事業者
	(d) 道路	道路交通管制事業者
		高度道路交通システムの事業者
3. 銀行業務		信用機関
4. 金融市場のインフラ		運営者
		セントラル・カウンターパーティー(CCP)
5. 健康		医療提供者
		健康検査室
		医薬品の研究開発活動を行う事業者
		基礎医薬品及び医薬品調剤製造事業者
		公衆衛生上の緊急時に重要と考えられる医療機器製造事業者
6. 飲料水		飲料水の供給者・販売業者
7. 廃水		家庭・工業排水の収集処分処理事業者
8. デジタルインフラ		インターネット交換ポイント事業者
		DNSサービスプロバイダ
		TLD名登録
		クラウドコンピューティングサービスプロバイダー
		データセンターサービスプロバイダー
		コンテンツ配信ネットワーク事業者
		信託サービス提供者
		公共電子通信ネットワーク提供者
9. 行政		中央政府の行政機関
		NUTSレベル1地域行政機関
		NUTSレベル2地域行政機関
10. 宇宙		宇宙ベースのサービスの提供を支援する、加盟国または民間団体が所有、管理、運営する地上インフラの事業者

 

重要事業体

セクター	サブセクター	事業者
1. 郵便・宅配便		郵便事業者及び宅配便事業者
2. 廃棄物管理		廃棄物管理事業者
3. 化学品の製造・製造・販売		物及び成形品の製造、生産及び流通を行う事業者
4. 食品の生産・加工・流通		食品事業者
5. 製造業	イ 医療機器及び体外診断用医療機器の製造	医療機器製造事業者
	(b) 電子計算機製品、電子製品及び光学製品の製造	該当事業者
	(c) 電気機器の製造	該当事業者
	(d) 機械及び装置の製造業 他に分類されないもの	該当事業者
	(e) 自動車、トレーラー及びセミトレーラーの製造	該当事業者
	(f) その他の輸送用機器の製造	該当事業者
6. デジタルプロバイダー		オンラインマーケットプレイス提供者
		オンライン検索エンジン提供者
		ソーシャル・ネットワーキング・サービス・プラットフォーム提供者

 

 

---

•  Detailed explanation of the specific provisions of the proposal

The proposal is structured around several main policy areas, which are inter-related and serve the purpose of raising the level of cybersecurity in the Union.

 

Subject matter and scope (Article 1 and Article 2)

The Directive, in particular: (a) lays down obligations for the Member States to adopt a national cybersecurity strategy, designate competent national authorities, single points of contact and CSIRTs; (b) provides that Member States shall lay down cybersecurity risk management and reporting obligations for entities referred to as essential entities in Annex I and important entities in Annex II; (c) provides that Member States shall lay down obligations on cybersecurity information sharing.

It applies to certain public or private essential entities operating in the sectors listed in Annex I (energy; transport; banking; financial market infrastructures; health, drinking water; waste water; digital infrastructure; public administration and space) and certain important entities operating in the sectors listed in Annex II (postal and courier services; waste management; manufacture, production and distribution of chemicals; food production, processing and distribution; manufacturing and digital providers). Micro and small entities within the meaning of Commission Recommendation 2003/361/EC of 6 May 2003 are excluded from the scope of the Directive, except for providers of electronic communications networks or of publicly available electronic communications services, trust service providers, Top-level domain name (TLD) name registries and public administration, and certain other entities, such as the sole provider of a service in a Member State.

 

National cybersecurity frameworks (Articles 5 to 11)

Member States are required to adopt a national cybersecurity strategy defining the strategic objectives and appropriate policy and regulatory measures with a view to achieving and maintaining a high level of cybersecurity.

The Directive also establishes a framework for Coordinated Vulnerability Disclosure and requires Member States to designate CSIRTs to act as trusted intermediaries and facilitate the interaction between the reporting entities and the manufacturers or providers of ICT products and ICT services. ENISA is required to develop and maintain a European vulnerability registry for the discovered vulnerabilities.

Member States are required to put in place National Cybersecurity Crisis Management Frameworks, inter alia by designating national competent authorities responsible for the management of large-scale cybersecurity incidents and crises.

Member States are also required to designate one or more national competent authorities on cybersecurity for the supervisory tasks under this Directive and a national single point of contact on cybersecurity (SPOC) to exercise a liaison function to ensure cross-border cooperation of Member State authorities. Member States are also required to designate CSIRTs.

 

Cooperation (Articles 12 to 16)

The Directive establishes a Cooperation Group to support and facilitate strategic cooperation and the exchange of information among Member States and to develop trust and confidence. It also establishes a CSIRTs network to contribute to the development of confidence and trust between the Member States and to promote swift and effective operational cooperation.

A European Cyber Crises Liaison Organisation Network (EU - CyCLONe) is established to support the coordinated management of large-scale cybersecurity incidents and crises and to ensure the regular exchange of information among Member States and EU institutions.

ENISA is required to issue in cooperation with the Commission a biennial report on the state of cybersecurity in the Union.

The Commission is required to establish a peer-review system allowing regular peer-reviews of the Member States’ effectiveness of cybersecurity policies.

 

Cybersecurity risk management and reporting obligations (Articles 17 to 23)

The Directive requires Member States to provide that management bodies of all entities under the scope to approve the cybersecurity risk management measures taken by the respective entities and to follow specific cybersecurity-related training.

Member States are required to ensure that entities under the scope take appropriate and proportionate technical and organisational measures to manage the cybersecurity risks posed to the security of network and information systems. They are also required to ensure that entities notify the national competent authorities or the CSIRTs of any cybersecurity incident having a significant impact on the provision of the service they provide.

TLD registries and the entities providing domain name registration services for the TLD shall collect and maintain accurate and complete domain name registration data. Furthermore, such entities are required to provide efficient access to domain registration data for legitimate access seekers.

 

Jurisdiction and Registration (Articles 24 and 25)

As a rule, essential and important entities are deemed to be under the jurisdiction of the Member State where they provide their services. However, certain types of entities (DNS service providers, TLD name registries, cloud computing service providers, data centre service providers and content delivery network providers, as well as certain digital providers) are deemed to be under the jurisdiction of the Member State in which they have their main establishment in the Union. This is to ensure that such entities do not face a multitude of different legal requirements, as they provide services across borders to a particularly high extent. ENISA is required to create and maintain a registry of the later type of entities.

 

Information sharing (Articles 26 and 27)

Member States shall provide rules enabling entities to engage in cybersecurity-related information sharing within the framework of specific cybersecurity information-sharing arrangements, in compliance with Article 101 TFEU. In addition, Member States shall allow entities outside the scope of this Directive to report, on a voluntary basis, significant incidents, cyber threats or near misses.

 

Supervision and enforcement (Articles 28 to 34)

Competent authorities are required to supervise the entities under the scope of the Directive, and in particular to ensure their compliance with the security and incident notification requirements. It distinguishes between an ex ante supervisory regime for essential entities and an ex post supervisory regime for important entities, the later requiring competent authorities to take action when provided with evidence or indication that an important entity does not meet the security and incident notification requirements.

The Directive also requires Members States to impose administrative fines to essential and important entities and defines certain maximum fines.

Member States are required to cooperate and assist each other as necessary when entities provide services in more than one Member State or when an entity’s main establishment or its representative is located in a certain Member State but its network and information systems are located in one or more other Member States.

---

 

・[HTML] NIS2案