欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決
こんにちは、丸山満彦です。
欧州議会が、NIS2 とデジタル・オペレーショナル・レジリエンス (DORA) 法を可決したようですね。。。
次は欧州理事会ですが、この件については、欧州議会と欧州理事会では合意されているので、手続的な問題ということですかね。。。
・2022.11.10 Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience
| Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience | サイバーセキュリティ 議会、EU全体のレジリエンスを強化する新法を採択 |
| ・New legislation sets tighter requirements for businesses, administrations, infrastructure | ・新法は、企業、行政、インフラに対するより厳しい要件を設定。 |
| ・Differing national cybersecurity measures make the EU more vulnerable | ・各国のサイバーセキュリティ対策が異なるとEUはより脆弱になる。 |
| ・New “essential sectors” covered such as energy, transport, banking, health | ・エネルギー、運輸、銀行、健康などが新たな「必須セクター」に。 |
| Rules requiring EU countries to meet stricter supervisory and enforcement measures and harmonise their sanctions were approved by MEPs on Thursday. | EU諸国に対して、より厳格な監督・執行措置と制裁措置の調和を求める規則が、木曜日、欧州議会で承認された。 |
| The legislation, already agreed between MEPs and the Council in May, will set tighter cybersecurity obligations for risk management, reporting obligations and information sharing. The requirements cover incident response, supply chain security, encryption and vulnerability disclosure, among other provisions. | この法律は、5月に欧州議会と理事会の間であるで合意されており、リスク管理、報告義務、情報共有に関するサイバーセキュリティの義務をより厳しく定めるものである。要件は、インシデント対応、サプライチェーンのセキュリティ、暗号化、脆弱性の開示などを規定するものである。 |
| More entities and sectors will have to take measures to protect themselves. “Essential sectors” such as the energy, transport, banking, health, digital infrastructure, public administration and space sectors will be covered by the new security provisions. | より多くの企業やセクターが自らを守るための対策を講じなければならなくなる。エネルギー、運輸、銀行、医療、デジタルインフラ、行政、宇宙といった「必須部門」が、新しいセキュリティ条項の対象となる。 |
| During negotiations, MEPs insisted on the need for clear and precise rules for companies, and pushed for the inclusion of as many governmental and public bodies as possible within the scope of the directive. | 交渉中、欧州議会議員らは、企業に対する明確かつ正確な規則の必要性を主張し、できるだけ多くの政府機関および公共機関を指令の範囲に含めるよう働きかけた。 |
| The new rules will also protect so-called “important sectors” such as postal services, waste management, chemicals, food, manufacturing of medical devices, electronics, machinery, motor vehicles and digital providers. All medium-sized and large companies in selected sectors would fall under the legislation. | 新しい規則は、郵便事業、廃棄物処理、化学、食品、医療機器製造、電子機器、機械、自動車、デジタルプロバイダーなど、いわゆる「重要分野」も保護することになる。特定分野のすべての中堅・大企業は、この法律の対象となる。 |
| It also establishes a framework for better cooperation and information sharing between different authorities and member states and creates a European vulnerability database. | また、異なる当局や加盟国間の協力や情報共有をより良くするための枠組みを確立し、欧州の脆弱性データベースを構築する。 |
| Quote | 引用 |
| “Ransomware and other cyber threats have preyed on Europe for far too long. We need to act to make our businesses, governments and society more resilient to hostile cyber operations” said lead MEP Bart Groothuis (Renew, NL). | 欧州議会議員のBart Groothuis (Renew, NL)は以下のように述べている。「ランサムウェアやその他のサイバー脅威は、あまりにも長い間、欧州を食い物にしてきた。我々は、企業、政府、社会を、敵対的なサイバー操作に対してより強くするために行動する必要がある」。 |
| “This European directive is going to help around 160,000 entities tighten their grip on security and make Europe a safe place to live and work. It will also enable information sharing with the private sector and partners around the world. If we are being attacked on an industrial scale, we need to respond on an industrial scale,” he said. | 「この欧州指令は、約16万社の企業がセキュリティを強化し、欧州を生活と仕事の場として安全な場所にするために役立つだろう。また、民間企業や世界中のパートナーとの情報共有も可能になる。産業規模で攻撃されているのであれば、産業規模で対応する必要がある」。 |
| “This is the best cyber security legislation this continent has yet seen, because it will transform Europe to handling cyber incidents pro-actively and service orientated,” he added. | 「これは、欧州がサイバーインシデントに積極的に対処し、サービス指向に転換するものであるため、この大陸がこれまでに見たことのない最高のサイバーセキュリティ法制である」。 |
| Next steps | 次のステップ |
| MEPs adopted the text with 577 votes to 6, with 31 abstentions. After Parliament’s approval, Council also has to formally adopt the law before it will be published in the EU’s Official Journal. | 欧州議会は、577票対6票で法案を採択し、31票の棄権票を投じた。欧州議会の承認後、EU理事会がこの法律を正式に採択し、EU官報に掲載される予定である。 |
| Background | 背景 |
| The Network and Information Security (NIS) Directive was the first piece of EU-wide legislation on cybersecurity, and its specific aim was to achieve a high common level of cybersecurity across the Member States. While it increased the Member States' cybersecurity capabilities, its implementation proved difficult, resulting in fragmentation at different levels across the internal market. | ネットワークと情報のセキュリティ(NIS)指令は、サイバーセキュリティに関するEU全体の最初の法律であり、その具体的な目的は、加盟国全体でサイバーセキュリティの高い共通レベルを達成することであった。この指令は、加盟国のサイバーセキュリティ能力を高める一方で、その実施は困難であることが判明し、その結果、域内市場全体で異なるレベルでの分断が生じた。 |
| To respond to the growing threats posed by digitalisation and the surge in cyber-attacks, the Commission has submitted a proposal to replace the NIS Directive and thereby strengthen the security requirements, address the security of supply chains, streamline reporting obligations, and introduce more stringent supervisory measures and stricter enforcement requirements, including harmonised sanctions across the EU. | デジタル化とサイバー攻撃の急増がもたらす脅威の増大に対応するため、欧州委員会はNIS指令の代替案を提出し、それによってセキュリティ要件の強化、サプライチェーンのセキュリティへの対応、報告義務の合理化、より厳しい監督措置の導入、EU全域での制裁の調和を含むより厳しい執行要件の導入を図ることにしている。 |
・[PDF] A high common level of cybersecurity across the Union
DORA
・[PDF] Digital finance: Digital Operational Resilience Act (DORA)
・2022.11.28 (press) Digital finance: Council adopts Digital Operational Resilience Act
● EUR-LEX
・[HTML] EN
NIS2については、ここを見ればわかるかも。。。
まるちゃんの情報セキュリティ気まぐれ日記
・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16
こちらも参考に...
・2021.03.24 欧州理事会 EUサイバーセキュリティ戦略を採択
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020PC0595&from=EN
| Proposal for a | 提案 |
| REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | 欧州議会及び欧州理事会の規則 |
| on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014 | 金融セクターのデジタル運用レジリエンスに関する規則及び規則(EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 の修正案 |
| (Text with EEA relevance) | (EEA関連テキスト) |
| {SEC(2020) 307 final} - {SWD(2020) 198 final} - {SWD(2020) 199 final} | {SEC(2020) 307 final} - {SWD(2020) 198 final} - {SWD(2020) 199 final} (EEA関連テキスト |
| EXPLANATORY MEMORANDUM | 説明文書 |
| 1.CONTEXT OF THE PROPOSAL | 1.提案の背景 |
| ·Reasons for and objectives of the proposal | ・提案の理由と目的 |
| This proposal is part of the Digital finance package, a package of measures to further enable and support the potential of digital finance in terms of innovation and competition while mitigating the risks arising from it. It is in line with the Commission priorities to make Europe fit for the digital age and to build a future-ready economy that works for the people. The digital finance package includes a new Strategy on digital finance for the EU financial sector 1 with the aim to ensure that the EU embraces the digital revolution and drives it with innovative European firms in the lead, making the benefits of digital finance available to consumers and businesses. In addition to this proposal, the package also includes a proposal for a regulation on markets in crypto assets 2 , a proposal for a regulation on a pilot regime on distributed ledger technology (DLT) market infrastructure 3 , and a proposal for a directive to clarify or amend certain related EU financial services rules 4 .Digitalisation and operational resilience in the financial sector are two sides of the same coin. Digital, or Information and Communication Technologies (ICT), gives rise to opportunities as well as risks. These need to be well understood and managed, especially in times of stress. | 本提案は、デジタル金融から生じるリスクを軽減しつつ、イノベーションと競争の面でデジタル金融の可能性をさらに可能にし、支援するための措置パッケージである「デジタル金融パッケージ」の一部である。本提案は、欧州をデジタル時代に適合させ、人々のために働く将来対応可能な経済を構築するという欧州委員会の優先事項に沿ったものである。デジタル金融パッケージには、EUの金融部門のためのデジタル金融に関する新戦略1が含まれており、その目的は、EUがデジタル革命を受け入れ、革新的な欧州企業を中心にそれを推進し、消費者と企業がデジタル金融の恩恵を受けられるようにすることである。この提案に加え、本パッケージには、暗号資産市場に関する規制案2、分散型台帳技術(DLT)市場インフラに関するパイロット制度に関する規制案3、特定の関連EU金融サービス規則を明確化または修正する指令案4も含まれている。 金融分野におけるデジタル化と業務レジリエンスは、表裏一体のものである。デジタル化、すなわち情報通信技術(ICT)は、リスクと同時に機会も生み出す。これらは、特にストレスの多い時代には、よく理解し、管理する必要がある。 |
| Policymakers and supervisors have therefore increasingly focused on risks stemming from reliance on ICT. They have notably tried to enhance firms’ resilience through the setting of standards and through the coordination of regulatory or supervisory work. This work has been carried out at both international and European level, and both across industries as well as for a number of specific sectors, including financial services. | そのため、政策立案者や監督者は、ICTへの依存に起因するリスクにますます焦点を当てるようになっている。特に、基準の設定や、規制・監督業務の調整を通じて、企業のレジリエンスを強化しようとしてきた。この作業は、国際レベルでも欧州レベルでも、また、業界全体でも、金融サービスを含む多くの特定セクターでも実施されてきた。 |
| ICT risks nevertheless continue to pose a challenge to the operational resilience, performance and stability of the EU financial system. The reform that followed the 2008 financial crisis primarily strengthened the financial resilience 5 of the EU financial sector, only addressing ICT risks indirectly in some areas, as part of the measures to address operational risks more broadly. | それでもなお、ICTリスクは、EUの金融システムの運用のレジリエンス、パフォーマンス、安定性に課題を与え続けている。2008年の金融危機に伴う改革は、主にEUの金融セクターの財務レジリエンスを強化するもので、ICTリスクには、より広範な業務リスクに対処するための措置の一部として、いくつかの分野で間接的にしか対処していない。 |
| While the post-crisis changes to the EU financial services legislation put in place a Single Rulebook governing large parts of the financial risks associated with financial services, they did not fully address digital operational resilience. The measures taken in relation to the latter were characterised by a number of features that limited their effectiveness. For example, they were often devised as minimum harmonisation directives or principled-based regulations, leaving substantial room for diverging approaches across the Single Market. In addition, there has been only some limited or incomplete focus on ICT risks in the context of the operational risk coverage. Finally, these measures vary across the sectoral financial services legislation. Thus, the intervention at Union level did not fully match what European financial entities needed for managing operational risks in a way that withstand, respond and recover from impacts of ICT incidents. Nor did it provide financial supervisors with the most adequate tools to fulfil their mandates to prevent financial instability stemming from the materialization of those ICT risks. | 金融危機後のEU金融サービス法の改正により、金融サービスに関連する金融リスクの大部分を管理する単一ルールブックが導入されたが、デジタル運用のレジリエンスには完全には対処できない。後者に関連して取られた措置は、その有効性を制限する多くの特徴があった。例えば、これらはしばしば最小限の調和指令や原則に基づく規制として考案され、単一市場全体でアプローチが異なる余地がかなり残されている。さらに、オペレーショナルリスクの範囲内でICTリスクに焦点を当てることは、限定的か不完全なものにとどまっている。最後に、これらの措置は、金融サービスの分野別法令によって異なる。したがって、EUレベルでの介入は、ICT事故の影響に耐え、対応し、回復する方法でオペレーショナルリスクをマネジメントするために欧州の金融機関が必要としているものと完全に一致するものではありませんでした。また、金融監督当局に、ICTリスクの顕在化から生じる金融不安を防止するという任務を果たすための最も適切な手段を提供するものでもなかった。 |
| The absence of detailed and comprehensive rules on digital operational resilience at EU level has led to the proliferation of national regulatory initiatives (e.g. on digital operational resilience testing) and supervisory approaches (e.g. addressing ICT third-party dependencies). Action at Member State level, however, only has a limited effect given cross-border nature of ICT risks. Moreover, the uncoordinated national initiatives have resulted in overlaps, inconsistencies, duplicative requirements, high administrative and compliance costs - especially for cross-border financial entities - or in ICT risks remaining undetected and hence unaddressed. This situation fragments the single market, undermines the stability and integrity of the EU financial sector, and jeopardises the protection of consumers and investors. | EUレベルでデジタル・オペレーショナル・レジリエンスに関する詳細かつ包括的な規則が存在しないため、各国の規制イニシアチブ(例:デジタル・オペレーショナル・レジリエンス・テスト)や監督アプローチ(例:ICTの第三者依存への対処)が拡散することになった。しかし、ICTリスクの国境を越えた性質を考慮すると、加盟国レベルでの行動は限定的な効果しかない。さらに、各国の取り組みが連携していないため、重複や矛盾、重複する要件、高い管理・遵守コスト(特に国境を越えた金融機関)、あるいはICTリスクが検出されず、その結果対処されないままになっているのである。このような状況は、単一市場を断片化し、EU金融セクターの安定性と完全性を損ない、消費者と投資家の保護を危うくする。 |
| It is therefore necessary to put in place a detailed and comprehensive framework on digital operational resilience for EU financial entities. This framework will deepen the digital risk management dimension of the Single Rulebook. In particular, it will enhance and streamline the financial entities’ conduct of ICT risk management, establish a thorough testing of ICT systems, increase supervisors’ awareness of cyber risks and ICT-related incidents faced by financial entities, as well as introduce powers for financial supervisors to oversee risks stemming from financial entities’ dependency on ICT third-party service providers. The proposal will create a consistent incident reporting mechanism that will help reduce administrative burdens for financial entities, and strengthen supervisory effectiveness. | したがって、EUの金融機関を対象としたデジタル運用のレジリエンスに関する詳細かつ包括的な枠組みを整備することが必要である。この枠組みは、単一ルールブックのデジタルリスクマネジメントの側面を深化させるものである。特に、金融機関によるICTリスクマネジメントの実施を強化・合理化し、ICTシステムのテストを徹底し、金融機関が直面するサイバーリスクやICT関連の事故に対する監督当局の認識を高め、金融機関がICT第三者サービスプロバイダーに依存していることに起因するリスクを監督する権限を金融監督当局に導入するものである。この提案は、金融機関の管理負担を軽減し、監督上の有効性を強化するのに役立つ一貫したインシデント報告メカニズムを構築するものである。 |
| ·Consistency with existing provisions in the policy area | ・政策領域における既存の規定との整合性 |
| This proposal is part of wider work ongoing at European and international level to strengthen the cybersecurity in financial services and address broader operational risks. 6 | 本提案は、金融サービスにおけるサイバーセキュリティを強化し、より広範なオペレーショナルリスクに対処するために欧州および国際レベルで進行中の幅広い作業の一部である。 6 |
| It also responds to the 2019 Joint technical advice 7 of the European Supervisory Authorities (ESAs) that called for a more coherent approach in addressing ICT risk in finance and recommended the Commission to strengthen, in a proportionate way, the digital operational resilience of the financial services industry through an EU sector-specific initiative. The ESAs advice was a response to the Commission’s 2018 Fintech action plan. 8 | また、本提案は、金融におけるICTリスクへの対応においてより首尾一貫したアプローチを求め、EUのセクター別イニシアチブを通じて金融サービス業界のデジタル運用のレジリエンスを比例した形で強化するよう欧州委員会に勧告した欧州監督当局(ESAs)の2019年の共同技術助言7に対応するものである。ESAsの助言は、欧州委員会の2018年Fintechアクションプランに対応するものであった。 8 |
| ·Consistency with other Union policies | ・他のEU政策との整合性 |
| As stated by President von der Leyen in her Political Guidelines, 9 and set-out in the Communication ‘Shaping Europe’s digital future’, 10 it is crucial for Europe to reap all the benefits of the digital age and to strengthen its industry and innovation capacity, within safe and ethical boundaries. The European strategy for data 11 sets out four pillars - data protection, fundamental rights, safety and cybersecurity - as essential pre-requisites for a society empowered by the use of data. More recently, the European Parliament is working on a report on digital finance, which inter alia calls for a common approach on cyber resilience of the financial sector 12 .A legislative framework strengthening the digital operational resilience of EU financial entities is consistent with these policy objectives. The proposal would also support policies aimed at recovering from the coronavirus, as it would ensure that increased reliance on digital finance goes hand in hand with operational resilience. | フォン・デア・ライエン大統領が政治指針で述べ9、コミュニケーション「Shaping Europe's digital future」で打ち出したように10、欧州がデジタル時代のあらゆる恩恵を受け、産業とイノベーション能力を強化するためには、安全かつ倫理的な境界の中で行うことが極めて重要である。欧州のデータ戦略11 では、データ保護、基本的権利、安全、サイバーセキュリティという4つの柱を、データ活用によって力を発揮する社会に不可欠な前提条件として掲げている。最近では、欧州議会がデジタル金融に関する報告書の作成に取り組んでおり、特に金融セクターのサイバーレジリエンスに関する共通のアプローチを求めている12 。EUの金融機関のデジタル運用のレジリエンスを強化する法的枠組みは、こうした政策目標に合致している。この提案は、コロナウイルスからの回復を目指す政策も支援する。デジタル金融への依存の高まりが業務レジリエンスと密接に関係していることを保証するものだからである。 |
| The initiative would maintain the benefits associated with the horizontal framework on cybersecurity (e.g. the Directive on Security of Networks and Information Systems, NIS Directive) by keeping the financial sector within its scope. The financial sector would remain closely associated to the NIS cooperation body and financial supervisors would be able to exchange relevant information within the existing NIS ecosystem. The initiative would be consistent with the European Critical Infrastructure (ECI) Directive, which is currently being reviewed in order to enhance the protection and resilience of critical infrastructures against non-cyber related threats. Finally, this proposal is fully in line with the Security Union Strategy 13 that called for an initiative on the digital operational resilience for financial sector given its high dependence on ICT services and its high vulnerability to cyber-attacks. | この構想は、金融セクターをその範囲に含めることで、サイバーセキュリティに関する水平的枠組み(ネットワークと情報システムのセキュリティに関する指令、NIS指令など)に関連する利点を維持することになる。金融セクターは引き続きNIS協力機関と密接な関係を保ち、金融監督機関は既存のNISエコシステムの中で関連情報を交換することができるだろう。この構想は、非サイバー関連の脅威に対する重要インフラの保護とレジリエンスを強化するために現在見直されている欧州重要インフラ(ECI)指令と整合的であろう。最後に、この提案は、ICTサービスへの依存度が高く、サイバー攻撃に対する脆弱性が高い金融セクターのデジタル業務のレジリエンスに関するイニシアチブを求めた安全保障連合戦略13に完全に合致するものである。 |
| 2.LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY | 2.法的根拠、補完性、比例性 |
| ·Legal basis | ・法的根拠 |
| The proposal for regulation is based on Article 114 TFEU. | 本規制案は TFEU 第 114 条に基づくものである。 |
| It removes obstacles to, and improves the establishment and functioning of the internal market for financial services by harmonising the rules applicable in the area of ICT risk management, reporting, testing and ICT third-party risk. Current disparities in this area, both at legislative and supervisory levels, as well as national and EU levels, act as obstacles to the single market in financial services because financial entities that engage in cross-border activities face different, where not overlapping, regulatory requirements or supervisory expectations with the potential to impede the exercise of their freedoms of establishment and of provision of services. Different rules also distort competition between the same type of financial entities in different Member States. Moreover, in areas where harmonisation is absent, partial or limited, the development of divergent national rules or approaches, either already in force or in the process of adoption and implementation at national level, can act as a deterrent to the single market freedoms for financial services. This is particularly the case as regards to digital operational testing frameworks and the oversight of critical ICT third-party service providers. | これは、ICTリスクマネジメント、報告、テスト、ICT第三者リスクの分野に適用される規則を調和させることで、金融サービスのための内部市場の障害を取り除き、設立と機能を向上させるものである。なぜなら、国境を越えた活動を行う金融機関は、重複しないまでも、異なる規制要件や監督上の期待に直面し、設立やサービス提供の自由の行使を阻害する可能性があるからである。また、異なる規則は、異なる加盟国における同種の金融機関間の競争を歪める。さらに、調和がない、部分的、あるいは限定的な分野では、すでに施行されているか、あるいは国レベルでの採択や実施の過程にある、多様な国の規則やアプローチの発展が、金融サービスのための単一市場の自由に対する抑止力として機能する可能性がある。これは特に、デジタル運用テストの枠組みや、重要なICT第三者サービスプロバイダーの監視に関するケースである。 |
| As the proposal has an impact on several Directives of the European Parliament and of the Council adopted on the basis of Article 53(1) of the TFEU, a proposal for a Directive is also adopted at the same time to reflect the necessary amends to those Directives. | この提案はTFEU53条1項に基づいて採択された欧州議会と理事会のいくつかの指令に影響を与えるため、これらの指令に必要な修正を反映させるための指令の提案も同時に採択される。 |
| ·Subsidiarity | ・補完性 |
| A high degree of interconnection across financial services, a significant cross-border activity of financial entities and an extensive dependency of the financial sector as a whole on ICT third-party service providers call for enabling a strong digital operational resilience as a matter of common interest to uphold the soundness of EU financial markets. Disparities resulting from uneven or partial regimes, overlaps or multiple requirements applying to the same financial entities operating cross-border or holding several authorisations 14 across the Single Market can only be tackled efficiently at Union level. | 金融サービス間の高度な相互接続、金融機関の重要な国境を越えた活動、金融セクター全体のICT第三者サービスプロバイダーへの幅広い依存は、EU金融市場の健全性を維持するための共通の関心事として、強力なデジタル運用の弾力性を可能にすることを要求している。国境を越えて活動する、あるいは単一市場内で複数の認可を保有する同一の金融機関に適用される、不均一あるいは部分的な制度、重複、複数の要件から生じる格差は、EUレベルでしか効率的に取り組むことができない。 |
| This proposal harmonises the digital operational component of a deeply integrated and interconnected sector that already benefits from a single set of rules and supervision in most other key areas. For matters such as ICT-related incident reporting, only Union harmonised rules could reduce the level of administrative burdens and financial costs associated with the reporting of the same ICT-related incident to different Union and national authorities. EU action is needed to also facilitate the mutual recognition of advanced digital operational resilience testing results for entities operating cross-border, which in the absence of Union rules are or may be subject to different frameworks in different Member States. Only action at Union level can address the differences in testing approaches that Member States have introduced. EU-wide action is also needed to address the lack of appropriate oversight powers to monitor risks stemming from ICT third-party service providers, including concentration and contagion risks for the EU financial sector. | この提案は、他のほとんどの主要分野において既に単一の規則と監督の恩恵を受けている、深く統合され相互接続されたセクターのデジタル業務部門を調和させるものである。ICT関連の事故報告などについては、EUで統一された規則によってのみ、同じICT関連の事故をEUと各国の異なる当局に報告することに伴う行政負担と財政コストのレベルを下げることができる。また、EUの規則がないために加盟国ごとに異なる枠組みの適用を受けている、あるいは受ける可能性のある、国境を越えて活動する事業体の高度なデジタル運用レジリエンス試験の結果の相互承認を促進するためのEUの行動が必要である。加盟国が導入しているテスト手法の違いに対処できるのは、EUレベルでの行動のみである。また、EU金融セクターへの集中や伝染のリスクなど、ICT第三者サービスプロバイダーから派生するリスクを監視するための適切な監督権限の欠如に対処するためのEU全体の行動も必要である。 |
| ·Proportionality | ・比例性 |
| The proposed rules do not go beyond what is necessary in order to achieve the objectives of the proposal. They cover only the aspects that Member States cannot achieve on their own and where the administrative burden and costs are commensurate with the specific and general objectives to be achieved. | 提案された規則は、提案の目的を達成するために必要なことを超えていない。加盟国が独自に達成できない部分のみを対象とし、事務的な負担やコストが達成すべき具体的・一般的な目的に見合うものでなければならない。 |
| Proportionality is designed in terms of scope and intensity through the use of qualitative and quantitative assessment criteria. These aim to ensure that, while the new rules cover all financial entities, they are at the same time tailored to risks and needs of their specific characteristics in terms of their size and business profiles. Proportionality is also embedded in the rules on ICT risk management, digital resilience testing, reporting of major ICT-related incidents and oversight of critical ICT third-party service providers. | 比例性は、定性的および定量的な評価基準の使用により、範囲と強度の観点から設計されています。これらの目的は、新規則がすべての金融事業者を対象とする一方で、同時にその規模や事業プロフィールの観点から、金融事業者特有のリスクやニーズに合わせて調整されることを保証することである。比例性は、ICTリスクマネジメント、デジタルレジリエンス試験、ICT関連の重大インシデントの報告、重要なICT第三者サービスプロバイダーの監視に関する規則にも織り込まれている。 |
| ·Choice of the instrument | ・手段の選択 |
| The measures needed to govern ICT risk management, ICT-related incident reporting, testing and oversight of critical ICT third-party service providers must be contained in a Regulation in order to ensure that the detailed requirements be effectively and directly applicable in a uniform manner, without prejudice to proportionality and specific rules foreseen by this Regulation. Consistency in addressing digital operational risks contributes to enhancing confidence in the financial system and preserves its stability. Since the use of a regulation helps reducing regulatory complexity, fosters supervisory convergence and increases legal certainty, this Regulation also contributes to limit financial entities' compliance costs, especially for those operating on a cross-border basis, which in turn would help remove competitive distortions. | ICTリスクマネジメント、ICT関連インシデント報告、テスト、重要なICTサードパーティサービスプロバイダーの監視を管理するために必要な措置は、比例とこの規則が予見する特定の規則を損なうことなく、詳細な要件が均一な方法で効果的かつ直接適用できるように、規則に含まれなければならない。デジタル運用リスクへの対処の一貫性は、金融システムに対する信頼性を高め、その安定性を維持することに寄与する。規制の利用は、規制の複雑性を軽減し、監督上の収斂を促進し、法的確実性を高めるため、本規則は、特にクロスボーダーで事業を行う金融機関のコンプライアンスコストの抑制にも寄与し、ひいては競争の歪みをなくすことにつながるだろう。 |
| This Regulation also does away with legislative disparities and uneven national regulatory or supervisory approaches on ICT risk and thus removes obstacles to the single market in financial services, in particular to the smooth exercise of the freedom of establishment and the provision of services for financial entities with cross-border presence. | また、同規則は、ICTリスクに関する法規制や監督上のアプローチの相違を解消し、金融サービスの単一市場、特にクロスボーダーで活動する金融機関の設立やサービス提供の自由を円滑に行使するための障害を取り除くものである。 |
| Lastly, the Single Rulebook has mostly been developed via regulations, and its update with the digital operational resilience component should follow the same choice of legal instrument. | 最後に、単一ルールブックは、そのほとんどが規制によって策定されており、デジタル・オペレーショナル・レジリエンスの要素を含むその更新は、同じ法的手段の選択に従うべきである。 |
| 3.RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS | 3.事後評価、ステークホルダーとの協議、影響評価の結果 |
| ·Ex-post evaluations/fitness checks of existing legislation | ・既存法制の事後評価/適合性チェック |
| No Union financial services legislation has until now focussed on operational resilience and none has comprehensively tackled risks emerging from digitalisation, not even those whose rules address more generally the operational risk dimension with ICT risk as a sub-component. Union intervention so far have helped to address needs and problems that were present in the aftermath of the 2008 financial crisis: credit institutions were not sufficiently capitalised, financial markets were not sufficiently integrated, and harmonisation up until that point had been kept minimal. ICT risk was not considered a priority then, and, as a result, the legal frameworks for the different financial subsectors has evolved in an uncoordinated manner. Still, Union action has achieved its objectives of ensuring financial stability and to establish a single set of harmonised prudential and market conduct rules applicable to financial entities throughout the EU. Since factors driving Union legislative intervention in the past did not enable specific or comprehensive rules to address the widespread use of digital technologies and consequent risks in finance, carrying out an explicit evaluation appears challenging. An implicit evaluation exercise and consequent legislative amendments are reflected in each pillar of this Regulation.. | EUの金融サービス法には、これまでオペレーショナル・レジリエンスに焦点を当てたものはなく、デジタル化から生じるリスクに包括的に取り組んだものもなく、ICTリスクをサブコンポーネントとするオペレーショナル・リスクの側面をより一般的に取り扱う規則もない。これまでのEUの介入は、2008年の金融危機の直後に存在したニーズや問題への対処に役立ってきた。金融機関は十分に資本増強されておらず、金融市場は十分に統合されておらず、その時点までの整合性は最小限に留められていたのである。当時、ICTリスクは優先事項とは考えられておらず、その結果、さまざまな金融サブセクターの法的枠組みが非協調な形で発展してきた。それでも、EUの活動は、金融の安定を確保し、EU全域の金融機関に適用される調和のとれた単一のプルデンシャルおよび市場行動規制を確立するという目的を達成したのである。過去にEUの法的介入を促した要因が、金融におけるデジタル技術の普及とそれに伴うリスクに対処するための具体的あるいは包括的な規則を可能にしなかったため、明確な評価を行うことは困難であると思われる。暗黙の評価とその結果としての法改正は、本規則の各柱に反映されている。 |
| ·Stakeholder consultations | ・利害関係者との協議 |
| The Commission has consulted stakeholders throughout the process of preparing this proposal, in particular: | 欧州委員会は、本提案の作成過程を通じて、特に利害関係者と協議を行った。 |
| i)The Commission carried out a dedicated open public consultation (19 December 2019 - 19 March 2020); 15 | i)欧州委員会は、専用のオープンな公開協議を実施した(2019年12月19日~2020年3月19日)、15 |
| ii)The Commission consulted the public via an inception impact assessment (19 December 2019 - 16 January 2020); 16 | ii)欧州委員会は、インセプション・インパクト・アセスメント(2019年12月19日~2020年1月16日)を通じて、一般市民と協議した、16 |
| iii)The Commission services consulted Member State experts in the Expert Group on Banking, Payments and Insurance (EGBPI) on two occasions (18 May 2020 and 16 July 2020); 17 | iii)欧州委員会業務は、銀行・決済・保険に関する専門家グループ(EGBPI)の加盟国専門家と2回にわたり協議を行った(2020年5月18日、2020年7月16日)、17 |
| iv)The Commission services held a dedicated webinar on digital operational resilience, as part of the Digital Finance Outreach 2020 series of events (19 May 2020). | iv)欧州委員会業務は、Digital Finance Outreach 2020の一連のイベントの一環として、デジタル運用レジリエンスに関する専用のウェビナーを開催した(2020年5月19日)。 |
| The purpose of the public consultation was to inform the Commission on the development of a potential EU cross-sectoral digital operational resilience framework in the area of financial services. Responses showed a broad support for introducing a dedicated framework with actions focused on the four areas subject to the consultation, while stressing the need to ensure proportionality and to carefully address and explain the interaction with the horizontal rules of the NIS Directive. The Commission received two responses on the inception impact assessment, where respondents addressed specific aspects related to their area of activity. | このパブリックコンサルテーションの目的は、金融サービス分野におけるEUのセクター横断的なデジタル・オペレーショナル・レジリエンスの枠組みの可能性について、欧州委員会に情報を提供することであった。回答は、協議の対象となった4つの分野に焦点を当てた行動をとる専用の枠組みの導入に対する幅広い支持を示す一方で、比例性を確保し、NIS指令の水平ルールとの相互作用を慎重に取り上げ、説明する必要性を強調している。欧州委員会は、最初の影響評価について2件の回答を受け取ったが、回答者は自らの活動分野に関連する特定の側面を取り上げていた。 |
| Member States expressed in the EGBPI meeting organized on 18 May 2020 high support for strengthening the digital operational resilience of the financial sector through the actions envisaged along the four elements outlined by the Commission. Member States also stressed the need for clear articulation of the new rules with those on operational risk (within the EU financial services legislation) and with the horizontal rules on cybersecurity (NIS Directive). During the second meeting, some Member States stressed the need to ensure proportionality and consider the specific situation of small companies or subsidiaries of larger groups, as well as the need to have a strong mandate for NCAs involved in the oversight. | 加盟国は、2020年5月18日に開催されたEGBPI会合において、欧州委員会が概説した4つの要素に沿って想定される行動を通じて、金融部門のデジタル運用のレジリエンスを強化することへの高い支持を表明した。加盟国はまた、新規則を(EU金融サービス法内の)オペレーショナルリスクに関する規則や、サイバーセキュリティに関する水平規則(NIS指令)と明確に関連付ける必要性を強調した。第2回会合では、一部の加盟国が、比例性を確保し、小規模企業や大規模グループの子会社の特定の状況を考慮する必要性や、監督に関与するNCAに強い権限を持たせる必要性を強調した。 |
| The proposal also builds on and integrates the feedback drawn from meetings held with stakeholders and EU authorities and institutions. Stakeholders, including ICT third-party service providers, have been overall supportive. An analysis of the received feedback shows a call for preserving proportionality and following a principle and risk-based approach in the design of rules. On the institutional side, the main input came from the European Systemic Risk Board (ESRB), the ESAs, the European Union Agency on Cybersecurity (ENISA) and the European Central Bank (ECB), as well as from Member States’ competent authorities. | この提案はまた、利害関係者やEU当局・機関との会合で得られたフィードバックを基に、それを統合したものである。ICTのサードパーティサービスプロバイダーを含むステークホルダーは、全体的に支持を表明している。寄せられた意見を分析すると、ルール設計において、比例性を維持し、原則とリスクに基づくアプローチに従うことを求めていることがわかる。制度面では、欧州システムリスク委員会(ESRB)、ESA、欧州連合サイバーセキュリティ機関(ENISA)、欧州中央銀行(ECB)、および加盟国の所轄官庁からの意見が主であった。 |
| ·Collection and use of expertise | ・専門知識の収集と活用 |
| In preparing this proposal, the Commission relied on qualitative and quantitative evidence collected from recognised sources, including the two joint technical advices by the ESAs. This has been complemented with confidential input, and publicly available reports from supervisory authorities, international standard-setting bodies and leading research institutes, as well as quantitative and qualitative input from identified stakeholders across the global financial sector. | 本提案の作成にあたり、欧州委員会は、ESAsによる2つの共同テクニカルアドバイスを含む周知の情報源から収集した定性的および定量的な証拠に依拠した。これは、監督当局、国際的な基準設定主体、主要な研究機関からの機密情報、公表された報告書、および世界の金融セクターの利害関係者からの定量的・定性的情報によって補完されています。 |
| ·Impact assessment | ・影響度評価 |
| This proposal is accompanied by an impact assessment 18 , which was submitted to the Regulatory Scrutiny Board (RSB) on 29 April 2020 and approved on 29 May 2020. The RSB recommended improvements in some areas with a view to: (i) provide more information on how proportionality would be ensured; (ii) better highlight the extent to which the preferred option differs from the ESAs joint technical advice, and why that option is the optimal one; and (iii) further highlight how the proposal interacts with existing EU legislation, including with rules currently being reviewed. The impact assessment was adjusted to address these points, also addressing the RSB’s more detailed comments. | 本提案は影響評価18 を伴い、2020 年 4 月 29 日に規制精査委員会(RSB)に提出され、2020 年 5 月 29 日に承認された。RSB は、以下の観点からいくつかの分野の改善を勧告した。(i) 比例性がどのように確保されるかについて、より多くの情報を提供すること (ii) 望ましい選択肢がESAの共同技術助言と異なる程度と、その選択肢が最適である理由をより強調すること (iii) 現在見直し中の規則を含む既存のEU法との相互作用をより強調すること。影響評価は、これらの点に対応するよう調整され、RSBのより詳細なコメントにも対応した。 |
| The Commission considered a number of policy options for developing a digital operational resilience framework: | 欧州委員会は、デジタル業務レジリエンスの枠組みを構築するために、いくつかの政策オプションを検討した。 |
| ·“Do nothing”: rules on operational resilience would continue to be set by the current, diverging set of EU financial services provisions, partly by the NIS Directive, and by existing or future national regimes; | ・何もしない」:オペレーショナル・レジリエンスに関する規則は,現行の多様なEU金融サービス規定,一部はNIS指令,および既存または将来の各国制度によって引き続き定められるだろう。 |
| ·Option 1: strengthening capital buffers: additional capital buffers would be introduced to increase financial entities’ ability to absorb losses that could arise due to a lack of digital operational resilience; | ・オプション1:資本バッファーの強化:デジタル運用のレジリエンスの欠如によって生じうる損失を吸収する金融機関の能力を高めるために,追加の資本バッファーが導入されるであろう。 |
| ·Option 2: introducing a financial services digital operational resilience act: enabling a comprehensive framework at EU level with consistent rules addressing the digital operational resilience needs of all regulated financial entities and establishing an Oversight framework for critical ICT third-party providers; | ・オプション2:金融サービスデジタル・オペレーション・レジリエンス法の導入:規制対象の全金融機関のデジタル・オペレーション・レジリエンスのニーズに対応する一貫したルールと,重要なICT第三者提供者の監視枠組みを備えたEUレベルでの包括的な枠組みを可能にする。 |
| ·Option 3: a financial services digital operational resilience act combined with centralised supervision of critical ICT third-party service providers: in addition to a digital operational resilience act (option 2), a new authority would be established to supervise the provision of services by ICT third party service providers. | -選択肢3:重要なICTサードパーティサービスプロバイダーの集中的監督と組み合わせた金融サービスデジタルオペレーションレジリエンス法:デジタルオペレーションレジリエンス法(選択肢2)に加えて、ICTサードパーティサービスプロバイダーによるサービス提供を監督する新しい当局が設立されることになる。 |
| The second option was retained, as it achieves most of the intended objectives in a manner that is effective, efficient and coherent with other Union policies. Most stakeholders also prefer this option. | 2番目の選択肢は、効果的、効率的かつ他のEU政策と首尾一貫した方法で意図された目的のほとんどを達成するため、維持された。また、ほとんどの利害関係者がこの選択肢を好んでいる。 |
| The retained option would give rise to costs of both one-off and recurring nature 19 . The one-off costs are mainly due to investments in IT systems and as such are difficult to quantify given the different state of firms’ complex IT landscapes and in particular of their legacy IT systems. Even so, these costs are likely to be limited for large firms, given the significant ICT investments they have already made. Costs are also expected to be limited for smaller firms, as proportionate measures would apply given their lower risk. | 維持されるオプションは、単発的なコストと経常的なコストの両方を生じさせる19 。単発のコストは主にITシステムへの投資によるもので、企業の複雑なITランドスケープ、特にレガシーITシステムの状態の違いから、定量化が困難である。しかし、大企業の場合、すでに多額のICT投資を行っていることから、これらのコストは限定的であろう。また、中小企業については、そのリスクの低さから比例した措置が適用されるため、コストは限定的であると思われる。 |
| The retained option would have positive effects on SMEs operating in the financial services industry in terms of economic, social and environmental impacts. The proposal will bring clarity to SMEs on what rules apply, which will reduce compliance costs. | 維持される選択肢は、経済的、社会的、環境的影響という点で、金融サービス業を営む中小企業にプラスの効果をもたらすと思われる。この提案は、どのような規則が適用されるかを中小企業に明確にするものであり、コンプライアンス・コストを削減するものである。 |
| The main social impacts of the retained policy option would be on consumers and investors. Higher levels of digital operational resilience of the EU financial system would decrease the number and average costs of incidents. Society as a whole would benefit from the increased trust in the financial services industry. | 維持される政策オプションの主な社会的影響は、消費者と投資家に対するものである。EUの金融システムのデジタル運用のレジリエンスレベルが高まれば、事故の件数と平均コストが減少する。社会全体としては、金融サービス業界への信頼が高まることで利益を得ることができる。 |
| Finally, in terms of environmental impacts, the policy option chosen would encourage an enhanced use of the latest generation of ICT infrastructures and services, which are expected to become environmentally more sustainable. | 最後に、環境への影響という点では、選択された政策オプションは、最新世代のICTインフラとサービスの利用を促進し、環境的に持続可能なものになると期待される。 |
| ·Regulatory fitness and simplification | ・規制の適正化・簡素化 |
| The removal of overlapping ICT-related incident reporting requirements would reduce administrative burdens and decrease associated costs. In addition, harmonised digital operational resilience testing with mutual recognition across the Single Market will decrease costs, especially for cross-border firms that could otherwise face multiple tests across Member States 20 . | 重複するICT関連の事故報告要件が削除されることで、管理負担が軽減され、関連コストが削減される。さらに、単一市場内での相互承認を伴う調和されたデジタル運用レジリエンス試験は、特に、加盟国間で複数の試験に直面する可能性のある国境を越えた企業にとって、コストを削減することになる20 。 |
| ·Fundamental rights | ・基本的権利 |
| The EU is committed to ensuring high standards of protection of fundamental rights. All voluntary information sharing arrangements between financial entities that this Regulation promotes would be conducted in trusted environments in full respect of Union data protection rules, notably Regulation (EU) 2016/679 of the European Parliament and of the Council 21 in particular when processing personal is necessary for the purposes of a legitimate interest pursued by the controller. | EU は、高水準の基本的権利の保護を確保することにコミットしている。本規則が促進する金融機関間の自主的な情報共有の取り決めはすべて、EUのデータ保護規則、特に欧州議会と理事会の規則(EU)2016/679 21、特に管理者が追求する正当な利益の目的のために個人情報の処理が必要な場合に、これを完全に尊重して信頼できる環境で実施されることになる。 |
| 4. BUDGETARY IMPLICATIONS | 4. 予算への影響 |
| In terms of budgetary implications, as the current Regulation foresees an enhanced role for the ESAs by means of powers granted upon them to adequately oversee critical ICT third-party providers, the proposal would entail the deployment of increased resources, in particular to fulfil the oversight missions (such as onsite and online inspections and audits exercises) and the use of staff possessing specific ICT security expertise. | 予算への影響という点では、現行規則が、重要なICTサードパーティプロバイダを適切に監督する権限をESAに付与することにより、ESAの役割を強化することを予見しているため、この提案では、特に監督任務(現地およびオンラインでの検査や監査など)を遂行するためのリソースの増強、特定のICTセキュリティ専門性を有するスタッフの利用が必要となるであろう。 |
| The scale and distribution of these costs will depend on the extent of the new oversight powers and the (precise) tasks to be performed by the ESAs. In terms of providing new staff resources, EBA, ESMA and EIOPA will require in total 18 full-time employees (FTE) - 6 FTEs for each authority - when the different provisions of the proposal will enter into application (estimated at EUR 15,71 million for the period 2022 - 2027). The ESAS will also incur additional IT costs, mission expenses for the onsite inspections and translation costs (estimated at EUR 12 million for the period 2022 - 2027), as well as other administrative expenditure (estimated at EUR 2,48 million for the period 2022 - 2027). Therefore, the estimated total cost impact is approximately EUR 30,19 million for the period 2022 - 2027. | これらの費用の規模と配分は、新たな監視権限の範囲とESAが行うべき(正確な)任務によって決まる。新たなスタッフリソースの提供という点では、EBA、ESMA、EIOPAは、本提案の様々な規定が適用される際に、各局6人ずつの合計18人のフルタイム職員(FTE)が必要となる(2022年から2027年の期間で1571万ユーロと推定される)。ESASはさらに、ITコスト、立入検査のためのミッション費用、翻訳費用(2022年~2027年の推定で1200万ユーロ)、およびその他の管理費(2022年~2027年の推定で248万ユーロ)を負担することになる。したがって、2022年~2027年のコストインパクトの総額は約3,019万ユーロと見積もられる。 |
| It should also be noted that, while the headcount (e.g. new staff members and other expenditure related to the new tasks) necessary for direct oversight will depend over time on the development of the number and size of the critical ICT third-party service providers to be overseen, the respective expenditure will be fully funded by fees raised from those market participants. Therefore, no impact on EU budget appropriations is foreseen (except for the additional staff), as these costs will be fully funded by fees. | また、直接監督に必要な人員(新規職員および新規業務に関連するその他の支出など)は、監督対象となる重要なICT第三者サービス提供者の数と規模の推移に依存するが、それぞれの支出は、これらの市場参加者から徴収する手数料で全額賄われることに留意する必要がある。したがって、これらの費用は手数料で全額賄われるため、EUの予算計上への影響はない(追加職員を除く)と予想される。 |
| The financial and budgetary impacts of this proposal are explained in detail in the legislative financial statement annexed to this proposal. | 本提案の財務的・予算的影響については、本提案に添付される立法財務報告書で詳細に説明されている。 |
| 5.OTHER ELEMENTS | 5.その他の要素 |
| ·Implementation plans and monitoring, evaluation and reporting arrangements | ・実施計画および監視・評価・報告の取り決め |
| The proposal includes a general plan for monitoring and evaluating the impact on the specific objectives, requiring the Commission to carry out a review at least three years after the entry into force, and to report to the European Parliament and the Council on its main findings. | 本提案には、特定目的への影響を監視・評価するための一般的な計画が含まれており、欧州委員会は発効後少なくとも3年後にレビューを実施し、その主な結果を欧州議会と理事会に報告することが義務付けられている。 |
| The review is to be conducted in line with the Commission’s Better Regulation Guidelines. | レビューは、欧州委員会のBetter Regulation Guidelinesに沿って実施されることになっている。 |
| ·Detailed explanation of the specific provisions of the proposal | ・提案の具体的な条項の詳細な説明 |
| The proposal is structured around several main policy areas which are key inter-related pillars consensually included in European and international guidance and best practices aimed at enhancing the cyber and operational resilience of the financial sector. | 本提案は、金融セクターのサイバーおよびオペレーションのレジリエンスを強化することを目的とした欧州および国際的なガイダンスやベストプラクティスに合意的に含まれる、相互に関連する重要な柱であるいくつかの主要政策分野を中心に構成されています。 |
| Scope of the Regulation and proportionality application of required measures (Article 2) | 規制の範囲と要求される措置の比例適用(第2条) |
| To ensure consistency around the ICT risk management requirements applicable to the financial sector, the regulation covers a range of financial entities regulated at Union level, namely credit institutions, payment institutions, electronic money institutions, investment firms, crypto-asset service providers, central securities depositories, central counterparties, trading venues, trade repositories, managers of alternative investment funds and management companies, data reporting service providers, insurance and reinsurance undertakings, insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries, institutions for occupational retirement pensions, credit rating agencies, statutory auditors and audit firms, administrators of critical benchmarks and crowdfunding service providers. | 金融セクターに適用されるICTリスクマネジメント要件の一貫性を確保するため、本規則は、EUレベルで規制される金融機関の範囲、すなわち、信用機関、支払機関、電子マネー機関、投資会社、暗号資産サービスプロバイダー、中央証券保管機関、中央取引所、取引所、取引情報蓄積機関(TR)を対象としている。代替投資ファンドの運用者および運用会社、データ報告サービスプロバイダー、保険および再保険事業者、保険仲介者、再保険仲介者および補助的保険仲介者、退職年金機関、信用格付機関、法定監査人および監査法人、重要ベンチマーク管理者、クラウドファンディングサービスプロバイダーなど。 |
| Such a coverage facilitates a homogenous and coherent application of all components of the risk management on ICT-related areas, while safeguards the level playing field among financial entities in respect of their regulatory obligations on ICT risk. At the same time, the regulation acknowledges that significant differences exist between financial entities in terms of size, business profiles or in relation to their exposure to digital risk. Since larger financial entities have more resources, only financial entities not qualifying as microenterprises are required, for instance, to establish complex governance arrangements, dedicated management functions, perform in-depth assessments after major changes in the network and information system infrastructures, regularly conduct risk analyses on legacy ICT systems, expand the testing of business continuity and response and recovery plans to capture switchover scenarios between their primary ICT infrastructure and redundant facilities. Moreover, only financial entities identified as significant for the purposes of the advanced digital resilience testing will be required to conduct threat led penetration tests. | このような適用範囲は、ICT関連分野のリスクマネジメントのすべての構成要素の均質かつ首尾一貫した適用を容易にする一方、ICTリスクに関する規制義務に関して金融機関間の公平な競争条件を保護する。同時に、この規制は、規模、ビジネスプロファイル、デジタルリスクへのエクスポージャーに関連して、金融機関の間に大きな違いが存在することを認めている。大規模な金融機関はより多くの資源を持っているので、零細企業に該当しない金融機関だけが、例えば、複雑なガバナンスの取り決め、専門の管理機能の確立、ネットワークや情報システムのインフラに大きな変更があった場合の詳細な評価の実施、レガシーICTシステムのリスク分析を定期的に実施、事業継続と対応・復旧計画のテストを拡大して主要ICTインフラと代替設備間の切り替えシナリオを把握すること、などの義務を負わされることになる。さらに、高度なデジタル・レジリエンス・テストの目的上、重要であると認識された金融機関のみが、脅威主導の侵入テストを実施することが要求される。 |
| Notwithstanding this broad coverage, it is not exhaustive. Notably, this regulation does not capture system operators as defined in point (p) of Article 2 of Directive 98/26/EC 22 on settlement finality in payment and securities settlement systems (SFD), nor any system participant unless such participant is itself a financial entity regulated at Union level and as such it would be covered by this regulation in its own right (i.e. credit institution, investment firm, CCP). In addition, the Union registry for emission allowances which is operated, in accordance with Directive 2003/87/EC, 23 under the aegis of the European Commission is also outside the scope. | このように広い範囲を対象としているにもかかわらず、網羅的なものではありません。特に、この規制は、決済および証券決済システム(SFD)における決済の最終性についての指令98/26/EC 22の第2条(p)に定義されているシステム運用者、およびシステム参加者を対象としていない。ただし、当該参加者自体が連合レベルで規制される金融機関であり、それ自体(すなわち、信用機関、投資会社、CCP)がこの規制でカバーされる場合はこの限りでない。さらに、指令2003/87/ECに従って、欧州委員会の管理下で運営されている排出枠の連合登録機関も対象外です。 |
| Such exclusions from the SFD take into account the need for a further review of legal and policy matters touching the SFD system operators and participants while duly considering the impact of frameworks currently applying to payment systems 24 operated by central banks. As these matters may entail aspects, which remain distinct from issues covered by this regulation, the Commission will continue assessing the necessity and impact of a further extension of this regulation’s scope to entities and ICT infrastructures currently outside of its remit. | このように SFD を対象外としたのは、中央銀行が運営する決済システムに現在適用されて いる枠組みの影響を十分に考慮しつつ、SFD システムの運営者と参加者に関係する法 的・政策的事項をさらに検討する必要があることを考慮したものである。これらの事項には、本規則の対象とは異なる側面が含まれる可能性があるため、欧州委員会は、現在本規則の適用範囲外となっている団体やICTインフラに本規則の範囲をさらに拡大する必要性と影響について引き続き評価する予定である。 |
| Governance related requirements (Article 4) | ガバナンス関連要件(第4条) |
| This regulation is designed to better aligning financial entities’ business strategies and the conduct of the ICT risk management. To that effect, the management body will be required to maintain a crucial, active role in steering the ICT risk management framework and shall pursue the respect of a string cyber hygiene. The full responsibility of the management body in managing financial entity’s ICT risk will be an overarching principle to be further translated into a set of specific requirements, such as the assignment of clear roles and responsibilities for all ICT-related functions, a continuous engagement in the control of the monitoring of the ICT risk management, as well in the full range of approval and control processes and an appropriate allocating of ICT investments and trainings. | 本規則は、金融機関の事業戦略とICTリスクマネジメントの実施をより整合的にすることを目的としている。そのために、マネジメント機関は、ICTリスクマネジメントの枠組みの運営において重要かつ積極的な役割を維持し、厳格なサイバー衛生の尊重を追求することが要求される。金融機関のICTリスクマネジメントにおける経営機関の全責任は、すべてのICT関連機能に対する明確な役割と責任の付与、ICTリスクマネジメントのモニタリングの管理への継続的関与、あらゆる承認・管理プロセス、ICT投資とトレーニングの適切な配分といった一連の特定要件にさらに変換される包括的原則となるであろう。 |
| ICT risk management requirements (Articles 5 to 14) | ICTリスクマネジメントの要件(第5条~第14条) |
| Digital operational resilience is rooted in a set of key principles and requirements on ICT risk management framework, in line with the joint ESAs technical advice. These requirements, inspired from relevant international, national and industry-set standards, guidelines and recommendations, revolve around specific functions in ICT risk management (identification, protection and prevention, detection, response and recovery, learning and evolving and communication). To keep pace with a quickly evolving cyber threat landscape, financial entities are required to set-up and maintain resilient ICT systems and tools that minimize the impact of ICT risk, to identify on a continuous basis all sources of ICT risk, to set-up protection and prevention measures, promptly detect anomalous activities, put in place dedicated and comprehensive business continuity policies and disaster and recovery plans as an integral part of the operational business continuity policy. The latter components are required for a prompt recovery after ICT-related incidents, in particular cyber-attacks, by limiting damage and prioritising safe resumption of activities. The regulation does not itself impose specific standardization, but rather builds on European and internationally recognized technical standards or industry best practices, insofar they are fully compliant with supervisory instructions on the use and incorporation of such international standards. This regulation also covers the integrity, safety and resilience of physical infrastructures and facilities that support the use of technology and the relevant ICT-related processes and people, as part of the digital footprint of a financial entity’s operations. | デジタル運用のレジリエンスは、ESAの技術的助言に沿ったICTリスクマネジメントのフレームワークに関する一連の主要な原則と要件に根ざしています。これらの要件は、関連する国際的、国内的、産業界が設定した基準、ガイドライン、勧告から着想を得ており、ICTリスクマネジメントの特定の機能(識別、保護と予防、検知、対応と復旧、学習と進化、コミュニケーション)を中心に展開される。急速に進化するサイバー脅威の状況に対応するために、金融機関は、ICTリスクの影響を最小化する弾力的なICTシステムとツールを設定し維持すること、ICTリスクのすべてのソースを継続的に識別すること、保護と予防手段を設定すること、異常な活動を迅速に検出し、専用の包括的な事業継続方針と災害・復旧計画を運用事業継続方針の不可欠な部分として配置することが要求される。後者は、ICT関連の事故、特にサイバー攻撃の後、被害を最小限に抑え、安全な活動の再開を優先させることによって、迅速に復旧させるために必要なものである。この規制は、特定の標準化を強制するものではなく、欧州および国際的に認められた技術標準や業界のベストプラクティスを、そうした国際標準の使用や取り込みに関する監督当局の指示に完全に準拠している限り、基礎とするものである。この規制は、金融機関の業務のデジタルフットプリントの一部として、技術の使用をサポートする物理的なインフラや施設、関連するICT関連のプロセスや人々の完全性、安全性、弾力性についてもカバーしている。 |
| ICT-related incident reporting (Articles 15 to 20) | ICT関連インシデント報告(第15条~第20条) |
| Harmonising and streamlining the reporting of ICT-related incidents is achieved via, first, a general requirement for financial entities to establish and implement a management process to monitor and log ICT-related incidents, followed by an obligation to classify them based on criteria detailed in the regulation and further developed by the ESAs through to specify materiality thresholds. Second, only ICT-related incidents that are deemed major must be reported to the competent authorities. The reporting should be processed using a common template and following a harmonised procedure as developed by the ESAs. Financial entities should submit initial, intermediate and final reports and inform their users and clients where the incident has or may have an impact on their financial interests. Competent authorities should provide pertinent details of the incidents to other institutions or authorities: to the ESAs, to the ECB and to the single points of contact designated under Directive (EU) 2016/1148. | ICT関連インシデントの報告の調和と合理化は、第一に、金融機関がICT関連インシデントを監視し記録する管理プロセスを確立し実施するための一般要件、次に、規制で詳述されESAsがさらに発展させて重要性基準値を指定する基準に基づいて分類する義務によって達成される。第二に、重大とみなされるICT関連インシデントのみを所轄官庁に報告する必要がある。報告は、共通のテンプレートを使用し、ESAsによって開発された調和された手続きに従って処理されなければならない。金融機関は、初期報告、中間報告、最終報告を提出し、インシデントが彼らの金融上の利益に影響を与えるか、与える可能性がある場合には、ユーザーとクライアントに通知しなければならない。所轄官庁は、インシデントの適切な詳細を他の機関または当局(ESAs、ECB、指令(EU)2016/1148に基づいて指定された単一の連絡先)に提供する必要がある。 |
| To set off a dialogue between financial entities and competent authorities that would help minimising the impact and identifying appropriate remedies, the reporting of major ICT-related incidents should be complemented by supervisory feedback and guidance. | 影響を最小化し、適切な改善策を特定するのに役立つ金融機関と所轄官庁の間の対話を開始するために、主要なICT関連インシデントの報告は、監督上のフィードバックとガイダンスによって補完されるべきである。 |
| Lastly, the possibility of centralisation at Union level of ICT-related incident reporting should be further explored in a joint report by the ESAs, ECB and ENISA assessing the feasibility of establishing a single EU Hub for major ICT-related incident reporting by financial entities. | 最後に、金融機関による主要なICT関連インシデント報告のための単一のEUハブの設立の可能性を評価するESA、ECB、ENISAの共同報告書において、ICT関連インシデント報告のEUレベルでの集中化の可能性がさらに検討されるべきである。 |
| Digital operational resilience testing (Articles 21 to 24) | デジタル運用レジリエンス試験(第21条〜第24条) |
| The capabilities and functions included in the ICT risk management framework need to be periodically tested for preparedness and identification of weaknesses, deficiencies or gaps, as well as the prompt implementation of corrective measures. This regulation allows for a proportionate application of digital operational resilience testing requirements depending on the size, business and risk profiles of financial entities: while all entities should perform a testing of ICT tools and systems, only those identified by competent authorities (based on criteria in this regulation and further developed by the ESAs) as significant and cyber mature should be required to conduct advanced testing based on TLPTs. This regulation also sets out requirements for testers and the recognition of TLPT results across the Union for financial entities operating in several Member States. | ICTリスクマネジメントの枠組みに含まれる能力と機能は、準備と弱点、欠陥またはギャップの特定、および是正措置の迅速な実施のために定期的にテストされる必要がある。本規則は、金融機関の規模、事業、リスクプロファイルに応じて、デジタル業務レジリエンステストの要件を比例的に適用することを認めている。すべての機関がICTツールやシステムのテストを実施すべきであるが、(本規則の基準に基づき、ESAsがさらに開発した)所轄官庁が重要かつサイバー成熟と認めた機関にのみ、TLPTに基づく高度なテストの実施を義務づけるべきである。また、本規則は、複数の加盟国で活動する金融機関について、テスターに対する要件と、EU全域でのTLPT結果の承認について定めている。 |
| ICT third-party risk (Articles 25 to 39) | ICT第三者リスク(第25条~第39条) |
| The regulation is designed to ensure a sound monitoring of ICT third-party risk. This objective will be achieved first through the respect of principle-based rules applying to financial entities’ monitoring of risk arising through ICT third-party providers. Second, this regulation harmonises key elements of the service and relationship with ICT third-party providers. These elements cover minimum aspects deemed crucial to enable a complete monitoring by the financial entity of ICT third-party risk throughout the conclusion, performance, termination and post-contractual stages of their relationship. | 本規則は、ICTサードパーティーリスクの健全な監視を確保することを目的としている。この目的は、第一に、金融機関がICT第三者プロバイダーを通じて生じるリスクのモニタリングに適用される原則的な規則の尊重を通じて達成されるであろう。第二に、この規則は、ICT第三者プロバイダーとのサービス及び関係の主要な要素を調和させる。これらの要素は、関係の締結、履行、終了、契約後の段階を通じて、金融機関によるICT第三者リスクの完全なモニタリングを可能にするために重要と考えられる最低限の側面をカバーしている。 |
| Most notably, the contracts that govern that relationship will be required to contain a complete description of services, indication of locations where data is to be processed, full service level descriptions accompanied by quantitative and qualitative performance targets, relevant provisions on accessibility, availability, integrity, security and protection of personal data, and guarantees for access, recover and return in the case of failures of the ICT third-party service providers, notice periods and reporting obligations of the ICT third-party service providers, rights of access, inspection and audit by the financial entity or an appointed third-party, clear termination rights and dedicated exit strategies. Moreover, as some of these contractual elements can be standardized, the regulation promotes a voluntary use of standard contractual clauses which are to be developed for the use of cloud computing service by the Commission. | 最も重要なことは、その関係を管理する契約は、サービスの完全な説明、データが処理される場所の表示、定量的及び定性的なパフォーマンス目標を伴う完全なサービスレベルの説明、アクセス性、可用性、完全性、セキュリティ及び個人データの保護に関する関連条項、ICT第三者のサービスプロバイダーの故障の場合のアクセス、回復及び返却に関する保証、ICT第三者のサービスプロバイダーの通知期間及び報告義務、企業又は指名された第三者によるアクセス、検査及び監査権、明確な終了権及び専用の出口戦略、を含むことを要求されるであろうことである。さらに、これらの契約要素の一部は標準化できるため、同規則は、欧州委員会がクラウドコンピューティングサービスの利用のために策定する標準契約条項の自発的な利用を促進している。 |
| Finally, the regulation seeks to promote convergence on supervisory approaches to the ICT-third-party risk in the financial sector by subjecting critical ICT third-party service providers to a Union oversight framework. Through a new harmonised legislative framework, the ESA designated as lead overseer for each such critical ICT third-party service provider receives powers to ensure that technology services providers fulfilling a critical role to the functioning of the financial sector are adequately monitored on a Pan-European scale. The oversight framework envisaged by this regulation builds on the existing institutional architecture in the financial services area, whereby the Joint Committee of the ESAs ensures cross-sectoral coordination in relation to all maters on ICT risk, in accordance with its tasks on cybersecurity, supported by the relevant subcommittee (Oversight Forum) carrying out preparatory work for individual decisions and collective recommendations to CTPPs. | 最後に、同規則は、重要なICT第三者サービスプロバイダーをEUの監督枠組みの対象とすることで、金融セクターにおけるICT第三者リスクに対する監督アプローチの収束を促進することを目的としている。調和された新しい法的枠組みを通じて、そのような重要なICTサードパーティサービスプロバイダーごとに主管監督者として指定されたESAは、金融部門の機能にとって重要な役割を果たすテクノロジーサービスプロバイダーが全欧州規模で適切に監視されることを保証する権限を持つ。本規則が想定する監視の枠組みは、金融サービス分野における既存の制度設計を基礎とするものであり、ESAの合同委員会は、サイバーセキュリティに関するタスクに従い、ICTリスクに関するあらゆる事項に関して部門横断的な調整を行い、関連する小委員会(Oversight Forum)は、個々の決定やCTPPへの集団的な勧告の準備作業を行って支援するものである。 |
| Information sharing (Article 40) | 情報共有(第40条) |
| To raise awareness on ICT risk, minimise its spread, support financial entities’ defensive capabilities and threat detection techniques, the regulation allows financial entities to set-up arrangements to exchange amongst themselves cyber threat information and intelligence. | ICTリスクに対する認識を高め、その拡大を最小限に抑え、金融機関の防御能力と脅威検知技術を支援するために、本規則は、金融機関がサイバー脅威の情報とインテリジェンスを相互に交換するための取り決めを設けることを認めている。 |
| 2020/0266 (COD) | 2020/0266 (cod) |
| Proposal for a | 提案 |
| REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | 欧州議会と欧州理事会の規制案 |
| on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014 | 金融セクターのデジタル運用レジリエンスに関する欧州議会および理事会規則の提案および規則(EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 の修正(EEA関連文書)。 |
| (Text with EEA relevance) | (EEA関連文書) |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | 欧州議会及び欧州連合理事会 |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, | 欧州連合の機能に関する条約、特に同条項第114条に鑑み |
| Having regard to the proposal from the European Commission, | 欧州委員会の提案に留意し |
| After transmission of the draft legislative act to the national parliaments, | 立法草案が各国議会に送付された後に |
| Having regard to the opinion of the European Central Bank, 25 | 欧州中央銀行の意見を考慮し、25 |
| Having regard to the opinion of the European Economic and Social Committee, 26 | 欧州経済社会委員会の意見を考慮し、26 |
| Acting in accordance with the ordinary legislative procedure, | 通常の立法手続きに則って行動すること。 |
| Whereas: | ここで |
| (1)In the digital age, information and communication technology (ICT) supports complex systems used for everyday societal activities. It keeps our economies running in key sectors, including finance, and enhances the functioning of the single market. Increased digitalisation and interconnectedness also amplify ICT risks making society as a whole - and the financial system in particular - more vulnerable to cyber threats or ICT disruptions. While the ubiquitous use of ICT systems and high digitalisation and connectivity are nowadays core features of all activities of Union financial entities, digital resilience is not yet sufficiently built in their operational frameworks. | (デジタル時代において、情報通信技術(ICT)は、日常的な社会活動に使用される複雑なシステムを支えている。ICT は、金融を含む主要なセクターにおいて我々の経済を維持し、単一市場の機能を向上させる。 デジタル化と相互接続の進展は、社会全体、特に金融システムを、サイバー脅威やICTの混乱に対してより脆弱にするICTリスクを増幅させます。 ICTシステムのユビキタスな利用、高度なデジタル化と接続性は、今日、連合の金融機関のあらゆる活動の中核をなしているが、デジタル・レジリエンスは、その運用フレームワークにまだ十分に構築されていない。 |
| (2)The use of ICT has in the last decades gained a pivotal role in finance, assuming today critical relevance in the operation of typical daily functions of all financial entities. Digitalisation covers, for instance, payments, which have increasingly moved from cash and paper-based methods to the use of digital solutions, as well as securities clearing and settlement, electronic and algorithmic trading, lending and funding operations, peer-to-peer finance, credit rating, insurance underwriting, claim management and back-office operations. Finance has not only become largely digital throughout the whole sector, but digitalisation has also deepened interconnections and dependencies within the financial sector and with third-party infrastructure and service providers. | (2)ICTの利用は、過去数十年の間に金融において極めて重要な役割を果たすようになり、今日ではすべての金融機関の典型的な日常業務の運営において重要な関連性を持つに至っている。デジタル化には、例えば、現金や紙ベースの方法からデジタルソリューションの使用へと移行しつつある決済、証券決済、電子取引やアルゴリズム取引、融資や資金調達業務、ピアツーピア金融、信用格付、保険引受、クレーム管理、バックオフィス業務などが含まれます。金融はセクター全体で大きくデジタル化しただけでなく、デジタル化によって金融セクター内や第三者のインフラやサービスプロバイダーとの相互接続や依存関係も深まっているのです。 |
| (3)The European Systemic Risk Board (ESRB) has reaffirmed in a 2020 report addressing systemic cyber risk 27 how the existing high level of interconnectedness across financial entities, financial markets and financial market infrastructures, and particularly the interdependencies of their ICT systems, may potentially constitute a systemic vulnerability since localised cyber incidents could quickly spread from any of the approximately 22 000 Union financial entities 28 to the entire financial system, unhindered by geographical boundaries. Serious ICT breaches occurring in finance do not merely affect financial entities taken in isolation. They also smooth the way for the propagation of localised vulnerabilities across the financial transmission channels and potentially trigger adverse consequences for the stability of the Union’s financial system, generating liquidity runs and an overall loss of confidence and trust in financial markets. | (3)欧州システムリスク委員会(ESRB)は、システミック・サイバー・リスクを扱った2020年の報告書27において、金融機関、金融市場、金融市場インフラ間の既存の高度な相互接続性、特にそれらのICTシステムの相互依存性が、局所的サイバー事件が地理的境界を越えて、約2万2000ある連合の金融機関28から金融システム全体へ迅速に拡散し得るため、潜在的にシステムの脆弱性になり得ることを再確認している。金融分野で発生した深刻なICT侵害は、単に金融機関に影響を与えるだけではありません。また、金融の伝達経路を通じて局所的な脆弱性を伝播させ、流動性流出や金融市場に対する信頼と信用の喪失を引き起こし、EUの金融システムの安定に悪影響を与える可能性がある。 |
| (4)In recent years, ICT risks have attracted the attention of national, European and international policy makers, regulators and standard-setting bodies in an attempt to enhance resilience, set standards and coordinate regulatory or supervisory work. At international level, the Basel Committee on Banking Supervision, the Committee on Payments and Markets Infrastructures, the Financial Stability Board, the Financial Stability Institute, as well as the G7 and G20 groups of countries aim to provide competent authorities and market operators across different jurisdictions with tools to bolster the resilience of their financial systems. | (4)近年、ICTリスクは、レジリエンスを強化し、基準を設定し、規制・監督作業を調整する試みとして、国内、欧州、国際的な政策立案者、規制当局、基準設定機関の関心を集めてきた。国際レベルでは、バーゼル銀行監督委員会、決済・市場インフラ委員会、金融安定理事会、金融安定化研究所、さらにG7やG20の各国グループは、異なる管轄区域の管轄当局や市場運営者に対し、金融システムの耐性を強化するためのツールを提供することを目指しています。 |
| (5)Despite national and European targeted policy and legislative initiatives, ICT risks continue to pose a challenge to the operational resilience, performance and stability of the Union financial system. The reform that followed the 2008 financial crisis primarily strengthened the financial resilience of the Union financial sector and aimed at safeguarding the Union’s competitiveness and stability from economic, prudential and market conduct perspectives. Though ICT security and digital resilience are part of operational risk, they have been less in the focus of the post-crisis regulatory agenda, and have only developed in some areas of the Union’s financial services policy and regulatory landscape, or only in a few Member States. | (5)国や欧州が目標とする政策や立法措置にもかかわらず、ICTリスクは依然として連合金融システムのオペレーションのレジリエンス、パフォーマンス、安定性に課題を投げかけている。2008年の金融危機に伴う改革は、主としてEUの金融セクターのレジリエンスを強化し、経済、プルデンシャル、市場行動の観点からEUの競争力と安定性を保護することを目的としたものであった。ICTセキュリティやデジタルレジリエンスはオペレーショナルリスクの一部ではあるが、危機後の規制アジェンダの焦点にはあまり入っておらず、EUの金融サービス政策・規制の一部の分野、あるいは一部の加盟国でのみ発展してきた。 |
| (6)The Commission’s 2018 Fintech action plan 29 highlighted the paramount importance of making the Union financial sector more resilient also from an operational perspective to ensure its technological safety and good functioning, its quick recovery from ICT breaches and incidents, ultimately enabling financial services to be effectively and smoothly delivered across the whole Union, including under situations of stress, while also preserving consumer and market trust and confidence. | (6)欧州委員会の2018年Fintech行動計画29は、EUの金融部門を業務面からもレジリエンスを高め、その技術的安全性と優れた機能、ICT侵害や事故からの迅速な回復を確保し、最終的には消費者と市場の信頼と自信を維持しつつ、ストレス状況下でもEU全体で金融サービスを効果的かつスムーズに提供できるようにすることが最も重要であることを強調している。 |
| (7)In April 2019, the European Banking Authority (EBA), the European Securities and Markets Authority (ESMA) and the European Insurance and Occupational Pensions Authority (EIOPA) (jointly called “European Supervisory Authorities” or “ESAs”) jointly issued two pieces of technical advice calling for a coherent approach to ICT risk in finance and recommending to strengthen, in a proportionate way, the digital operational resilience of the financial services industry through a Union sector-specific initiative. | (7)2019年4月、欧州銀行監督庁(EBA)、欧州証券市場庁(ESMA)、欧州保険・職業年金監督庁(EIOPA)(合わせて「欧州監督当局」または「ESAs」)は、金融におけるICTリスクへの一貫したアプローチを求め、金融サービス業界のデジタル運用レジリエンスをEU部門固有のイニシアチブを通じて、相応の方法で強化するよう推奨する2件の技術アドバイスを共同発表しました。 |
| (8)The Union financial sector is regulated by a harmonised Single Rulebook and governed by a European system of financial supervision. Nonetheless, provisions tackling digital operational resilience and ICT security are not fully or consistently harmonised yet, despite digital operational resilience being vital for ensuring financial stability and market integrity in the digital age, and no less important than for example common prudential or market conduct standards. The Single Rulebook and system of supervision should therefore be developed to also cover this component, by enlarging the mandates of financial supervisors tasked to monitor and protect financial stability and market integrity. | (8)EUの金融部門は、調和された単一ルールブックによって規制され、欧州の金融監督制度によって管理されている。しかし、デジタル時代の金融の安定と市場の健全性を確保するためには、デジタル・オペレーション・レジリエンスが不可欠であり、例えば、共通の健全性基準や市場行動基準と同様に重要であるにもかかわらず、デジタル・オペレーション・レジリエンスとICTセキュリティに取り組む規定は、まだ完全または一貫した調和がとれていない。したがって、単一ルールブックと監督システムは、金融の安定と市場のインテグリティを監視し保護することを任務とする金融監督者のマンデートを拡大することにより、この要素もカバーするよう発展させる必要がある。 |
| (9)Legislative disparities and uneven national regulatory or supervisory approaches on ICT risk trigger obstacles to the single market in financial services, impeding the smooth exercise of the freedom of establishment and the provision of services for financial entities with cross-border presence. Competition between the same type of financial entities operating in different Member States may equally be distorted. Notably for areas where Union harmonisation has been very limited - such as the digital operational resilience testing - or absent - such as the monitoring of ICT third-party risk - disparities stemming from envisaged developments at national level could generate further obstacles to the functioning of the single market to the detriment of market participants and financial stability. | (9)ICTリスクに関する法制上の格差や各国間の規制・監督上のアプローチの不均衡は、金融サービスにおける単一市場の障害となり、国境を越えて存在する金融機関の設立やサービス提供の自由の円滑な行使を阻害している。異なる加盟国で活動する同種の金融機関の間の競争も同様に歪められる可能性がある。特に、デジタル・オペレーショナル・レジリエンス・テストのように連合の調和が非常に限られている分野、あるいはICTサードパーティリスクのモニタリングのように調和がない分野では、各国レベルで想定される発展から生じる格差が、市場参加者と金融安定に不利益をもたらす単一市場の機能に対するさらなる障害を生む可能性がある。 |
| (10)The partial way in which the ICT-risk related provisions have until now been addressed at Union level shows gaps or overlaps in important areas, such as ICT-related incident reporting and digital operational resilience testing, and creates inconsistencies due to emerging divergent national rules or cost-ineffective application of overlapping rules. This is particularly detrimental for an ICT-intensive user like finance since technology risks have no borders and the financial sector deploys its services on a wide cross-border basis within and outside the Union. | (10)ICTリスク関連の規定がこれまでEUレベルで取り組まれてきた部分的な方法は、ICT関連の事故報告やデジタル運用レジリエンス試験といった重要な分野におけるギャップや重複を示し、発散する国内規則や重複する規則のコスト効率の悪い適用による矛盾を生み出している。技術リスクには国境がなく、金融セクターはそのサービスをEU内外で広くクロスボーダーで展開しているため、これは金融のようなICT集約型ユーザーにとって特に不利なことである。 |
| Individual financial entities operating on a cross-border basis or holding several authorisations (e.g. one financial entity can have a banking, an investment firm, and a payment institution licence, every single one issued by a different competent authority in one or several Member States) face operational challenges in addressing ICT risks and mitigating adverse impacts of ICT incidents on their own and in a coherent cost-effective way. | 国境を越えて活動する個々の金融機関や、複数の認可(例えば、一つの金融機関が銀行、投資会社、支払機関の認可を持ち、それぞれが一つまたは複数の加盟国の異なる管轄当局によって発行される)を持つ企業は、ICTリスクへの対応やICT事故による悪影響を独自に、かつ一貫したコスト効率の良い方法で緩和する上で業務上の問題に直面している。 |
| (11)As the Single Rulebook has not been accompanied by a comprehensive ICT or operational risk framework further harmonisation of key digital operational resilience requirements for all financial entities is required. The capabilities and overall resilience which financial entities, based on such key requirements, would develop with a view to withstand operational outages, would help preserving the stability and integrity of the Union financial markets and thus contribute to ensuring a high level of protection of investors and consumers in the Union. Since this Regulation aims at contributing to the smooth functioning of the single market it should be based on the provisions of Article 114 TFEU as interpreted in accordance with the consistent case law of the Court of Justice of the European Union. | (11)単一ルールブックは包括的なICTやオペレーショナルリスクの枠組みを伴っていないため、全ての金融機関に対する主要なデジタルオペレーショナルレジリエンス要件の更なる調和が必要である。当該主要な要件に基づき、金融機関が業務停止に耐える能力及び総合的なレジリエンスを構築することは、EU金融市場の安定性と完全性の維持に役立ち、その結果、EUにおける投資家と消費者の高いレベルの保護の確保に貢献する。この規則は、単一市場の円滑な機能に寄与することを目的としているため、欧州連合司法裁判所の一貫した判例法に従って解釈される TFEU 第 114 条の規定に基づくべきである。 |
| (12)This Regulation aims first at consolidating and upgrading the ICT risk requirements addressed so far separately in the different Regulations and Directives. While those Union legal acts covered the main categories of financial risk (e.g. credit risk, market risk, counterparty credit risk and liquidity risk, market conduct risk), they could not comprehensively tackle, at the time of their adoption, all components of operational resilience. The operational risk requirements, when further developed in these Union legal acts, often favoured a traditional quantitative approach to addressing risk (namely setting a capital requirement to cover ICT risks) rather than enshrining targeted qualitative requirements to boost capabilities through requirements aiming at the protection, detection, containment, recovery and repair capabilities against ICT-related incidents or through setting out reporting and digital testing capabilities. Those Directives and Regulations were primarily meant to cover essential rules on prudential supervision, market integrity or conduct. | (12)本規則は、まず、これまで異なる規則や指令で個別に扱われてきたICTリスク要件を統合し、アップグレードすることを目的としている。これらのEU法は、金融リスクの主要なカテゴリー(信用リスク、市場リスク、カウンターパーティの信用リスクと流動性リスク、市場行為リスクなど)をカバーしているが、その採択時点では、オペレーショナル・リスクのすべての構成要素に包括的に取り組むことはできなかった。オペレーショナルリスクの要件は、これらのEUの法律でさらに発展させた場合、ICT関連のインシデントに対する保護、検知、封じ込め、回復、修復能力を目指す要件や、報告およびデジタルテスト能力を定めることを通じて、能力を高めるための目標となる定性的要件を明示するのではなく、リスクに取り組むための従来の定量的アプローチ(すなわちICTリスクをカバーする資本要件の設定)が好まれる場合が多かったのである。これらの指令や規則は、主に健全性監督、市場の健全性、行動に関する本質的な規則を対象とするものであった。 |
| Through this exercise, which consolidates and updates rules on ICT risk, all provisions addressing digital risk in finance would for the first time be brought together in a consistent manner in a single legislative act. This initiative should thus fill in the gaps or remedy inconsistencies in some of those legal acts, including in relation to the terminology used therein, and should explicitly refer to ICT risk via targeted rules on ICT risk management capabilities, reporting and testing and third party risk monitoring. | ICTリスクに関する規則を統合し、更新するこの運動を通じて、金融におけるデジタルリスクに対処するすべての条項が初めて一貫した方法で単一の法律行為にまとめられることになる。このイニシアティブは、その中で使用される用語との関連も含め、いくつかの法律行為のギャップを埋め、または矛盾を是正し、ICTリスクマネジメント能力、報告およびテスト、第三者リスクモニタリングに関するターゲットルールを介してICTリスクに明示的に言及するべきである。 |
| (13)Financial entities should follow the same approach and the same principle-based rules when addressing ICT risk. Consistency contributes to enhancing confidence in the financial system and preserving its stability especially in times of overuse of ICT systems, platforms and infrastructures, which entails increased digital risk. | (13)金融機関は、ICTリスクへの対応において、同じアプローチ及び同じ原則に基づくルールに従うべきである。一貫性は、特にデジタルリスクの増大を伴うICTシステム、プラットフォーム及びインフラの過度な使用において、金融システムに対する信頼を高め、その安定性を維持することに貢献する。 |
| The respect of a basic cyber hygiene should also avoid imposing heavy costs on the economy by minimising the impact and costs of ICT disruptions. | 基本的なサイバー衛生の尊重は、ICTの中断の影響とコストを最小化することによって、経済に重いコストを課すことも避けるべきである。 |
| (14)The use of a regulation helps reducing regulatory complexity, fosters supervisory convergence, increases legal certainty, while also contributing to limiting compliance costs, especially for financial entities operating cross-border, and to reducing competitive distortions. The choice of a Regulation for the establishment of a common framework for the digital operational resilience of financial entities appears therefore the most appropriate way to guarantee a homogenous and coherent application of all components of the ICT risk management by the Union financial sectors. | (14)規制の利用は、規制の複雑性を軽減し、監督上の収束を促進し、法的確実性を高めると同時に、特に国境を越えて活動する金融機関のコンプライアンスコストの抑制と、競争の歪みの軽減に寄与するものである。したがって、金融機関のデジタル・オペレーショナル・レジリエンスのための共通の枠組みを確立するための規則を選択することは、EUの金融部門によるICTリスクマネジメントのすべての構成要素の均質かつ首尾一貫した適用を保証する最も適切な方法であると思われる。 |
| (15)Besides the financial services legislation, Directive (EU) 2016/1148 of the European Parliament and of the Council 30 is the current general cybersecurity framework at Union level. Among the seven critical sectors, that Directive also applies to three types of financial entities, namely credit institutions, trading venues and central counterparties. However, since Directive (EU) 2016/1148 sets out a mechanism of identification at national level of operators of essential services, only certain credit institutions, trading venues and central counterparties identified by the Member States are in practice brought into its scope and thus required to comply with the ICT security and incident notification requirements laid down in it. | (15)金融サービス法以外に、欧州議会と理事会の指令(EU)2016/1148 30は、EUレベルでの現在の一般的なサイバーセキュリティの枠組みである。7つの重要セクターのうち、その指令は、信用機関、取引所、中央カウンターパーティーの3種類の金融機関にも適用されます。ただし、指令(EU)2016/1148では、必須サービスの運営者を国レベルで特定する仕組みが定められているため、実際には加盟国が特定した特定の信用機関、取引所、中央カウンターパーティのみがその範囲に含まれ、その結果、指令で定められたICTセキュリティおよびインシデント通知の要件に準拠することが求められることになります。 |
| (16)As this Regulation raises the level of harmonisation on digital resilience components, by introducing requirements on ICT risk management and ICT-related incident reporting that are more stringent in respect to those laid down in the current Union financial services legislation, this constitutes an increased harmonisation also by comparison to requirements laid down in Directive (EU) 2016/1148. Consequently, this Regulation constitutes lex specialis to Directive (EU) 2016/1148. | (16)本規則は、現行のEU金融サービス法に定める要件よりも厳しいICTリスクマネジメント及びICT関連インシデント報告に関する要件を導入することにより、デジタルレジリエンスの要素に関する調和のレベルを引き上げており、これは指令(EU)2016/1148に定める要件と比較しても、調和の強化に相当するものである。従って、本規則は指令(EU) 2016/1148のlex specialisを構成する。 |
| It is crucial to maintain a strong relation between the financial sector and the Union horizontal cybersecurity framework would ensure consistency with the cyber security strategies already adopted by Member States, and allow financial supervisors to be made aware of cyber incidents affecting other sectors covered by Directive (EU) 2016/1148. | 金融部門とEUの水平サイバーセキュリティの枠組みとの強い関係を維持することは極めて重要であり、加盟国が既に採用しているサイバーセキュリティ戦略との整合性を確保し、金融監督当局は指令(EU)2016/1148の対象となる他の部門に影響を与えるサイバーインシデントを認識することができるようになります。 |
| (17)To enable a cross-sector learning process and effectively draw on experiences of other sectors in dealing with cyber threats, financial entities referred to in Directive (EU) 2016/1148 should remain part of the ‘ecosystem’ of that Directive (e.g. NIS Cooperation Group and CSIRTs). | (17)セクター横断的な学習プロセスを可能にし、サイバー脅威への対処において他のセクターの経験を効果的に活用するために、指令(EU)2016/1148に言及された金融機関は、当該指令の「エコシステム」(NIS協力グループやCSIRTなど)の一部であり続けるべきである。 |
| ESAs and national competent authorities, respectively should be able to participate in the strategic policy discussions and the technical workings of the NIS Cooperation Group, respectively, exchanges information and further cooperate with the single points of contact designated under Directive (EU) 2016/1148. The competent authorities under this Regulation should also consult and cooperate with the national CSIRTs designated in accordance with Article 9 of Directive (EU) 2016/1148. | ESAと各国所轄官庁は、それぞれNIS協力グループの戦略的政策議論と技術的作業に参加し、情報を交換し、指令(EU)2016/1148の下で指定された単一窓口とさらに協力できるようにする必要がある。また、本規則に基づく所轄官庁は、指令(EU)2016/1148の第9条に従って指定された各国CSIRTと協議し、協力することが望ましい。 |
| (18)It is also important to ensure consistency with the European Critical Infrastructure (ECI) Directive, which is currently being reviewed in order to enhance the protection and resilience of critical infrastructures against non-cyber related threats, with possible implications for the financial sector. 31 | (18)また、重要インフラの非サイバー関連の脅威に対する保護とレジリエンスを強化するために現在見直されている欧州重要インフラ(ECI)指令との整合性を確保することが重要であり、金融セクターにも影響を及ぼす可能性がある。 31 |
| (19)Cloud computing service providers are one category of digital service providers covered by Directive (EU) 2016/1148. As such they are subject to ex-post supervision carried out by the national authorities designated according to that Directive, which is limited to requirements on ICT security and incident notification laid down in that act. Since the Oversight Framework established by this Regulation applies to all critical ICT third-party service providers, including cloud computing service providers, when they provide ICT services to financial entities, it should be considered complementary to the supervision that is taking place under Directive (EU) 2016/1148. Moreover, the Oversight Framework established by this Regulation should cover cloud computing service providers in the absence of a Union horizontal sector-agnostic framework establishing a Digital Oversight Authority. | (19)クラウドコンピューティングサービスプロバイダーは、指令(EU)2016/1148の対象となるデジタルサービスプロバイダーの1カテゴリーである。そのため、同指令に従って指定された国家当局が実施する事後監督の対象となり、同法に定められたICTセキュリティとインシデント通知に関する要件に限定される。本規則によって確立された監視フレームワークは、クラウドコンピューティングサービスプロバイダーを含む重要なICT第三者サービスプロバイダーが金融機関にICTサービスを提供する際に適用されるため、指令(EU)2016/1148に基づいて行われている監督を補完すると考えるべきでしょう。さらに、本規則によって設立された監督フレームワークは、デジタル監督当局を設立するユニオン水平セクター不可知論的フレームワークがない場合、クラウドコンピューティングサービスプロバイダーをカバーすべきである。 |
| (20)To remain in full control of ICT risks, financial entities need to have in place comprehensive capabilities enabling a strong and effective ICT risk management, alongside specific mechanisms and policies for ICT-related incident reporting, testing of ICT systems, controls and processes, as well as for managing ICT third-party risk. The digital operational resilience bar for the financial system should be raised while allowing for a proportionate application of requirements for financial entities which are micro enterprises as defined in Commission Recommendation 2003/361/EC 32 . | (20)ICTリスクを完全にコントロールし続けるために、金融機関は、ICT関連の事故報告、ICTシステム、コントロール及びプロセスのテスト、並びにICT第三者リスクの管理のための特定のメカニズム及びポリシーとともに、強力かつ効果的なICTリスクマネジメントを可能にする包括的能力を備えている必要がある。金融システムのデジタル業務レジリエンスの水準は、欧州委員会勧告2003/361/ECに定義される零細企業である金融機関に対する要件の比例適用を可能にしながら、引き上げられるべきである32。 |
| (21)ICT-related incident reporting thresholds and taxonomies vary significantly at national level. While common ground may be achieved through relevant work undertaken by the European Union Agency for Cybersecurity (ENISA) 33 and the NIS Cooperation Group for the financial entities under Directive (EU) 2016/1148, divergent approaches on thresholds and taxonomies still exist or can emerge for the remainder of financial entities. This entails multiple requirements that financial entities must abide to, especially when operating across several Union jurisdictions and when part of a financial group. Moreover, these divergences may hinder the creation of further Union uniform or centralised mechanisms speeding up the reporting process and supporting a quick and smooth exchange of information between competent authorities, which is crucial for addressing ICT risks in case of large scale attacks with potentially systemic consequences. | (21)ICT関連インシデント報告の閾値と分類法は、国レベルで大きく異なる。欧州連合サイバーセキュリティ機関(ENISA)33 と NIS 協力グループが指令(EU)2016/1148 の下で金融機関向けに行った関連作業を通じて共通認識が得られるかもしれないが、その他の金融機関については、閾値と分類法に関する多様なアプローチがまだ存在するか出現する可能性がある。これは、特に複数のEUの管轄区域にまたがって活動する場合や金融グループの一部である場合、金融機関が遵守しなければならない複数の要件を伴うものである。さらに、これらの相違は、報告プロセスを迅速化し、管轄当局間の迅速かつ円滑な情報交換を支援する、更なるEU統一又は集中化されたメカニズムの構築を妨げる可能性がある。これは、潜在的にシステミックな影響を及ぼす大規模な攻撃に備えたICTリスクに対処するために極めて重要なことである。 |
| (22)To enable competent authorities to fulfil their supervisory roles by obtaining a complete overview of the nature, frequency, significance and impact of ICT-related incidents and to enhance the exchange of information between relevant public authorities, including law enforcement authorities and resolution authorities, it is necessary to lay down rules in order to complete the ICT-related incident reporting regime with the requirements that are currently missing in financial subsector legislation and remove any existing overlaps and duplications to alleviate costs. It is therefore essential to harmonise the ICT-related incident reporting regime by requiring all financial entities to report to their competent authorities only. In addition, the ESAs should be empowered to further specify ICT-related incident reporting elements such as taxonomy, timeframes, data sets, templates and applicable thresholds. | (22)所轄官庁がICT関連インシデントの性質、頻度、重要性および影響の完全な概観を得ることによって監督上の役割を果たし、法執行機関および破綻処理機関を含む関連公的機関間の情報交換を強化できるよう、現在金融サブセクター法で欠けている要件でICT関連インシデント報告体制を完成させるための規則を定め、既存の重複や重複を排除してコストを軽減することが必要である。したがって、すべての金融機関が所轄官庁にのみ報告することを義務付けることにより、ICT関連インシデント報告体制を調和させることが不可欠である。さらに、ESAは、分類法、時間枠、データセット、テンプレート、適用される閾値などのICT関連インシデント報告要素をさらに規定する権限を付与されるべきである。 |
| (23)Digital operational resilience testing requirements have developed in some financial subsectors within several and uncoordinated, national frameworks addressing the same issues in a different way. This leads to duplication of costs for cross-border financial entities and makes difficult the mutual recognition of results. Uncoordinated testing can therefore segment the single market. | (23)いくつかの金融サブセクターでは、デジタル運用レジリエンス試験の要件が、同じ問題を異なる方法で扱う、いくつかの、協調性のない、国の枠組みの中で発展してきている。これは、国境を越えた金融機関にとってコストの重複につながり、結果の相互承認を困難にしている。調整されていないテストは、それゆえ、単一市場を分断しかねない。 |
| (24)In addition, where no testing is required, vulnerabilities remain undetected putting the financial entity and ultimately the financial sector’s stability and integrity at higher risk. Without Union intervention, digital operational resilience testing would continue to be patchy and there would be no mutual recognition of testing results across different jurisdictions. Also, as it is unlikely that other financial subsectors would adopt such schemes on a meaningful scale, they would miss out on the potential benefits, such as revealing vulnerabilities and risks, testing defence capabilities and business continuity, and increased trust of customers, suppliers and business partners. To remedy such overlaps, divergences and gaps, it is necessary to lay down rules aiming at coordinated testing by financial entities and competent authorities, thus facilitating the mutual recognition of advanced testing for significant financial entities. | (24)さらに、テストを必要としない場合、脆弱性は発見されないままであり、金融機関、ひいては金融セクターの安定性と完全性をより高いリスクにさらすことになる。EUの介入がなければ、デジタル・オペレーショナル・レジリエンス・テスト(digital operational resilience testing)は、引き続き断片的で、異なる法域間でのテスト結果の相互承認はないだろう。また、他の金融サブセクターが有意義な規模でこうした制度を採用する可能性は低いため、脆弱性やリスクを明らかにし、防衛能力や事業継続性をテストし、顧客、サプライヤー、ビジネスパートナーの信頼を高めるといった潜在的な利益を逃すことになるであろう。このような重複、乖離、ギャップを是正するために、金融機関及び所轄官庁による協調テ ストを目的としたルールを定め、重要な金融機関に対する高度なテストの相互承認を促進 することが必要である。 |
| (25)Financial entities’ reliance on ICT services is partly driven by their need to adapt to an emerging competitive digital global economy, to boost their business efficiency and to meet consumer demand. The nature and extent of such reliance has been continuously evolving in the past years, driving cost reduction in financial intermediation, enabling business expansion and scalability in the deployment of financial activities while offering a wide range of ICT tools to manage complex internal processes. | (25)金融機関のICTサービスへの依存は、部分的には、新興の競争的デジタル世界経済への適応、業務効率の向上及び消費者需要への対応の必要性によって駆動されている。このような依存の性質と程度は過去数年の間に継続的に進化しており、金融仲介におけるコスト削減を促進し、金融活動の展開における事業拡大と拡張性を可能にする一方、複雑な内部プロセスを管理するための幅広いICTツールを提供している。 |
| (26)This extensive use of ICT services is evidenced by complex contractual arrangements, whereby financial entities often encounter difficulties in negotiating contractual terms that are tailored to the prudential standards or other regulatory requirements they are subject to, or otherwise in enforcing specific rights, such as access or audit rights, when the latter are enshrined in the agreements. Moreover, many such contracts do not provide for sufficient safeguards allowing for a fully-fledged monitoring of subcontracting processes, thus depriving the financial entity of its ability to assess these associated risks. In addition, as ICT third-party service providers often provide standardised services to different types of clients, such contracts may not always adequately cater for the individual or specific needs of the financial industry actors. | (26)このようなICTサービスの広範な利用は、複雑な契約上の取り決めによって証明されており、金融機関はしばしば、自らが従うべきプルデンシャル基準やその他の規制要件に合わせた契約条件の交渉、あるいはアクセス権や監査権といった特定の権利が契約に明記されている場合、その行使に困難に遭遇している。さらに、このような契約の多くは、下請けプロセスの本格的な監視を可能にする十分なセーフガードを規定していないため、金融機関はこれらの関連リスクを評価する能力を奪われることになる。また、ICT の第三者サービスプロバイダーは、異なるタイプの顧客に対して標準的な サービスを提供することが多いため、そのような契約は、金融業界の関係者の個別または特 定のニーズに必ずしも適切に対応していない可能性がある。 |
| (27)Despite some general rules on outsourcing in some of the Union’s financial services pieces of legislation, the monitoring of the contractual dimension is not fully anchored into Union legislation. In the absence of clear and bespoke Union standards applying to the contractual arrangements concluded with ICT third-party service providers, the external source of ICT risk is not comprehensively addressed. Consequently, it is necessary to set out certain key principles to guide financial entities’ management of ICT third-party risk, accompanied by a set of core contractual rights in relation to several elements in the performance and termination of contracts with a view to enshrine certain minimum safeguards underpinning financial entities’ ability to effectively monitor all risk emerging at ICT third party level. | (27)EUの金融サービス法のいくつかにはアウトソーシングに関する一般規則があるが、契約上の次元の監視は、EU法に完全に固定されているわけでもない。ICTの第三者サービス・プロバイダーと締結された契約上の取決めに適用される明確で特注のEU基準がないため、ICTリスクの外部源泉は包括的に対処されていない。従って、金融機関がICTサードパーティーレベルで生じる全てのリスクを効果的にモニターする能力を支える一定の最小限のセーフガードを明記するという観点から、契約の履行及び終了におけるいくつかの要素に関連する一連の中核的契約上の権利とともに、金融機関のICTサードパーティー・リスクの管理を導くための一定の主要原則を定めることが必要である。 |
| (28)There exists a lack of homogeneity and convergence on ICT third party risk and ICT third-party dependencies. Despite some efforts to tackle the specific area of outsourcing such as the 2017 recommendations on outsourcing to cloud service providers, 34 the issue of systemic risk which may be triggered by the financial sector’s exposure to a limited number of critical ICT third-party service providers is barely addressed in Union legislation. This lack at Union level is compounded by the absence of specific mandates and tools allowing national supervisors to acquire a good understanding of ICT third-party dependencies and adequately monitor risks arising from concentration of such ICT third-party dependencies. | (28)ICTサードパーティリスク及びICTサードパーティ依存に関する均質性及び収束性の欠如が存在する。クラウドサービスプロバイダーへのアウトソーシングに関する2017年の勧告など、アウトソーシングの特定分野に取り組む努力はあるものの、34 金融セクターが限られた数の重要なICT第三者サービスプロバイダーにエクスポージャーを持つことによって引き起こされるかもしれないシステミックリスクの問題は、連合の法律でほとんど扱われていない。このEUレベルでの欠如は、各国の監督当局がICT第三者依存を十分に理解し、そのようなICT第三者依存の集中から生じるリスクを適切に監視することを可能にする特定のマンデートやツールがないことによってさらに悪化している。 |
| (29)Taking into account the potential systemic risks entailed by the increased outsourcing practices and by the ICT third-party concentration, and mindful of the insufficiency of national mechanisms enabling financial superiors to quantify, qualify and redress the consequences of ICT risks occurring at critical ICT third-party service providers, it is necessary to establish an appropriate Union oversight framework allowing for a continuous monitoring of the activities of ICT third-party service providers that are critical providers to financial entities. | (29)アウトソーシングの増加及びICT第三者の集中によってもたらされる潜在的なシステミック・リスクを考慮し、また、金融当局が重要なICT第三者サービス・プロバイダーで発生するICTリスクの結果を定量化、認定、是正できる国内メカニズムの不十分さに留意し、金融機関にとって重要なプロバイダーであるICT第三者サービス・プロバイダーの活動を継続的に監視できる適切な連合監督の枠組みを構築することが必要である。 |
| (30)With ICT threats becoming more complex and sophisticated, good detection and prevention measures depend to a great extent on regular threat and vulnerability intelligence sharing between financial entities. Information sharing contributes to increased awareness on cyber threats, which, in turn, enhances financial entities’ capacity to prevent threats from materialising into real incidents and enables financial entities to better contain the effects of ICT-related incidents and recover more efficiently. In the absence of guidance at Union level, several factors seem to have inhibited such intelligence sharing, notably uncertainty over the compatibility with the data protection, anti-trust and liability rules. | (30)ICTの脅威がより複雑化し高度化する中、優れた検知・防止策は、金融機関同士の脅威や脆弱性に関する定期的な情報共有に大きく依存する。情報共有はサイバー脅威に対する認識の向上に寄与し、その結果、脅威が実際の事件に発展するのを防ぐ金融機関の能力を高め、金融機関がICT関連の事件の影響をよりよく抑制し、より効率的に回復することを可能にする。EUレベルでのガイダンスがないため、いくつかの要因がこのような情報共有を阻害してきたと思われる。 |
| (31)In addition, hesitations about the type of information which can be shared with other market participants, or with non-supervisory authorities (such as ENISA, for analytical input, or Europol, for law enforcement purposes) lead to useful information being withheld. The extent and quality of information sharing remains limited, fragmented, with relevant exchanges being done mostly locally (via national initiatives) and with no consistent Union-wide information sharing arrangements tailored to the needs of an integrated financial sector. | (31)さらに、他の市場参加者、あるいは非監督当局(分析情報提供のためのENISAや法執行目的のEuropolなど)と共有できる情報の種類についての躊躇が、有益な情報の非公開に繋がっているのです。情報共有の範囲と質は依然として限定的、断片的であり、関連する情報交換は(各国のイニシアチブを介して)ほとんどローカルに行われており、統合された金融セクターのニーズに合わせた一貫した連合全体の情報共有の取り決めはない。 |
| (32)Financial entities should therefore be encouraged to collectively leverage their individual knowledge and practical experience at strategic, tactical and operational levels with a view to enhance their capabilities to adequately assess, monitor, defend against, and respond to, cyber threats. It is thus necessary to enable the emergence at Union level of mechanisms for voluntary information sharing arrangements which, when conducted in trusted environments, would help the financial community to prevent and collectively respond to threats by quickly limiting the spread of ICT risks and impeding potential contagion throughout the financial channels. Those mechanisms should be conducted in full compliance with the applicable competition law rules of the Union 35 as well as in a way that guarantees the full respect of Union data protection rules, mainly Regulation (EU) 2016/679 of the European Parliament and of the Council, 36 in particular in the context of the processing of personal data that is necessary for the purposes of the legitimate interest pursued by the controller or by a third party, as referred to in point (f) of Article 6(1) of that Regulation. | (32)したがって、金融機関は、サイバー脅威を適切に評価、監視、防御、対応する能力を強化するために、戦略、戦術、運用の各レベルにおいて、個々の知識や実務経験を集合的に活用することを奨励されるべきである。したがって、信頼された環境で実施される場合、ICTリスクの拡散を迅速に制限し、金融チャネル全体における潜在的な伝染を阻止することにより、金融コミュニティが脅威を予防し、集団的に対応することを支援する自発的な情報共有の取り決めのためのメカニズムが連合レベルで出現することを可能にすることが必要である。それらのメカニズムは、欧州連合の適用される競争法の規則を完全に遵守し35 、また、欧州議会及び理事会の規則(EU) 2016/679を中心とする欧州連合のデータ保護規則の完全な尊重を保証する方法で36 、特に同規則第6条1項の(f)に言及されるように、管理者又は第三者が追求する正当な利益の目的のために必要な個人データの処理に関連して実施されなければならない。 |
| (33)Notwithstanding the broad coverage envisaged by this Regulation, the application of the digital operational resilience rules should take into consideration significant differences between financial entities in terms of size, business profiles or exposure to digital risk. As a general principle, when directing resources and capabilities to the implementation of the ICT risk management framework, financial entities should duly balance their ICT-related needs to their size and business profile, while competent authorities should continue to assess and review the approach of such distribution. | (33)本規則が想定する広範な適用範囲にもかかわらず、デジタル・オペレーショナル・レジリエンス規則の適用は、規模、事業プロファイル又はデジタルリスクへのエクスポージャーという点で金融機関間の著しい差異を考慮するべきである。一般原則として、ICTリスクマネジメントの枠組みの実施にリソースや能力を向ける場合、金融機関はICT関連のニーズとその規模や事業プロファイルのバランスを適切にとるべきであり、所轄官庁はそのような配分のアプローチを引き続き評価・検討するべきである。 |
| (34)As larger financial entities may enjoy wider resources and could swiftly deploy funds to develop governance structures and set up various corporate strategies, only financial entities which are not micro enterprises in the sense of this Regulation should be required to establish more complex governance arrangements. Such entities are better equipped in particular to set up dedicated management functions for supervising arrangements with ICT third-party service providers or for dealing with crisis management, to organise their ICT risk management according to the three lines of defence model, or to adopt a human resources document comprehensively explaining access rights policies. | (34)大規模な金融機関は、より広いリソースを享受し、ガバナンス体制の構築や様々な企業戦略の設定に迅速に資金を投入できるため、本規則の意味での零細企業ではない金融機関にのみ、より複雑なガバナンス体制の確立を求めるべきである。特に、ICTの第三者サービス提供者の監督や危機管理のための専門管理機能の設置、3つの防衛線モデルによるICTリスクマネジメント、アクセス権ポリシーを包括的に説明する人事文書の採用などは、そうした事業者により適していると考えられる。 |
| By the same token, only such financial entities should be called to perform in-depth assessments after major changes in the network and information system infrastructures and processes, to regularly conduct risk analyses on legacy ICT systems, or expand the testing of business continuity and response and recovery plans to capture switchovers scenarios between primary ICT infrastructure and redundant facilities. | 同様に、ネットワークや情報システムのインフラやプロセスに大きな変更があった場合には、詳細な評価を行うこと、レガシーICTシステムのリスク分析を定期的に行うこと、事業継続計画や対応・復旧計画のテストを拡大し、主要ICTインフラと冗長設備の切り替えシナリオを把握することなどは、こうした金融機関だけに求められるべきものである。 |
| (35)Moreover, as solely those financial entities identified as significant for the purposes of the advanced digital resilience testing should be required to conduct threat led penetration tests, the administrative processes and financial costs entailed by the performance of such tests should be devolved to a small percentage of financial entities. Finally, with a view to ease regulatory burdens, only financial entities other than micro enterprises should be asked to regularly report to the competent authorities all costs and losses caused by ICT disruptions and the results of post-incident reviews after significant ICT disruptions. | (35)さらに、高度なデジタル・レジリエンス・テストのために重要であると認識された金融機関のみが、脅威主導の侵入テストの実施を求められるべきであることから、当該テストの実施に伴う管理プロセスや財務コストは、ごく一部の金融機関に委ねられるべきである。最後に、規制負担を軽減する観点から、零細企業を除く金融機関に限り、ICTの混乱によって生じたすべてのコストと損失、および重大なICT混乱後の事故後レビューの結果を主務官庁に定期的に報告するよう求めるべきである。 |
| (36)To ensure full alignment and overall consistency between financial entities’ business strategies, on the one hand, and the conduct of ICT risk management, on the other hand, the management body should be required to maintain a pivotal and active role in steering and adapting the ICT risk management framework and the overall digital resilience strategy. The approach to be taken by the management body should not only focus on the means to ensure the resilience of the ICT systems, but should also cover people and processes through a set of policies which cultivate, at each corporate layer, and for all staff, a strong sense of awareness over cyber risks and a commitment to respect a strict cyber hygiene at all levels. | (36)金融機関の事業戦略とICTリスクマネジメントの実施との完全な整合性と全体的な一貫性を確保するために、経営陣は、ICTリスクマネジメントの枠組み及び全体的なデジタルレジリエンス戦略の運営と適応に極めて重要かつ積極的な役割を維持するよう要求されるべきである。経営陣が取るべきアプローチは、ICTシステムのレジリエンスを確保するための手段に焦点を当てるだけでなく、企業の各層、そしてすべてのスタッフがサイバーリスクに対する強い意識を持ち、すべてのレベルで厳格なサイバー衛生を尊重することを約束する一連のポリシーを通じて、人やプロセスもカバーしなければなりません。 |
| The ultimate responsibility of the management body in managing a financial entity’s ICT risks should be an overarching principle of that comprehensive approach, further translated into the continuous engagement of the management body in the control of the monitoring of the ICT risk management. | 金融機関の ICT リスクマネジメントにおける経営機関の最終的な責任は、その包括的なア プローチの包括的な原則であり、さらに、ICT リスクマネジメントのモニタリングの管理における 経営機関の継続的な関与に転換されるべきである。 |
| (37)Moreover, the management body’s full accountability goes hand in hand with securing a level of ICT investments and overall budget for the financial entity to be able to achieve its digital operational resilience baseline. | (37)さらに、経営機関の完全な説明責任は、金融機関がデジタル・オペレーショナル・レジリエンス の基本水準を達成できるようなICT投資と全体予算を確保することと密接に関連する。 |
| (38)Inspired by relevant international, national and industry-set standards, guidelines, recommendations or approaches towards the management of cyber risk, 37 this Regulation promotes a set of functions facilitating the overall structuring of the ICT risk management. As long as the main capabilities which financial entities put in place answer the needs of the objectives foreseen by the functions (identification, protection and prevention, detection, response and recovery, learning and evolving and communication) set out in this Regulation, financial entities remain free to use ICT risk management models that are differently framed or categorised. | (38)サイバーリスクマネジメントに関連する国際的、国内的、業界的な基準、ガイドライン、 勧告、アプローチに触発され、本規則は、ICT リスクマネジメントの全体構成を促進する一連 の機能を促進するものである。金融機関が導入する主要な機能が、本規則に定める機能(識別、保護・予防、検知、対応・復旧、学習・進化、コミュニケーション)が予見する目的のニーズに応える限り、金融機関は異なる枠組みや分類の ICT リスクマネジメントモデルを自由に使用することが可能であり続けている。 |
| (39)To keep pace with an evolving cyber threat landscape, financial entities should maintain updated ICT systems that are reliable and endowed with sufficient capacity not only to guarantee the processing of data as it is necessary for the performance of their services, but also to ensure technological resilience allowing financial entities to adequately deal with additional processing needs which stressed market conditions or other adverse situations may generate. While this Regulation does not entail any standardization of specific ICT systems, tools or technologies, it relies on the financial entities’ suitable use of European and internationally recognised technical standards (e.g. ISO) or industry best practices, insofar as such use is fully compliant with specific supervisory instructions on the use and incorporation of international standards. | (39)進化するサイバー脅威の状況に対応するため、金融機関は、サービスの遂行に必要なデータ処理を保証するだけでなく、ストレスのかかる市場環境又はその他の不利な状況が生み出す可能性のある追加の処理ニーズに適切に対処できる技術的レジリエンスを確保するために、信頼性が高く十分な容量を備えた最新のICTシステムを維持するべきである。本規則は、特定のICTシステム、ツール又は技術の標準化を伴わないが、金融機関が、欧州及び国際的に認められた技術基準(例:ISO)又は業界のベストプラクティスを適切に使用し、当該使用が国際基準の使用及び取り入れに関する特定の監督上の指示に完全に準拠している限りにおいて、本規則に依存するものである。 |
| (40)Efficient business continuity and recovery plans are required to allow financial entities to promptly and quickly resolve ICT-related incidents, in particular cyber-attacks, by limiting damage and giving priority to the resumption of activities and recovery actions. However, while backup systems should begin processing without undue delay, such start should in no way jeopardise the integrity and security of the network and information systems or the confidentiality of data. | (40)金融機関がICT関連インシデント、特にサイバー攻撃を迅速かつ速やかに解決するために、被害を限定し、活動の再開と復旧行動を優先させる効率的な事業継続・復旧計画が必要である。ただし、バックアップシステムは過度の遅滞なく処理を開始すべきであるが、その開始は決してネットワークと情報システムの完全性とセキュリティ、またはデータの機密性を危うくするものであってはならない。 |
| (41)While this Regulation allows financial entities to determine recovery time objectives in a flexible manner and hence set such objectives by fully taking into account the nature and the criticality of the relevant function and any specific business needs, an assessment on the potential overall impact on market efficiency should also be required when determining such objectives. | (41)本規則は、金融機関が柔軟な方法で復旧時間の目標を決定することを認めており、関連機能の性質、重要性及び特定のビジネスニーズを十分に考慮した上で、当該目標を設定すべきであるが、当該目標の決定にあたっては、市場の効率性に対する潜在的な全体影響についての評価も必要であると考えられる。 |
| (42)The significant consequences of cyber-attacks are amplified when occurring in the financial sector, an area much more at risk of being the target of malicious propagators pursuing financial gains directly at the source. To mitigate such risks and to prevent ICT systems losing integrity or becoming unavailable and confidential data being breached or physical ICT infrastructure suffering damage, the reporting of major ICT-related incidents by financial entities should be significantly improved. | (42)サイバー攻撃の重大な結果は、金融セクターで発生した場合に増幅される。この分野は、金銭的利益を直接源から追求する悪意のある伝播者の標的となるリスクがより高い。このようなリスクを軽減し、ICTシステムが完全性を失うか利用できなくなり、機密データが漏洩したり、物理的なICTインフラが損害を受けたりするのを防ぐために、金融機関による主要なICT関連インシデントの報告が大幅に改善されるべきである。 |
| ICT-related incident reporting should be harmonised for all financial entities by requiring them to report to their competent authorities only. While all financial entities would be subject to this reporting, not all of them should be affected in the same manner, since relevant materiality thresholds and time frames should be calibrated to only capture major ICT-related incidents. Direct reporting would enable financial supervisors’ access to information on ICT-related incidents. Nevertheless, financial supervisors should pass on this information to non-financial public authorities (NIS competent authorities, national data protection authorities and law enforcement authorities for incidents of criminal nature). The ICT-related incident information should be mutually channelled: financial supervisors should provide all necessary feedback or guidance to the financial entity while the ESAs should share anonymised data on threats and vulnerabilities relating to an event to aid wider collective defence. | ICT関連インシデントの報告は、金融機関に所轄官庁への報告のみを義務付けることで、全ての金融機関のために調和されるべきです。全ての金融機関はこの報告の対象となるが、関連する重要性の閾値と時間枠は主要なICT関連インシデントのみを捕捉するよう調整されるべきなので、全ての金融機関が同じように影響を受けることはないはずである。直接報告することにより、金融監督当局はICT関連インシデントに関する情報へのアクセスが可能となる。しかしながら、金融監督機関はこの情報を非金融公的機関(NIS管轄当局、国家データ保護当局及び犯罪的性質のインシデントのための法執行当局)に渡すべきである。ICT 関連インシデント情報は、相互にチャネリングされるべきである。金融監督機関は、 金融機関に必要な全てのフィードバックやガイダンスを提供すべきであり、一方 ESA は、より広範な集団防衛を支援するために、イベントに関連する脅威や脆弱性 に関する匿名のデータを共有するべきである。 |
| (43)Further reflection on the possible centralisation of ICT-related incident reports should be envisaged, by means of a single central EU Hub either directly receiving the relevant reports and automatically notifying national competent authorities, or merely centralising reports forwarded by the national competent authorities and fulfilling a coordination role. The ESAs should be required to prepare, in consultation with ECB and ENISA, by a certain date a joint report exploring the feasibility of setting up such a central EU Hub. | (43)ICT関連のインシデント報告の集中化の可能性については、単一の中央EUハブが関連報告を直接受け取り、自動的に各国の所轄官庁に通知するか、あるいは、単に各国の所轄官庁から転送された報告を集中化し、調整の役割を果たすことを想定する必要がある。ESAは、ECBおよびENISAと協議の上、一定の期日までに、そのような中央EUハブの設置の実現可能性を探る共同報告書を作成することを義務付けられるべきであろう。 |
| (44)In order to achieve robust digital operational resilience, and in line with international standards (e.g. the G7 Fundamental Elements for Threat-Led Penetration Testing, financial entities should regularly test their ICT systems and staff with regard to the effectiveness of their preventive, detection, response and recovery capabilities, to uncover and address potential ICT vulnerabilities. To respond to differences across and within the financial subsectors regarding the financial entities’ cybersecurity preparedness, testing should include a wide variety of tools and actions, ranging from an assessment of basic requirements (e.g. vulnerability assessments and scans, open source analyses, network security assessments, gap analyses, physical security reviews, questionnaires and scanning software solutions, source code reviews where feasible, scenario-based tests, compatibility testing, performance testing or end-to-end testing) to more advanced testing (e.g. TLPT for those financial entities mature enough from an ICT perspective to be capable of carrying out such tests). Digital operational resilience testing should thus be more demanding for significant financial entities (such as large credit institutions, stock exchanges, central securities depositories, central counterparties, etc.). At the same time, digital operational resilience testing should also be more relevant for some subsectors playing a core systemic role (e.g. payments, banking, clearing and settlement), and less relevant for other subsectors (e.g. asset managers, credit rating agencies, etc.). Cross-border financial entities exercising their freedom of establishment or provision of services within the Union should comply with a single set of advanced testing requirements (e.g. TLPT) in their home Member State, and that test should include the ICT infrastructures in all jurisdictions where the cross-border group operates within the Union, thus allowing cross-border groups to incur testing costs in one jurisdiction only. | (44)堅牢なデジタル業務レジリエンスを実現するために、また、国際基準(例えば、G7脅威主導の侵入テストのための基本要素)に沿って、金融機関は、潜在的なICT脆弱性を発見し対処するために、予防、検知、対応、回復能力の有効性について、ICTシステム及び職員を定期的にテストするべきである。金融機関のサイバーセキュリティに対する備えに関する金融サブセクター間及び金融サブセ クター内の差異に対応するために、テストは、基本的な要求事項の評価(例えば、脆弱性評価及びス キャン、オープンソース分析、ネットワークセキュリティ評価、ギャップ分析、物理セキュリティレ ビュー、アンケート及びソフトウェアソリューションのスキャン、可能な場合にはソースコードレ ビュー、シナリオベースのテスト、適合性テスト、性能テスト又はエンドツーエンドテスト)からより高度 なテスト(例えば、ICT の観点から十分に成熟していてその種のテストを実行できる金融機関のための TLPT)までの幅広いツール及びアクションが含まれるべきであ る。したがって、デジタル運用のレジリエンス試験は、重要な金融機関(大規模な信用機関、証券取引 所、証券集中預託機関、中央カウンターパーティなど)に対しては、より厳しいものになるはずであ る。同時に、デジタル・オペレーショナル・レジリエンス試験は、中核的なシステミックな役割を担う一部のサブセクター(例:決済、銀行、清算・決済)にとってはより関連性が高く、その他のサブセクター(例:資産運用会社、信用格付機関など)にとってはあまり関連性がないはずである。国境を越えた金融機関が、域内で設立またはサービス提供の自由を行使する場合、自国 の加盟国において単一セットの高度なテスト要件(例えば、TLPT)に準拠すべきであり、 そのテストには国境を越えたグループが域内で活動する全ての法域における ICT インフラを含めるべきで、国境を越えたグループが一つの法域のみでテスト費用を負担することを許容する。 |
| (45)To ensure a sound monitoring of ICT third-party risk, it is necessary to lay down a set of principle-based rules to guide financial entities’ monitoring of risk arising in the context of outsourced functions to ICT third-party services providers and, more generally, in the context of ICT third-party dependencies. | (45)ICT第三者のリスクの健全なモニタリングを確保するために、ICT第三者サービス提 供者への機能委託、より一般的にはICT第三者の依存関係において生じるリスクを金融機関が モニタリングするための一連の原則的ルールを定めることが必要である。 |
| (46)A financial entity should at all times remain fully responsible for complying with obligations under this Regulation. A proportionate monitoring of risk emerging at the level of the ICT third-party service provider should be organised by duly considering the scale, complexity and importance of ICT-related dependencies, the criticality or importance of the services, processes or functions subject to the contractual arrangements and, ultimately, on the basis of a careful assessment of any potential impact on the continuity and quality of financial services at individual and at group level, as appropriate. | (46)金融機関は、常に、本規則に基づく義務を遵守するための完全な責任を負い続けるべきである。ICT の第三者サービス・プロバイダーのレベルで生じるリスクの比例した監視は、ICT 関連の依 存の規模、複雑性及び重要性、契約上の取り決めの対象となるサービス、プロセス又は機能の重 要性又は重要性を適切に考慮し、最終的には、必要に応じて個別及びグループレベルでの 金融サービスの継続及び質に対するあらゆる潜在的影響を慎重に評価した上で、組織されるべ きである。 |
| (47)The conduct of such monitoring should follow a strategic approach to ICT third-party risk formalised through the adoption by the financial entity’s management body of a dedicated strategy, rooted in a continuous screening of all such ICT third-party dependencies. To enhance supervisory awareness over ICT third-party dependencies, and with a view to further support the Oversight Framework established by this Regulation, financial supervisors should regularly receive essential information from the Registers and should be able to request extracts thereof on an ad-hoc basis. | (47)当該モニタリングの実施は、金融機関の経営陣による専用戦略の採用を通じて公式化され、当該ICT第三者依存の全ての継続的なスクリーニングに根ざした、ICT第三者リスクへの戦略的アプローチに従わなければならない。ICT の第三者への依存に関する監督当局の認識を強化し、本規則によって確立された監視枠組 みをさらに支援するために、金融監督当局は、登録簿から重要な情報を定期的に受け取り、その抜粋 を随時要求できるようにすべきである。 |
| (48)A thorough pre-contracting analysis should underpin and precede the formal conclusion of contractual arrangements, while termination of contracts should be prompted by at least a set of circumstances that show shortfalls at the ICT third-party service provider. | (48)契約前の徹底的な分析は、契約上の取り決めの正式な締結を裏付け、それに先行すべきであり、契約の解除は、少なくともICT第三者サービス提供者の不足を示す一連の状況によって促されるべきであり、また、ICT第三者サービス提供者は、契約上の取り決めの正式な締結に先立ち、契約前の徹底的な分析を行うべきである。 |
| (49)To address the systemic impact of ICT third-party concentration risk, a balanced solution through a flexible and gradual approach should be promoted since rigid caps or strict limitations may hinder business conduct and contractual freedom. Financial entities should thoroughly assess contractual arrangements to identify the likelihood for such risk to emerge, including by means of in-depth analyses of sub-outsourcing arrangements, notably when concluded with ICT third-party service providers established in a third country. At this stage, and with a view to strike a fair balance between the imperative of preserving contractual freedom and that of guaranteeing financial stability, it is not considered appropriate to provide for strict caps and limits to ICT third-party exposures. The ESA designated to conduct the oversight for each critical ICT third-party provider (“the Lead Overseer”) should in the exercise of oversight tasks pay particular attention to fully grasp the magnitude of interdependences and discover specific instances where a high degree of concentration of critical ICT third-party service providers in the Union is likely to put a strain on the Union financial system’s stability and integrity and should provide instead for a dialogue with critical ICT third-party service providers where that risk is identified. 38 | (49)ICT第三者集中リスクのシステム上の影響に対処するため、硬直的な上限や厳しい制限は、業務遂行や契約の自由を阻害する可能性があるため、柔軟かつ段階的なアプローチによるバランスのとれた解決策を推進すべきである。金融機関は、特に第三国に設立されたICT第三者サービスプロバイダーと締結された場合、サブアウトソーシングの取り決めの詳細な分析によって、そのようなリスクが出現する可能性を特定するために契約上の取り決めを徹底的に評価するべきである。現段階では、契約の自由を維持する必要性と金融の安定を保証する必要性の間で公正なバラン スを取るという観点から、ICTサードパーティのエクスポージャーに厳格な上限と制限を設 けることは適切ではないと考えられる。各重要な ICT サードパーティ・プロバイダーに対する監督を行うよう指定された ESA(「主幹事」)は、監督業務を行うにあたり、相互依存の大きさを十分に把握し、重要な ICT サードパーティ・サービス・プロバイダーが連合内に高度に集中していることが連合金融システムの安定性と完全 性に負荷を与える可能性のある具体例を発見することに特に注意し、当該リスクが確認された場合には重要な ICT サードパーティ・サービスの提供者との対話に代わるものを提供すべき である。 38 |
| (50)To be able to evaluate and monitor on a regular basis the ability of the ICT third-party service provider to securely provide services to the financial entity without adverse effects on the latter’s resilience, there should be a harmonisation of key contractual elements throughout the performance of contracts with ICT third-party providers. Those elements only cover minimum contractual aspects considered crucial for enabling full monitoring by the financial entity from the perspective of ensuring its digital resilience reliant on the stability and security of the ICT service. | (50)ICT第三者サービス提供者が、金融機関のレジリエンスに悪影響を与えることなく、安全にサービスを提供する能力を定期的に評価・監視できるよう、ICT第三者提供者との契約履行を通じて、主要な契約要素の調和を図るべき。これらの要素は、ICT サービスの安定性とセキュリティに依存する金融機関のデジタルレジリエンスを確保する観点から、金融機関による完全なモニタリングを可能にするために重要と考えられる最低限の契約上の側面のみをカバーするものである。 |
| (51)Contractual arrangements should in particular provide for a specification of complete descriptions of functions and services, of locations where such functions are provided and where data are processed, as well as an indication of full service level descriptions accompanied by quantitative and qualitative performance targets within agreed service levels to allow an effective monitoring by the financial entity. In the same vein, provisions on accessibility, availability, integrity, security and protection of personal data, as well as guarantees for access, recover and return in the case of insolvency, resolution or discontinuation of the business operations of the ICT third-party service provider should also be considered essential elements for a financial entity’s ability to ensure the monitoring of third party risk. | (51)契約上の取決めは、特に、金融機関による効果的なモニタリングを可能にするために、機能及びサービス、当該機能が提供される場所及びデータが処理される場所の完全な記述、並びに合意されたサービスレベル内の定量的及び定性的なパフォーマンス目標を伴う完全なサービスレベルの記述の提示を規定すべきである。同様に、アクセス性、可用性、完全性、セキュリティ及び個人データの保護に関する規定、並びにICT第三者サービス提供者の破産、解決又は業務停止時のアクセス、回復及び返還に関する保証も、金融機関が第三者リスクのモニタリングを確保するために不可欠な要素であると考えるべきである。 |
| (52)To ensure that financial entities remain in full control of all developments which may impair their ICT security, notice periods and reporting obligations of the ICT third-party service provider should be set out in case of developments with a potential material impact on the ICT third-party service provider’s ability to effectively carry out critical or important functions, including the provision of assistance by the latter in case of an ICT-related incident at no additional cost or at a cost that is determined ex-ante. | (52)金融機関が、その ICT セキュリティを損なう可能性のある全ての進展を完全にコントロールし続け ることを確保するため、ICT 関連のインシデントが発生した場合の追加費用なし又は事前 に決定される費用による後者の支援提供を含め、ICT サードパーティサービスプロバイダが 重要な又は重要な機能を効果的に実行する能力に潜在的に重大な影響を与える進展については、ICT サードパーティサービスプロバイダに対する通知期間及び報告義務 が設定されるべきである。 |
| (53)Rights of access, inspection and audit by the financial entity or an appointed third party are crucial instruments in the financial entities’ ongoing monitoring of the ICT third-party service provider’s performance, coupled with the latter’s full cooperation during inspections. In the same vein, the competent authority of the financial entity should have those rights, based on notices, to inspect and audit the ICT third-party service provider, subject to confidentiality. | (53)金融機関又は任命された第三者によるアクセス、検査及び監査の権利は、金融機関が ICT 第三者サービスプロバイダのパフォーマンスを継続的に監視する上で、検査中の後者の完全な協力と相まって重要な手段である。同様に、金融機関の権限ある当局は、通知に基づいて、機密保持を条件として、ICT 第三者サービス提供者を検査・監査する権利を有するべきである。 |
| (54)Contractual arrangements should provide for clear termination rights and related minimum notices as well as dedicated exit strategies enabling, in particular, mandatory transition periods during which the ICT third-party service providers should continue providing the relevant functions with a view to reduce the risk of disruptions at the level of the financial entity or allow the latter to effectively switch to other ICT third-party service providers, or alternatively resort to the use of on-premises solutions, consistent with the complexity of the provided service. | (54)契約上の取決めは、明確な解約権及び関連する最小限の通知、並びに、特に、金融機関 における混乱のリスクを軽減するために、ICT 第三者サービスプロバイダが関連機能を 提供し続けるべき強制的な移行期間、又は提供サービスの複雑性に見合った他の ICT 第三者 サービスプロバイダへ効果的に切り替えることや代わりにオンプレミスソリューションに頼ることを可能に する専用の出口戦略、について提供すべきである。 |
| (55)Moreover, the voluntary use of standard contractual clauses developed by the Commission for cloud computing services may provide further comfort to the financial entities and their ICT third-party providers, by enhancing the level of legal certainty on the use of cloud computing services by the financial sector, in full alignment with requirements and expectations set out by the financial services regulation. This work builds on measures already envisaged in the 2018 Fintech Action Plan which announced Commission’s intention to encourage and facilitate the development of standard contractual clauses for the use of cloud computing services outsourcing by financial entities, drawing on cross-sectorial cloud computing services stakeholders efforts, which the Commission has facilitated with the help of the financial sector’s involvement. | (55)さらに、欧州委員会が開発したクラウド・コンピューティング・サービスの標準契約条項を自主的に使用することは、金融サービス規制が定める要件と期待に完全に合致する形で、金融セクターによるクラウド・コンピューティング・サービスの使用に関する法的確実性のレベルを高めることにより、金融機関とそのICT第三者プロバイダーにさらなる安心感を与えることができるだろう。この作業は、欧州委員会が金融セクターの関与の下、促進したセクター横断的なクラウドコンピューティングサービス関係者の努力を活用し、金融機関によるクラウドコンピューティングサービスアウトソーシングの利用に関する標準契約条項の開発を奨励・促進する意図を発表した2018年フィンテック行動計画に既に想定されている措置を基礎とするものである。 |
| (56)With a view to promote convergence and efficiency in relation to supervisory approaches to ICT third-party risk to the financial sector, strengthen the digital operational resilience of financial entities which rely on critical ICT third-party service providers for the performance of operational functions, and thus to contribute to preserving the Union’s financial system stability, the integrity of the single market for financial services, critical ICT third-party service providers should be subject to a Union Oversight Framework. | (56)金融セクターのICT第三者リスクに対する監督アプローチに関する収斂と効率性を促進し、業務遂行を重要なICT第三者サービス・プロバイダーに依存する金融機関のデジタル業務回復力を強化し、ひいてはEUの金融システムの安定性と金融サービスのための単一市場の完全性の維持に貢献するために、重要なICT第三者サービス・プロバイダーはEU監視枠組みの対象になるべきである。 |
| (57)Since only critical third-party service providers warrant a special treatment, a designation mechanism for the purposes of applying the Union Oversight Framework should be put in place to take into account the dimension and nature of the financial sector’s reliance on such ICT third-party service providers, which translates into a set of quantitative and qualitative criteria that would set the criticality parameters as a basis for inclusion into the Oversight. Critical ICT third-party service providers which are not automatically designated by virtue of the application of the above-mentioned criteria should have the possibility to voluntary opt-in to the Oversight Framework, while those ICT third-party providers already subject to oversight mechanisms frameworks established at Eurosystem level with the aim to supporting the tasks referred to in Article 127(2) of the Treaty on the Functioning of the European Union should consequently be exempted. | (57)重要な第三者サービス・プロバイダーのみが特別な扱いを受けることを正当化するので、監視フレームワークを適用するための指定メカニズムは、金融部門の当該ICT第三者サービス・プロバイダーへの依存の次元と性質を考慮し、監視に含めるための基礎となる重要性のパラメータを設定する一連の定量・定性基準に変換して、設置されるべきである。上記の基準の適用により自動的に指定されない重要なICT第三者サービス・プロバイダーは、監視フレームワークへの自発的なオプトインの可能性を有するべきである。一方、欧州連合の機能に関する条約第127条(2)に言及するタスクを支援する目的で、ユーロシステムレベルで確立した監視メカニズムの枠組みに既に服するICT第三者プロバイダーは、結果として免除されるべきであろう。 |
| (58)The requirement of legal incorporation in the Union of ICT third-party service providers which have been designated as critical does not amount to data localisation since this Regulation does not entail any further requirement on data storage or processing to be undertaken in Union. | (58)重要であると指定されたICT第三者サービス・プロバイダーの連合における法的設立の要件は、この規則が連合で実施されるべきデータの保存または処理に関する更なる要件を伴わないため、データのローカライゼーションには当たらない。 |
| (59)This framework should be without prejudice to Member States’ competence to conduct own oversight missions in respect to ICT third-party service providers which are not critical under this Regulation but could be deemed important at national level. | (59)この枠組みは、この規則の下では重要ではないが、国家レベルでは重要とみなされうるICT第三者サービス・プロバイダーに関して、加盟国が独自の監視任務を実施する能力を損なうものであってはならない。 |
| (60)To leverage the current multi-layered institutional architecture in the financial services area, the Joint Committee of the ESAs should continue to ensure the overall cross-sectoral coordination in relation to all matters pertaining to ICT risk, in accordance with its tasks on cybersecurity, supported by a new Subcommittee (the Oversight Forum) carrying out preparatory work for both individual decisions addressed to critical ICT third-party service providers and collective recommendations, notably on benchmarking the oversight programs of critical ICT third-party service providers, and identifying best practices for addressing ICT concentration risk issues. | (60)金融サービス分野における現在の多層的な制度的構造を活用するため、ESAの合同委員会は、サイバーセキュリティに関するタスクに従い、ICTリスクに関連する全ての事項に関する全体的な分野横断的調整を引き続き確保し、特に重要なICT第三者サービス提供者の監視プログラムのベンチマークや、ICT集中リスク問題への対応のためのベストプラクティスの特定に関する、重要ICT第三者サービス提供者に宛てられた個別決定と集団的勧告の両方の準備作業を行う新しい小委員会(Oversight Forum)により支えられるべきであろう。 |
| (61)To ensure that ICT third-party service providers fulfilling a critical role to the functioning of the financial sector are commensurately overseen on a Union scale, one of the ESAs should be designated as Lead Overseer for each critical ICT third-party service provider. | (61)金融セクターの機能にとって重要な役割を果たすICTサードパーティサービスプロバイダーが、ユニオン規模で相応の監督を受けることを確保するため、ESAの1つが、各重要ICTサードパーティサービスプロバイダーのリードオーバーサーとして指定されるべきである。 |
| (62)Lead Overseers should enjoy the necessary powers to conduct investigations, onsite and offsite inspections at critical ICT third-party service providers, access all relevant premises and locations and obtain complete and updated information to enable them to acquire real insight into the type, dimension and impact of the ICT third-party risk posed to the financial entities and ultimately to the Union’s financial system. | (62)リード・オーバサーは、金融機関、ひいてはEUの金融システムにもたらされるICTサードパーティ・リスクの種類、規模、影響について真の洞察を得ることができるよう、重要なICTサードパーティ・サービス提供者に対して調査、現地調査、立入検査を行い、すべての関連施設・場所にアクセスし、完全かつ最新の情報を得るために必要な権限を有するべきであると考える。 |
| Entrusting the ESAs with the lead oversight is a prerequisite for grasping and addressing the systemic dimension of ICT risk in finance. The Union footprint of critical ICT third-party service providers and the potential issues of ICT concentration risk attached to it call for taking a collective approach exercised at Union level. The exercise of multiple audits and access rights, conducted by numerous competent authorities in separation with little or no coordination would not lead to a complete overview on ICT third-party risk while creating unnecessary redundancy, burden and complexity at the level of critical ICT third-party providers facing such numerous requests. | ESAに主導的な監視を任せることは、金融におけるICTリスクのシステミックな側面を把握し対処するための前提条件である。重要なICT第三者サービスプロバイダーのユニオンフットプリントとそれに付随するICT集中リスクの潜在的な問題は、ユニオンレベルで行使される集団的アプローチをとることを要求している。多数の管轄当局が、ほとんどあるいは全く協調することなく、別々に複数の監査とアクセス権を行使することは、ICTサードパーティリスクに関する完全な概観をもたらすものではなく、そのような多数の要請に直面する重要なICTサードパーティプロバイダーのレベルでは、不必要な重複、負担、複雑性を生じさせる。 |
| (63)In addition, Lead Overseers should be able to submit recommendations on ICT risk matters and suitable remedies, including opposing certain contractual arrangements ultimately affecting the stability of the financial entity or the financial system. Compliance with such substantive recommendations laid down by the Lead Overseers should be duly taken into account by national competent authorities as part of their function relating to the prudential supervision of financial entities. | (63)また、リード・オーバザーは、金融機関や金融システムの安定性に最終的に影響する 特定の契約上の取り決めへの反対を含め、ICTリスク事項や適切な救済策に関する勧告を提出で きるようにすべきである。主管庁が提示するこのような実質的な勧告の遵守は、金融機関のプルデンシャル監督に係る機能の一部として、各国所轄庁によって適切に考慮されるべきものである。 |
| (64)The Oversight Framework shall not replace, or in any way nor for any part substitute the management by financial entities of the risk entailed by the use of ICT third-party service providers, including the obligation of ongoing monitoring of their contractual arrangements concluded with critical ICT third-party service providers, and shall not affect the full responsibility of the financial entities in complying with, and discharging of, all requirements under this Regulation and relevant financial services legislation. To avoid duplications and overlaps, competent authorities should refrain from individually taking any measures aimed at monitoring the critical ICT third-party service provider’s risks Any such measures should be previously coordinated and agreed in in the context of the Oversight Framework. | (64)本監査フレームワークは、金融機関による、重要なICT第三者のサービス提供者と締結した契約上の取決めを継続的に監視する義務を含む、ICT第三者のサービス提供者の利用によってもたらされるリスクのマネジメントに代わるものではなく、また、本規則及び関連金融サービス法に基づく全ての要求事項を遵守し、これを遂行する金融機関の全責任に影響を与えるものではない。重複を避けるため、所轄官庁は、重要なICTの第三者サービス提供者のリスクを監視することを目的とした措置を個別にとることを控えるべきである。 |
| (65)To promote convergence at international level on best practices to be used in the review of ICT third-party service providers’ digital risk-management, the ESAs should be encouraged to conclude cooperation arrangements with the relevant supervisory and regulatory third-country competent authorities to facilitate the development of best practices addressing ICT third-party risk. | (65)ICT サードパーティサービスプロバイダのデジタルリスクマネジメントのレビューに使用されるベストプラクティスに関する国際レベルでの収斂を促進するため、ESA は、ICT サードパーティリスクに対処するベストプラクティスの開発を促進するために、関連する第三国の監督・規制当局と協力協定を締結するよう奨励されるべきである。 |
| (66)To leverage technical expertise of competent authorities’ experts on operational and ICT risk management, Lead Overseers should draw on national supervisory experience and set up dedicated examination teams for each individual critical ICT third-party service provider, pooling together multidisciplinary teams to supporting both the preparation and the actual execution of oversight activities, including onsite inspections of critical ICT third-party service providers, as well as needed follow-up thereof. | (66)所轄官庁のオペレーションとICTリスクマネジメントの専門家の技術的専門性を活用するため、主管庁は、各国の監督経験を活用し、個々の重要なICT第三者サービス提供者のために専門の審査チームを設置し、重要なICT第三者サービス提供者に対する立入検査を含む監督活動の準備と実際の実行、および必要なフォローアップを多職種で支援するべきである。 |
| (67)Competent authorities should possess all necessary supervisory, investigative and sanctioning powers to ensure the application of this Regulation. Administrative penalties should, in principle, be published. Since financial entities and ICT third-party service providers can be established in different Member States and supervised by different sectoral competent authorities, close cooperation between the relevant competent authorities, including ECB with regard to specific tasks conferred on it by Council Regulation (EU) No 1024/2013 39 , and consultation with the ESAs should be ensured by the mutual exchange of information and provision of assistance in the context of supervisory activities. | (67)所轄官庁は、本規則の適用を確保するために必要なすべての監督、調査、制裁の権限を有するべきである。行政処分は原則として公表されるべきである。金融機関及びICT第三者サービス・プロバイダーは、異なる加盟国に設立され、異なるセクターの所轄当局によって監督され得るため、理事会規則(EU)No 1024/2013 39 によってECBに付与された特定のタスクに関するECBを含む関連所轄当局とESAsとの間の密接な協力は、監督活動に関連した情報の相互交換及び援助の提供によって確保されるべきである。 |
| (68)In order to further quantify and qualify the designation criteria for critical ICT third-party service providers and to harmonise oversight fees, the power to adopt acts in accordance with Article 290 of the Treaty on the Functioning of the European Union should be delegated to the Commission in respect of: further specifying the systemic impact that a failure of an ICT third-party provider could have on the financial entities it serves, the numbers of global systemically important institutions (G-SIIs) or other systemically important institutions (O-SIIs) that rely on the respective ICT third-party service provider, the number of ICT third-party service providers active on a specific market, the costs of migrating to another ICT third-party service provider, the number of Member States in which the relevant ICT third-party service provider provides services and in which financial entities using the relevant ICT third-party service provider are operating, as well as the amount of the oversight fees and the way in which they are to be paid. | (68)重要なICT第三者サービス提供者の指定基準をさらに定量化・質化し、監督料を調和させるため、欧州連合機能条約第290条に基づく法律を採択する権限は、以下に関して欧州委員会に委譲されるべきである。ICT第三者サービス提供者の破綻がそのサービスを提供する金融機関に与えうるシステミックな影響、それぞれのICT第三者サービス提供者に依存するグローバルなシステム上重要な機関(G-SIIs)またはその他のシステム上重要な機関(O-SIIs)の数、特定の市場で活動するICT第三者サービス提供者の数をさらに具体化すること。他のICT第三者サービスプロバイダーへの移行コスト、当該ICT第三者サービスプロバイダーがサービスを提供し、当該ICT第三者サービスプロバイダーを利用する金融機関が営業している加盟国の数、監視料の額とその支払い方法などである。 |
| It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making. 40 In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States' experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts. | 委員会がその準備作業において、専門家レベルも含めて適切な協議を行い、その協議が「より良い法律作りに関する2016年4月13日の機関間合意」に定められた原則に従って実施されることが特に重要である。 40 特に、委任行為準備への平等な参加を確保するため、欧州議会と理事会は加盟国の専門家と同時にすべての文書を受け取り、その専門家は委任行為準備を扱う欧州委員会の専門家グループの会合に体系的にアクセスすることが可能である。 |
| (69)Since this Regulation, together with Directive (EU) 20xx/xx of the European Parliament and of the Council, 41 entails a consolidation of the ICT risk management provisions spanning across multiple regulations and directives of the Union’s financial services acquis, including Regulations (EC) No 1060/2009, (EU) No 648/2012 (EU) No 600/2014 and (EU) No 909/2014, in order to ensure full consistency, those Regulations should be amended to clarify that the relevant ICT risk-related provisions are laid down in this Regulation. | (69)本規則は、欧州議会および理事会の指令(EU) 20xx/xxとともに、規則(EC) No 1060/2009, (EU) No 648/2012 (EU) No 600/2014 および (EU) No 909/2014 などEUの金融サービスアクシーの複数の規則および指令にわたるICTリスクマネジメント規定の統合を伴うため、完全に整合するために、関連ICT リスク関連規定が本規則で定められていることを明確にするためにこれらの規則は修正されるはずだ。 |
| Technical standards should ensure the consistent harmonisation of the requirements laid down in this Regulation. As bodies with highly specialised expertise, the ESAs should be mandated to develop draft regulatory technical standards which do not involve policy choices, for submission to the Commission. Regulatory technical standards should be developed in the areas of ICT risk management, reporting, testing and key requirements for a sound monitoring of ICT third-party risk. | 技術標準は、本規則に規定された要件の一貫した調和を確保すべきである。高度な専門知識を有する機関として、ESAは、政策的選択を伴わない規制技術基準のドラフトを作成し、欧州委員会に提出するよう義務づけられるべきである。規制技術基準は、ICTリスクマネジメント、報告、テスト、およびICT第三者リスクの健全な監視のための主要な要件の分野で開発されるべきである。 |
| (70)It is of particular importance that the Commission carries out appropriate consultations during its preparatory work, including at expert level. The Commission and the ESAs should ensure that those standards and requirements can be applied by all financial entities in a manner that is proportionate to the nature, scale and complexity of those entities and their activities. | (70)欧州委員会が、専門家レベルも含め、準備作業中に適切な協議を行うことが特に重要である。欧州委員会およびESAは、これらの基準・要件が、金融機関およびその活動の性質、規模、複雑性に見合った形で、すべての金融機関に適用されることを確保する必要がある。 |
| (71)To facilitate the comparability of major ICT-related incident reports and to ensure transparency on contractual arrangements for the use of ICT services provided by ICT third-party service providers, the ESAs should be mandated to develop draft implementing technical standards establishing standardised templates, forms and procedures for financial entities to report a major ICT-related incident, as well as standardized templates for the register of information. When developing those standards, the ESAs should take into account the size and complexity of financial entities, as well as the nature and level of risk of their activities. The Commission should be empowered to adopt those implementing technical standards by means of implementing acts pursuant to Article 291 TFEU and in accordance with Article 15 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, respectively. Since further requirements have already been specified through delegated and implementing acts based on technical regulatory and implementing technical standards in Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014, respectively, it is appropriate to mandate the ESAs, either individually or jointly through the Joint Committee, to submit regulatory and implementing technical standards to the Commission for adoption of delegated and implementing acts carrying over and updating existing ICT risk management rules. | (71)重大なICT関連インシデント報告の比較可能性を促進し、ICT第三者サービス・プロバイダーが提供するICTサービスの利用に関する契約上の取り決めの透明性を確保するため、ESAは、金融機関が重大なICT関連インシデントを報告するための標準的なテンプレート、様式、手順、ならびに情報登録用の標準的テンプレートを定めた実施技術基準草案を策定するよう義務づけられるべきである。これらの基準を策定する際、ESAは金融機関の規模や複雑さ、活動の性質やリスクの度合いなどを考慮すべきである。欧州委員会は、TFEU第291条に基づき、規則(EU)No 1093/2010、(EU)No 1094/2010および(EU)No 1095/2010のそれぞれ第15条に従って、実施法によるこれらの実施技術基準を採択する権限を付与される必要がある。さらなる要件は、それぞれ規則(EC)No 1060/2009、(EU)No 648/2012、(EU)No 600/2014、(EU)No 909/2014の技術的規制基準および実施技術基準に基づく委任法および実施法によってすでに規定されているので、ESAが個別にまたは合同委員会を介して共同で、規制および実施技術基準を委員会に提出して、既存のICTリスクマネジメント規則を継承・更新する委任法および実施法を採択させることが適切と思われる。 |
| (72)This exercise will entail the subsequent amendment of existing delegated and implementing acts adopted in different areas of the financial services legislation. The scope of the operational risk articles upon which empowerments in those acts had mandated the adoption of delegated and implementing acts should be modified with a view to carry over into this Regulation all provisions covering digital operational resilience which are today part of those Regulations. | (72)この運動は、金融サービス法の異なる分野で採択された既存の委任法および実施法のその後の改正を伴う。これらの法律における権限付与が委任法および実施法の採択を義務付けていたオペレーショナルリスクの条文の範囲は、現在これらの規則の一部となっているデジタルオペレーションレジリエンスに関するすべての条文を本規則に引き継ぐという観点から修正されるべきである。 |
| (73)Since the objectives of this Regulation, namely to achieve a high level of digital operational resilience applicable to all financial entities, cannot be sufficiently achieved by the Member States because they require the harmonisation of a multitude of different rules, currently existing either in some Union acts, either in the legal systems of the various Member States, but can rather, because of its scale and effects, be better achieved at Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. | (73)すべての金融機関に適用される高水準のデジタル・オペレーショナル・レジリエンスを達成するという本規則の目的は、現在、いくつかのEU法または様々な加盟国の法制度に存在する多数の異なる規則の調和を要するため、加盟国では十分に達成できず、むしろその規模と効果から、EUレベルでよりよく達成できるため、EUは、欧州連合条約第5条に定める補完性の原則に基づき措置を採用できるものとする。同条に定める比例の原則に従い、本規則はその目的を達成するために必要な範囲を超えないものとする。 |
| HAVE ADOPTED THIS REGULATION: | は、この規則を採択した。 |
| CHAPTER I | 第1章 |
| General provisions | 一般規定 |
| Article 1 | 第1条 |
| Subject matter | 対象事項 |
| 1.This Regulation lays down the following uniform requirements concerning the security of network and information systems supporting the business processes of financial entities needed to achieve a high common level of digital operational resilience, as follows: | 1.本規則は、金融機関の業務プロセスを支えるネットワーク及び情報システムのセキュリティに関して、共通レベルの高いデジタル運用レジリエンスを実現するために必要な統一的な要件を、以下のとおり定めるものである。 |
| (a)requirements applicable to financial entities in relation to: | (a)金融機関に適用される以下の要件。 |
| –Information and Communication Technology (ICT) risk management; | -情報通信技術(ICT)リスクマネジメント。 |
| –reporting of major ICT-related incidents to the competent authorities; | ・主務官庁への主要なICT関連インシデントの報告 |
| –digital operational resilience testing; | ・デジタル運用レジリエンス・テスト |
| –information and intelligence sharing in relation to cyber threats and vulnerabilities; | ・サイバー上の脅威及び脆弱性に関連する情報及び情報の共有。 |
| –measures for a sound management by financial entities of the ICT third-party risk; | ・金融機関によるICT第三者リスクの健全なマネジメントのための措置。 |
| (b)requirements in relation to the contractual arrangements concluded between ICT third-party service providers and financial entities; | (b)ICTサードパーティサービスプロバイダと金融機関の間で締結される契約上の取決めに関する要求事項。 |
| (c)the oversight framework for critical ICT third-party service providers when providing services to financial entities; | (c)金融機関にサービスを提供する際の重要なICT第三者サービス・プロバイダに対する監視の枠組み。 |
| (d)rules on cooperation among competent authorities and rules on supervision and enforcement by competent authorities in relation to all matters covered by this Regulation. | (d)本規則が対象とする全ての事項に関する、所轄官庁間の協力に関する規則、所轄官庁による監督及び執行に関する規則。 |
| 2.In relation to financial entities identified as operators of essential services pursuant to national rules transposing Article 5 of Directive (EU) 2016/1148, this Regulation shall be considered a sector-specific Union legal act for the purposes of Article 1(7) of that Directive. | 2.指令(EU)2016/1148の第5条を移項する国内規則に従って必須サービスの事業者として特定される金融事業者との関係では、本規則は、当該指令の第1条(7)の目的上、部門固有の連合法行為とみなされるものとする。 |
| Article 2 | 第2条 |
| Personal scope | 個人の範囲 |
| 1.This Regulation applies to the following entities: | 1.本規則は、以下の事業体に適用される。 |
| (a)credit institutions, | (a)信用機関 |
| (b)payment institutions, | (b)支払機関 |
| (c)electronic money institutions, | (c)電子マネー機関 |
| (d)investment firms, | (d)投資会社 |
| (e)crypto-asset service providers, issuers of crypto-assets, issuers of asset-referenced tokens and issuers of significant asset-referenced tokens, | (e)暗号資産サービスプロバイダー、暗号資産の発行者、資産参照型トークンの発行者、重要資産参照型トークンの発行者。 |
| (f)central securities depositories, | (f)中央証券預託機関 |
| (g)central counterparties, | (g)セントラル・カウンターパーティ |
| (h)trading venues, | (h)取引所。 |
| (i)trade repositories, | (i)トレード・リポジトリー |
| (j)managers of alternative investment funds, | (j)代替投資ファンドの管理者 |
| (k)management companies, | (k)運用会社 |
| (l)data reporting service providers, | (l)データレポーティングサービスプロバイダー |
| (m)insurance and reinsurance undertakings, | (m)保険及び再保険事業者 |
| (n)insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries, | (n)保険仲介業者、再保険仲介業者及び補助的な保険仲介業者 |
| (o)institutions for occupational retirement pensions, | (o)職業的退職年金機関 |
| (p)credit rating agencies, | (p)信用格付機関 |
| (q)statutory auditors and audit firms, | (q)監査人及び監査法人 |
| (r)administrators of critical benchmarks, | (r)重要なベンチマークの管理者 |
| (s)crowdfunding service providers, | (s)クラウドファンディングサービスプロバイダー |
| (t)securitisation repositories, | (t)証券化レポジトリー |
| (u)ICT third-party service providers. | (u)ICTサードパーティサービスプロバイダ |
| 2.For the purposes of this Regulation, entities referred to in paragraph (a) to (t) shall collectively be referred to as ‘financial entities’. | 2.本規則において、(a)から(t)に言及する主体を総称して「金融主体」と呼ぶものとする。 |
| Article 3 | 第3条 |
| Definitions | 定義 |
| For the purposes of this Regulation, the following definitions shall apply: | この規則において、以下の定義が適用される。 |
| (1)‘digital operational resilience’ means the ability of a financial entity to build, assure and review its operational integrity from a technological perspective by ensuring, either directly or indirectly, through the use of services of ICT third-party providers, the full range of ICT-related capabilities needed to address the security of the network and information systems which a financial entity makes use of, and which support the continued provision of financial services and their quality; | (1) 「デジタル・オペレーショナル・レジリエンス」とは、金融機関が利用するネットワーク及び情報システムのセキュリティに対処するために必要なあらゆるICT関連能力を、直接的又は間接的にICT第三者プロバイダーのサービスの利用を通じて確保することにより、技術的観点からその業務の完全性を構築、保証及びレビューする能力を有すること、並びに金融サービスの継続及びその品質を支援する能力を有することである。 |
| (2)‘network and information system’ means network and information system as defined in point (1) of Article 4 of Directive (EU) No 2016/1148; | (2)'ネットワーク及び情報システム'とは、指令(EU) No 2016/1148の第4条(1)に定義されるネットワーク及び情報システムをいう。 |
| (3)‘security of network and information systems’ means security of network and information systems as defined in point (2) of Article 4 of Directive (EU) No 2016/1148; | (3)「ネットワーク及び情報システムのセキュリティ」とは、指令(EU)No2016/1148第4条(2)に定義されるネットワーク及び情報システムのセキュリティをいう。 |
| (4)‘ICT risk’ means any reasonably identifiable circumstance in relation to the use of network and information systems, - including a malfunction, capacity overrun, failure, disruption, impairment, misuse, loss or other type of malicious or non-malicious event - which, if materialised, may compromise the security of the network and information systems, of any technology-dependant tool or process, of the operation and process’ running, or of the provision of services, thereby compromising the integrity or availability of data, software or any other component of ICT services and infrastructures, or causing a breach of confidentiality, a damage to physical ICT infrastructure or other adverse effects; | (4)「ICTリスク」とは、ネットワーク及び情報システムの使用に関連する合理的に特定可能な状況(誤動作、容量オーバー、故障、中断、障害、誤用、損失又は他の種類の悪意のある若しくはない事象を含む)で、実現した場合、ネットワーク及び情報システムのセキュリティを損なう可能性があるものをいいます。技術に依存するツールまたはプロセスのセキュリティ、運用およびプロセスの実行、またはサービスの提供を侵害し、データ、ソフトウェアまたはICTサービスおよびインフラの他のコンポーネントの完全性または可用性を損なうか、機密保持の侵害、物理的ICTインフラの損害または他の悪影響を引き起こす可能性のある事象。 |
| (5)‘information asset’ means a collection of information, either tangible or intangible, that is worth protecting; | (5)「情報資産」とは、保護する価値のある有形又は無形の情報の集合体をいう。 |
| (6)‘ICT-related incident’ means an unforeseen identified occurrence in the network and information systems, whether resulting from malicious activity or not, which compromises the security of network and information systems, of the information that such systems process, store or transmit, or has adverse effects on the availability, confidentiality, continuity or authenticity of financial services provided by the financial entity; | (6) 「ICT関連インシデント」とは、悪意のある行為に起因するか否かを問わず、ネットワーク及び情報システムにおいて発生した不測の事態で、ネットワーク及び情報システム、当該システムが処理、保存又は伝送する情報のセキュリティを侵害し、又は金融機関が提供する金融サービスの有用性、機密性、継続性又は真正性に悪影響を与えるものをいう。 |
| (7)‘major ICT-related incident’ means an ICT-related incident with a potentially high adverse impact on the network and information systems that support critical functions of the financial entity; | (7) 「重大なICT関連インシデント」とは、金融機関の重要な機能を支えるネットワーク及び情報システムに大きな悪影響を与える可能性のあるICT関連インシデントをいう。 |
| (8)‘cyber threat’ means ‘cyber threat’ as defined in point (8) of Article 2 Regulation (EU) 2019/881 of the European Parliament and of the Council 42 ; | (8) 「サイバー脅威」とは、欧州議会及び理事会の規則(EU) 2019/881の第2条(8)に定義される「サイバー脅威」を意味する42 。 |
| (9)‘cyber-attack’ means a malicious ICT-related incident by means of an attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset perpetrated by any threat actor; | (9)「サイバー攻撃」とは、脅威行為者によって行われる資産の破壊、露出、変更、無効化、窃盗、不正アクセス、不正使用を試みる手段による悪質なICT関連インシデントを意味します。 |
| (10)‘threat intelligence’ means information that has been aggregated, transformed, analysed, interpreted or enriched to provide the necessary context for decision-making and which brings relevant and sufficient understanding for mitigating the impact of an ICT-related incident or cyber threat, including the technical details of a cyber-attack, those responsible for the attack and their modus operandi and motivations; | (10) 「脅威情報」とは、意思決定に必要な状況を提供するために集約、変換、分析、解釈又は強化され、サイバー攻撃の技術的詳細、攻撃の責任者、手口及び動機を含むICT関連事件又はサイバー脅威の影響を緩和するための適切かつ十分な理解をもたらす情報のことをいう。 |
| (11)‘defence-in-depth’ means an ICT-related strategy integrating people, processes and technology to establish a variety of barriers across multiple layers and dimensions of the entity; | (11)「深層防護」とは、企業の複数の層及び次元にわたって様々な障壁を確立するために、人、プロセス及び技術を統合するICT関連の戦略をいう。 |
| (12)‘vulnerability’ means a weakness, susceptibility or flaw of an asset, system, process or control that can be exploited by a threat; | (12)「脆弱性」とは、脅威によって悪用される可能性のある資産、システム、プロセス又は制御の弱点、感受性又は欠陥のことをいう。 |
| (13)‘threat led penetration testing’ means a framework that mimics the tactics, techniques and procedures of real-life threat actors perceived as posing a genuine cyber threat, that delivers a controlled, bespoke, intelligence-led (red team) test of the entity’s critical live production systems; | (13)「脅威主導の侵入テスト」とは、本物のサイバー脅威をもたらすと認識される現実の脅威者の戦術、技術及び手順を模倣し、事業体の重要な本番システムに対して、管理された、オーダーメイドの、情報主導の(レッドチーム)テストを実施する枠組みをいう。 |
| (14)‘ICT third-party risk’ means ICT risk that may arise for a financial entity in relation to its use of ICT services provided by ICT third-party service providers or by further sub-contractors of the latter; | (14)「ICT第三者リスク」とは、ICT第三者サービスプロバイダ又はその下請け業者によって提供されるICTサービスの利用に関連して金融機関に発生する可能性のあるICTリスクをいう。 |
| (15)‘ICT third-party service provider’ means an undertaking providing digital and data services, including providers of cloud computing services, software, data analytics services, data centres, but excluding providers of hardware components and undertakings authorised under Union law which provide electronic communication services as defined referred to in point (4) of Article 2 of Directive (EU) 2018/1972 of the European Parliament and of the Council 43 ; | (15) 「ICT第三者サービスプロバイダ」とは、クラウドコンピューティングサービス、ソフトウェア、データ分析サービス、データセンターのプロバイダを含むデジタル及びデータサービスを提供する事業者をいい、ハードウェア部品のプロバイダ及び欧州議会及び理事会の指令(EU)2018/1972の第2条(4)で言及されている電子通信サービスを提供する欧州法の下で認可された事業者を除く43。 |
| (16)‘ICT services’ means digital and data services provided through the ICT systems to one or more internal or external users, including provision of data, data entry, data storage, data processing and reporting services, data monitoring as well as data based business and decision support services; | (16)「ICTサービス」とは、データの提供、データ入力、データ保存、データ処理及び報告サービス、データ監視並びにデータに基づく事業及び意思決定支援サービスなど、ICTシステムを通じて1人以上の内部又は外部の利用者に提供されるデジタル及びデータサービスをいいます。 |
| (17)‘critical or important function’ means a function whose discontinued, defective or failed performance would materially impair the continuing compliance of a financial entity with the conditions and obligations of its authorisation, or with its other obligations under applicable financial services legislation, or its financial performance or the soundness or continuity of its services and activities; | (17)「重要な機能」とは、その機能の中断、欠陥又は失敗により、金融機関がその認可の条件及び義務、又は適用される金融サービス法に基づく他の義務を継続して遵守すること、又はその財務実績、そのサービス及び活動の健全性若しくは継続性が著しく損なわれるような機能をいう。 |
| (18)‘critical ICT third-party service provider’ means an ICT third-party service provider designated in accordance with Article 29 and subject to the Oversight Framework referred to in Articles 30 to 37; | (18) 「重要なICT第三者サービス提供者」とは、第29条に従って指定され、第30条から第37条で言及される監視枠組みの対象となるICT第三者サービス提供者をいう。 |
| (19)‘ICT third-party service provider established in a third country’ means an ICT third-party service provider that is a legal person established in a third-country, has not set up business/presence in the Union, and has entered into a contractual arrangement with a financial entity for the provision of ICT services; | (19) 「第三国に設立されたICT第三者サービス・プロバイダ」とは、第三国に設立された法人であり、連合内に事業/プレゼンスを有しておらず、ICTサービスの提供について金融機関と契約上の取決めを締結しているICT第三者サービス・プロバイダを意味します。 |
| (20)‘ICT sub-contractor established in a third country’ means an ICT sub-contractor that is a legal person established in a third-country, has not set up business/presence in the Union and has entered into a contractual arrangement either with an ICT third-party service provider, or with an ICT third-party service provider established in a third country; | (20)「第三国に設立されたICT下請け業者」とは、第三国に設立された法人であり、連合内に事業/拠点を有しておらず、ICT第三者サービス業者、または第三国に設立されたICT第三者サービス業者のいずれかと契約上の取決めを行ったICT下請け業者を指します。 |
| (21)‘ICT concentration risk’ means an exposure to individual or multiple related critical ICT third-party service providers creating a degree of dependency on such providers so that the unavailability, failure or other type of shortfall of the latter may potentially endanger the ability of a financial entity, and ultimately of the Union’s financial system as a whole, to deliver critical functions, or to suffer other type of adverse effects, including large losses; | (21) 「ICT 集中リスク」とは、個別または複数の関連する重要な ICT 第三者サービス・ プロバイダーへのエクスポージャーであって、当該プロバイダーへの依存度が高 く、後者の利用不能、故障または他の種類の不足が、金融機関、ひいては連合の金融 システム全体に対して、重要機能の提供能力を脅かすか、多額の損失を含む他の種類の悪影 響を被る可能性があるものをいう。 |
| (22)‘management body’ means a management body as defined in point (36) of Article 4(1) of Directive 2014/65/EU, point (7) of Article 3(1) of Directive 2013/36/EU, point (s) of Article 2(1) of Directive 2009/65/EC, point (45) of Article 2(1) of Regulation (EU) No 909/2014, point (20) of Article 3(1) of Regulation (EU) 2016/1011 of the European Parliament and of the Council 44 , point (u) of Article 3(1) of Regulation (EU) 20xx/xx of the European Parliament and of the Council 45 [MICA] or the equivalent persons who effectively run the entity or have key functions in accordance with relevant Union or national legislation; | (22)「管理機関」とは、指令2014/65/EUの第4条(1)のポイント(36)、指令2013/36/EUの第3条(1)のポイント(7)、指令2009/65/ECの第2条(1)のポイント(s)、規則(EU)No909/2014の第2条(1)のポイント(45)で定義する管理機関である。欧州議会及び理事会44の規則(EU)2016/1011の第3条(1)の点(20)、欧州議会及び理事会45の規則(EU)20xx/xxの第3条(1)の点(u)[MICA]又は関連するEU又は国内法に従って事業体を実質的に運営し又は重要な機能を有する同等の者をいう。 |
| (23)‘credit institution’ means a credit institution as defined in point (1) of Article 4(1) of Regulation (EU) No 575/2013 of the European Parliament and of the Council 46 ; | (23) 「信用機関」とは、欧州議会及び理事会規則 (EU) No 575/2013 の第 4 条 (1) 項に定義される信用機関 46 をいう。 |
| (24)‘investment firm’ means an investment firm as defined in point (1) of Article 4(1) of Directive 2014/65/EU; | (24) 「投資会社」とは、指令2014/65/EUの第4条(1)のポイント(1)に定義される投資会社をいう。 |
| (25)‘payment institution’ means a payment institution as defined in point (d) of Article 1(1) of Directive (EU) 2015/2366; | (25)'支払機関'とは、指令(EU)2015/2366の第1条(1)のポイント(d)に定義される支払機関を意味する。 |
| (26)‘electronic money institution’ means an electronic money institution as defined in point (1) of Article 2 of Directive 2009/110/EC of the European Parliament and of the Council 47 ; | (26) 「電子マネー機関」とは、欧州議会及び理事会の指令2009/110/ECの第2条(1)に定義される電子マネー機関をいう 47 。 |
| (27)‘central counterparty’ means a central counterparty as defined in point (1) of Article 2 of Regulation (EU) No 648/2012; | (27) 「中央取引所」とは、Regulation (EU) No 648/2012 の第 2 条 (1) 項に定義される中央取引所を意味する。 |
| (28)‘trade repository’ means a trade repository’ as defined in point (2) of Article 2 of Regulation (EU) No 648/2012; | (28) 「取引所」とは、Regulation (EU) No 648/2012 の第 2 条 (2) 項に定義される「取引所」を意味する。 |
| (29)‘central securities depository’ means a central securities as defined in point (1) of Article 2(1) of Regulation 909/2014; | (29)'中央証券保管所'とは、規則909/2014の第2条(1)のポイント(1)に定義される中央証券をいう。 |
| (30)‘trading venue’ means a trading venue as defined in point (24) of Article 4(1) of Directive 2014/65/EU; | (30)'取引所'とは、指令2014/65/EUの第4条(1)の(24)項に定義される取引所を意味する。 |
| (31)‘manager of alternative investment funds’ means a manager of alternative investment funds as defined in point (b) of Article 4(1) of Directive 2011/61/EU; | (31)'代替投資ファンドのマネージャー'とは、指令2011/61/EUの第4条(1)のポイント(b)に定義されている代替投資ファンドのマネージャーを意味する。 |
| (32)‘management company’ means a management company as defined in point (b) of Article 2(1) of Directive 2009/65/EC; | (32)「管理会社」とは、指令2009/65/ECの第2条(1)の(b)項に定義されている管理会社をいう。 |
| (33)‘data reporting service provider’ means a data reporting service provider as defined in point (63) of Article (4)(1) of Directive 2014/65/EU; | (33)「データ報告サービスプロバイダ」とは、指令 2014/65/EU の第 (4) 条 (1) 項の (63) 点に定義されているデータ報告サービスプロバイダを意味する。 |
| (34)‘insurance undertaking’ means an insurance undertaking as defined in point (1) of Article 13 of Directive 2009/138/EC; | (34) 「保険事業」とは、指令 2009/138/EC の第 13 条の (1) 項に定義されている保険事業をいう。 |
| (35)‘reinsurance undertaking’ means a reinsurance undertaking as defined in point (4) of Article 13 of Directive 2009/138/EC; | (35) 「再保険事業」とは、指令 2009/138/EC の第 13 条の (4) 項に定義されている再保険事業をいう。 |
| (36)‘insurance intermediary’ means insurance intermediary as defined in point (3) of Article 2 of Directive (EU) 2016/97; | (36) 「保険仲介者」とは、指令(EU)2016/97の第2条(3)に定義される保険仲介者をいう。 |
| (37)‘ancillary insurance intermediary’ means ancillary insurance intermediary as defined in point (4) of Article 2 of Directive (EU) 2016/97; | (37)'補助保険仲介者'とは、指令(EU) 2016/97の第2条(4)に定義される補助保険仲介者を意味する。 |
| (38)‘reinsurance intermediary’ means reinsurance intermediary as defined in point (5) of Article 2 of Directive (EU) 2016/97; | (38)'再保険仲介者'とは、指令(EU)2016/97の第2条(5)に定義される再保険仲介者を意味する。 |
| (39)‘institution for occupational retirement pensions’ means institution for occupational retirement pensions as defined in point (6) of Article 1 of Directive 2016/2341; | (39)'職業的退職年金に関する機関'とは、指令2016/2341の第1条(6)に定義されている職業的退職年金に関する機関をいう。 |
| (40)‘credit rating agency’ means a credit rating agency as defined in point (a) of Article 3(1) of Regulation (EC) No 1060/2009; | (40)「信用格付機関」とは、規則(EC) No 1060/2009の第3条(1)の(a)に定義される信用格付機関を意味する。 |
| (41)‘statutory auditor’ means statutory auditor as defined in point (2) of Article 2 of Directive 2006/43/EC; | (41) 「監査人」とは、指令 2006/43/EC の第 2 条 (2) 項に定義される法定監査人をいう。 |
| (42)‘audit firm’ means an audit firm as defined in point (3) of Article 2 of Directive 2006/43/EC; | (42)「監査法人」とは、指令 2006/43/EC の第 2 条の (3) 項に定義されている監査法人をいう。 |
| (43)‘crypto-asset service provider’ means crypto-asset service provider as defined in point (n) of Article 3(1) of Regulation (EU) 202x/xx [PO: insert reference to MICA Regulation]; | (43)「暗号資産サービスプロバイダ」とは、規則(EU) 202x/xx[PO:MICA規則への参照を挿入]の第3条(1)項(n)に定義される暗号資産サービスプロバイダを意味する。 |
| (44)‘issuer of crypto-assets’ means issuer of crypto-assets as defined in point (h) of Article 3 (1) of [OJ: insert reference to MICA Regulation]; | 暗号資産の発行者」とは、規則(EU)202x/xx第3条(1)項(h)に定義される暗号資産の発行者をいう(OJ:MICA規則への言及を挿入)。 |
| (45)‘issuer of asset-referenced tokens’ means ‘issuer of asset-referenced payment tokens’ as defined in point (i) of Article 3 (1) of [OJ: insert reference to MICA Regulation]; | (45)「資産参照型トークンの発行者」とは、[OJ:MICA規則]第3条第1項(i)に定義する「資産参照型支払トークンの発行者」を意味します。 |
| (46)‘issuer of significant asset-referenced tokens’ means issuer of significant asset-referenced payment tokens ad defined in point (j) of Article 3 (1) of [OJ: insert reference to MICA Regulation]; | (46)「重要資産参照トークンの発行者」とは、[OJ:MICA規則]第3条第1項(j)に定義される重要資産参照支払トークンの発行者をいう。 |
| (47)‘administrator of critical benchmarks’ means an administrator of critical benchmarks as defined in point (x) of Article x of Regulation xx/202x [OJ: insert reference to Benchmark Regulation]; | (47)'重要なベンチマークの管理者'とは、規則xx/202xの第x条(x)に定義される重要なベンチマークの管理者を意味する[OJ: Benchmark Regulationへの参照を挿入する]。 |
| (48)‘crowdfunding service provider’ means a crowdfunding service provider as defined in point (x) Article x of Regulation (EU) 202x/xx [PO: insert reference to Crowdfunding Regulation]; | (48)'クラウドファンディングサービスプロバイダー'とは、Regulation (EU) 202x/xx [PO: Crowdfunding Regulationへの参照を挿入]の第x条第(x)項に定義されているクラウドファンディングサービスプロバイダーを意味する。 |
| (49)‘securitisation repository’ means securitisation repository as defined in point (23) of Article 2 of Regulation (EU) 2017/2402; | (49)'証券化リポジトリ'とは、規則(EU) 2017/2402の第2条(23)に定義される証券化リポジトリを意味する。 |
| (50)‘microenterprise’ means a financial entity as defined in Article 2(3) of the Annex to Recommendation 2003/361/EC. | (50)'零細企業'とは、勧告2003/361/ECの附属書の第2条(3)に定義される金融事業体を意味する。 |
| CHAPTER II | 第 2 章 |
| ICT RISK MANAGEMENT | ictリスクマネジメント |
| SECTION I | 第 1 節 |
| Article 4 | 第4条 |
| Governance and organisation | ガバナンス及び組織 |
| 1.Financial entities shall have in place internal governance and control frameworks that ensure an effective and prudent management of all ICT risks. | 1.金融機関は、すべてのICTリスクの効果的かつ慎重なマネジメントを確保するための内部ガバナンス及びコントロールの枠組みを有しなければならない。 |
| 2.The management body of the financial entity shall define, approve, oversee and be accountable for the implementation of all arrangements related to the ICT risk management framework referred to in Article 5(1): | 2.金融機関のマネジメント機関は、第5条1項に言及されるICTリスクマネジメントの枠組みに関連する全ての取り決めの実施について、定義、承認、監督及び説明責任を負わなければならない。 |
| For the purposes of the first subparagraph, the management body shall: | 第1号の目的のために、経営機関は以下のことをしなければならない。 |
| (a)bear the final responsibility for managing the financial entity’s ICT risks; | (a)金融機関のICTリスクを管理するための最終的な責任を負う。 |
| (b)set clear roles and responsibilities for all ICT-related functions; | (b)全てのICT関連機能に対して、明確な役割及び責任を設定する。 |
| (c)determine the appropriate risk tolerance level of ICT risk of the financial entity, as referred to in point (b) of Article 5(9); | (c)第5条第9項(b)にいう金融機関のICTリスクに対する適切なリスク許容度を決定すること。 |
| (d)approve, oversee and periodically review the implementation of the financial entity's ICT Business Continuity Policy and ICT Disaster Recovery Plan referred to in, respectively, paragraphs 1 and 3 of Article 10; | (d)第10条第1項及び第3項にそれぞれ規定する金融機関のICT事業継続方針及びICT災害復旧計画の実施を承認し、監督し、定期的にレビューすること。 |
| (e)approve and periodically review the ICT audit plans, ICT audits and material modifications thereto; | (e)ICT監査計画、ICT監査及びその重要な変更を承認し、定期的にレビューする。 |
| (f)allocate and periodically review appropriate budget to fulfil the financial entity’s digital operational resilience needs in respect of all types of resources, including training on ICT risks and skills for all relevant staff; | (f)全ての関連する職員に対するICTリスク及びスキルに関する研修を含む、全ての種類の資源に関する金融機関のデジタル・オペレーション・レジリエンスのニーズを満たすために、適切な予算を割り当て、定期的に見直しを行う。 |
| (g)approve and periodically review the financial entity’s policy on arrangements regarding the use of ICT services provided by ICT third-party service providers; | (g)ICTの第三者サービス・プロバイダーによって提供されるICTサービスの利用に関する金融機関の方針を承認し、定期的に見直す。 |
| (h)be duly informed, of the arrangements concluded with ICT third-party service providers on the use of ICT services, of any relevant planned material changes regarding the ICT third-party service providers, and on the potential impact of such changes on the critical or important functions subject to those arrangements, including receiving a summary of the risk analysis to assess the impact of these changes; | (h)ICTサービスの利用に関してICT第三者サービス・プロバイダーと締結した取決めについて、ICT第三者サービス・プロバイダーに関する関連する計画された重要な変更について、及び、これらの変更の影響を評価するためのリスク分析の概要を受け取ることを含め、取決めの対象となる重要機能又は重要機能にかかる潜在的影響について、適切に情報を提供されること。 |
| (i)be duly informed about ICT-related incidents and their impact and about response, recovery and corrective measures. | (i)ICT関連の事故及びその影響、対応、回復及び是正措置について正当に情報を提供されること。 |
| 3.Financial entities other than microenterprises shall establish a role to monitor the arrangements concluded with ICT third-party service providers on the use of ICT services, or shall designate a member of senior management as responsible for overseeing the related risk exposure and relevant documentation. | 3.零細企業以外の金融機関は、ICTサービスの利用に関してICT第三者サービス・プロバイダーと締結した取り決めを監視する役割を確立しなければならない。又は、上級管理職のメンバーを、関連するリスクのエクスポージャー及び関連文書を監視する責任者として指名しなければならない。 |
| 4.Members of the management body shall, on a regular basis, follow specific training to gain and keep up to date sufficient knowledge and skills to understand and assess ICT risks and their impact on the operations of the financial entity. | 4.マネジメント機関のメンバーは、定期的に、ICT リスクとそれが金融機関の業務に与える影響 を理解し評価するための十分な知識と技能を習得し、最新の状態に保つための特定の訓練に従わなけ ればならない。 |
| SECTION II | 第2節 |
| Article 5 | 第5条 |
| ICT risk management framework | ICTリスクマネジメントの枠組み |
| 1.Financial entities shall have a sound, comprehensive and well-documented ICT risk management framework, which enables them to address ICT risk quickly, efficiently and comprehensively and to ensure a high level of digital operational resilience that matches their business needs, size and complexity. | 1.金融機関は、ICTリスクに迅速、効率的かつ包括的に対処し、その事業ニーズ、規模及び複雑性に見合った高いレベルのデジタル運用レジリエンスを確保できる、健全かつ包括的で十分に文書化されたICTリスクマネジメントの枠組みを持たなければならない。 |
| 2.The ICT risk management framework referred to in paragraph 1 shall include strategies, policies, procedures, ICT protocols and tools which are necessary to duly and effectively protect all relevant physical components and infrastructures, including computer hardware, servers, as well as all relevant premises, data centres and sensitive designated areas, to ensure that all those physical elements are adequately protected from risks including damage and unauthorized access or usage. | 2.パラグラフ 1 で言及された ICT リスクマネジメントの枠組みは、コンピュータハードウェア、 サーバー、及びすべての関連する敷地、データセンター、機密指定領域を含むすべての関連す る物理的構成要素とインフラを、損害及び不正アクセスや使用を含むリスクから適切に保護 するために必要な戦略、方針、手続き、ICT プロトコル、ツールを含まなければならな い。 |
| 3.Financial entities shall minimise the impact of ICT risk by deploying appropriate strategies, policies, procedures, protocols and tools as determined in the ICT risk management framework. They shall provide complete and updated information on ICT risks as required by the competent authorities. | 3.金融機関は、ICT リスクマネジメントの枠組みにおいて決定された適切な戦略、方針、 手順、プロトコル及びツールを展開することにより、ICT リスクの影響を最小化しなければな らない。 金融機関は、所轄官庁の要求に応じて、ICT リスクに関する完全かつ最新の情報を提供しなけれ ばならない。 |
| 4.As part of the ICT risk management framework referred to in paragraph 1, financial entities other than microenterprises shall implement an information security management system based on recognized international standards and in accordance with supervisory guidance and shall regularly review it. | 4.第1項で言及されたICTリスクマネジメントの枠組みの一部として、零細企業以外の金融機関は、認められた国際基準に基づき、監督官庁のガイダンスに従って情報セキュリティマネジメントシステムを実施し、定期的に見直さなければならない。 |
| 5.Financial entities other than microenterprises shall ensure appropriate segregation of ICT management functions, control functions, and internal audit functions, according to the three lines of defense model, or an internal risk management and control model. | 5.零細企業以外の金融機関は、三防衛線モデル又は内部リスクマネジメント及びコントロールモデルに従って、ICTマネジメント機能、コントロール機能及び内部監査機能の適切な分離を確保しなければならない。 |
| 6.The ICT risk management framework referred to in paragraph 1 shall be documented and reviewed at least once a year, as well as upon the occurrence of major ICT-related incidents, and following supervisory instructions or conclusions derived from relevant digital operational resilience testing or audit processes. It shall be continuously improved on the basis of lessons derived from implementation and monitoring. | 6.第1項のICTリスクマネジメントの枠組みは、少なくとも年1回、ICT関連の重大事故の発生時、監督当局の指示又は関連するデジタル運用レジリエンス試験若しくは監査プロセスから得られた結論に従って、文書化し見直すものとする。また、実施とモニタリングから得られた教訓に基づき、継続的に改善されるものとする。 |
| 7.The ICT risk management framework referred to in paragraph 1 shall be audited on a regular basis by ICT auditors possessing sufficient knowledge, skills and expertise in ICT risk. The frequency and focus of ICT audits shall be commensurate to the ICT risks of the financial entity. | 7.第1項のICTリスクマネジメントの枠組みは、ICTリスクに関する十分な知識、技能及び専門性を有するICT監査人により定期的に監査されるものとする。ICT監査の頻度及び焦点は、金融機関のICTリスクに見合ったものでなければならない。 |
| 8.A formal follow-up process, including rules for the timely verification and remediation of critical ICT audit findings, shall be established, taking into consideration the conclusions from the audit review while having due regard to the nature, scale and complexity of the financial entities’ services and activities. | 8.金融機関のサービス及び活動の性質、規模及び複雑性を十分に考慮しつつ、監査レビューの結 論を考慮し、重要なICT監査結果の適時の検証及び是正のためのルールを含む、公式なフォローアップ・ プロセスが確立されなければならない。 |
| 9.The ICT risk management framework referred to in paragraph 1 shall include a digital resilience strategy setting out how the framework is implemented. To that effect it shall include the methods to address ICT risk and attain specific ICT objectives, by: | 9.パラグラフ 1 で言及された ICT リスクマネジメントの枠組みは、その枠組みがどのように 実行されるかを定めるデジタルレジリエンス戦略を含まなければならない。そのために、以下の方法により、ICTリスクに対処し、特定のICT目標を達成するための方法を含まなければならない。 |
| (a)explaining how the ICT risk management framework supports the financial entity’s business strategy and objectives; | (a)ICTリスクマネジメントの枠組みが、金融機関の事業戦略及び目標をどのように支援するかを説明すること。 |
| (b)establishing the risk tolerance level for ICT risk, in accordance with the risk appetite of the financial entity, and analysing the impact tolerance of ICT disruptions; | (b)金融機関のリスク選好度に従って、ICTリスクに対するリスク許容度を設定し、ICTの中断の影響許容度を分析する。 |
| (c)setting out clear information security objectives; | (c)明確な情報セキュリティ目標を設定すること。 |
| (d)explaining the ICT reference architecture and any changes needed to reach specific business objectives; | (d)ICTリファレンス・アーキテクチャ及び特定の事業目標に到達するために必要な変更を説明すること。 |
| (e)outlining the different mechanisms put in place to detect, protect and prevent impacts of ICT-related incidents; | (e)ICT関連インシデントの影響を検知し、保護し、防止するために設置された様々なメカニズムを概説すること。 |
| (f)evidencing the number of reported major ICT-related incidents and the effectiveness of preventive measures | (f)報告された主要なICT関連インシデントの数及び予防措置の有効性を証明すること。 |
| (g)defining a holistic ICT multi-vendor strategy at entity level showing key dependencies on ICT third-party service providers and explaining the rationale behind the procurement mix of third-party service providers | (g)事業体レベルの全体的なICTマルチベンダー戦略を定義し、ICT第三者サービスプロバイダへの主要な依存関係を示し、第三者サービスプロバイダの調達構成の根拠を説明する。 |
| (h)implementing digital operational resilience testing; | (h)デジタル運用レジリエンステストの実施 |
| (i)outlining a communication strategy in case of ICT-related incidents. | (i)ICT関連のインシデントが発生した場合のコミュニケーション戦略を概説する。 |
| 10.Upon approval of competent authorities, financial entities may delegate the tasks of verifying compliance with the ICT risk management requirements to intra-group or external undertakings. | 10.金融機関は、所轄官庁の承認を得て、ICTリスクマネジメント要件の遵守を検証する業務を、グループ内または外部の事業者に委任することができる。 |
| Article 6 | 第6条 |
| ICT systems, protocols and tools | ICTシステム、プロトコル及びツール |
| 1.Financial entities shall use and maintain updated ICT systems, protocols and tools, which fulfil the following conditions: | 1.金融機関は、以下の条件を満たす最新のICTシステム、プロトコル及びツールを使用し、維持しなければならない。 |
| (a)the systems and tools are appropriate to the nature, variety, complexity and magnitude of operations supporting the conduct of their activities; | (a)当該システム及びツールが、その活動の遂行を支える業務の性質、多様性、複雑性及び規模に適切であること。 |
| (b)they are reliable; | (b)信頼性の高いものであること。 |
| (c)they have sufficient capacity to accurately process the data necessary for the performance of activities and the provision of services in time, and to deal with peak orders, message or transaction volumes, as needed, including in the case of introduction of new technology; | (c)活動の遂行及びサービスの提供に必要なデータを時間内に正確に処理し、新技術の導入の場合を含め、必要に応じて注文、メッセージ又は取引のピークに対処するための十分な能力を有していること。 |
| (d)they are technologically resilient to adequately deal with additional information processing needs as required under stressed market conditions or other adverse situations. | (d)ストレスのかかった市場環境又はその他の不利な状況下で必要とされる追加の情報処理ニーズに適切に対処するための技術的な弾力性を有していること。 |
| 2.Where financial entities use internationally recognized technical standards and industry leading practices on information security and ICT internal controls, they shall use those standards and practices in line with any relevant supervisory recommendation on their incorporation. | 2.金融機関が、情報セキュリティ及びICT内部統制に関して、国際的に認められた技術基準及び業界をリードする慣行を用いる場合、金融機関は、それらの導入に関する監督当局の勧告に基づき、それらの基準及び慣行を用いなければならない。 |
| Article 7 | 第7条 |
| Identification | 識別 |
| 1.As part of the ICT risk management framework referred to in Article 5(1), financial entities shall identify, classify and adequately document all ICT-related business functions, the information assets supporting these functions, and the ICT system configurations and interconnections with internal and external ICT systems. Financial entities shall review as needed, and at least yearly, the adequacy of the classification of the information assets and of any relevant documentation. | 1.第5条(1)に言及するICTリスクマネジメントの枠組みの一部として、金融機関は、全てのICT関連業務機能、これらの機能を支える情報資産、及びICTシステムの構成並びに内部及び外部のICTシステムとの相互接続を特定し、分類し、適切に文書化しなければならない。金融機関は、情報資産の分類及び関連文書の適切性を必要に応じて、少なくとも年1回見直さなければならない。 |
| 2.Financial entities shall on a continuous basis identify all sources of ICT risk, in particular the risk exposure to and from other financial entities, and assess cyber threats and ICT vulnerabilities relevant to their ICT-related business functions and information assets. Financial entities shall review on a regular basis, and at least yearly, the risk scenarios impacting them. | 2.金融機関は、継続的に、全てのICTリスクの源泉、特に他の金融機関との間のリスクエクスポー ジャーを特定し、ICT関連の業務機能及び情報資産に関連するサイバー脅威及びICTの脆弱性を評価しなけれ ばならない。金融機関は、定期的に、少なくとも毎年、自らに影響を与えるリスクシナリオをレビューしなけれ ばならない。 |
| 3.Financial entities other than microenterprises shall perform a risk assessment upon each major change in the network and information system infrastructure, in the processes or procedures affecting their functions, supporting processes or information assets. | 3.零細企業以外の金融機関は、ネットワーク及び情報システムのインフラストラクチャー、その機能、支援プロセス又は情報資産に影響を与えるプロセス又は手順における各主要な変更の際に、リスク評価を実施しなければならない。 |
| 4.Financial entities shall identify all ICT systems accounts, including those on remote sites, the network resources and hardware equipment, and shall map physical equipment considered critical. They shall map the configuration of the ICT assets and the links and interdependencies between the different ICT assets. | 4.金融機関は、遠隔地にあるものを含むすべてのICTシステムアカウント、ネットワークリソース及びハードウェア機器を識別し、重要であると考えられる物理的な機器をマッピングしなければならない。また、ICT資産の構成、及び異なるICT資産間のリンクと相互依存関係をマッピングしなければならない。 |
| 5.Financial entities shall identify and document all processes that are dependent on ICT third-party service providers, and shall identify interconnections with ICT third-party service providers. | 5.金融機関は、第三者サービス・プロバイダーに依存している全てのプロセスを特定し、文書化しなければならず、第三者サービス・プロバイダーとの相互接続を特定しなければならない。 |
| 6.For the purposes of paragraphs 1, 4 and 5, financial entities shall maintain and regularly update relevant inventories. | 6.パラグラフ1、4及び5の目的のために、金融機関は関連するインベントリーを維持し、定期的に更新しなければならない。 |
| 7.Financial entities other than microenterprises shall on a regular basis, and at least yearly, conduct a specific ICT risk assessment on all legacy ICT systems, especially before and after connecting old and new technologies, applications or systems. | 7.零細企業以外の金融機関は、定期的に、少なくとも毎年、すべてのレガシーICTシステム、特に新旧の技術、アプリケーションまたはシステムの接続前と接続後に、特定のICTリスクアセスメントを実施するものとする。 |
| Article 8 | 第8条 |
| Protection and Prevention | 保護及び予防 |
| 1.For the purposes of adequately protecting the ICT systems and with a view to organising response measures, financial entities shall continuously monitor and control the functioning of the ICT systems and tools and shall minimise the impact of such risks through the deployment of appropriate ICT security tools, policies and procedures. | 1.ICTシステムを適切に保護するために、また対応策を組織するために、金融機関はICTシステム及びツールの機能を継続的に監視及び管理し、適切なICTセキュリティツール、方針及び手続きの展開を通じて、かかるリスクの影響を最小限に抑えなければならない。 |
| 2.Financial entities shall design, procure and implement ICT security strategies, policies, procedures, protocols and tools that aim at, in particular, ensuring the resilience, continuity and availability of ICT systems, and maintaining high standards of security, confidentiality and integrity of data, whether at rest, in use or in transit. | 2.金融機関は、特に、ICT システムのレジリエンス、継続性及び可用性を確保し、静止状態、使用中又は転送中にかかわらず、データの高水準のセキュリティ、機密性及び完全性を維持することを目的とした ICT セキュリティ戦略、方針、手順、プロトコル及びツールを設計、調達及び導入しなければならな い。 |
| 3.To achieve the objectives referred to in paragraph 2, financial entities shall use state-of-the-art ICT technology and processes which: | 3.パラグラフ 2 で言及された目的を達成するために、金融機関は以下のような最先端の ICT 技術及びプロセスを使用しなければならない。 |
| (a)guarantee the security of the means of transfer of information; | (a)情報の転送手段の安全性を保証する。 |
| (b)minimise the risk of corruption or loss of data, unauthorized access and of the technical flaws that may hinder business activity; | (b)データの破損、損失、不正アクセス及び事業活動の妨げとなる技術的欠陥のリスクを最小化すること。 |
| (c)prevent information leakage; | (c)情報漏えいを防止すること。 |
| (d)ensure that data is protected from poor administration or processing-related risks, including inadequate record-keeping. | (d)不適切な管理又は不適切な記録保持を含む処理関連のリスクからデータが確実に保護されるようにすること。 |
| 4.As part of the ICT risk management framework referred to in Article 5(1), financial entities shall: | 4.第5条(1)に言及されたICTリスクマネジメントの枠組みの一部として、金融機関は以下のことを行わなければならない。 |
| (a)develop and document an information security policy defining rules to protect the confidentiality, integrity and availability of theirs, and their customers’ ICT resources, data and information assets; | (a)自己及び顧客のICTリソース、データ及び情報資産の機密性、完全性及び可用性を保護するための規則を定義する情報セキュリティ・ポリシーを策定し、文書化する。 |
| (b)following a risk-based approach, establish a sound network and infrastructure management using appropriate techniques, methods and protocols including implementing automated mechanisms to isolate affected information assets in case of cyber-attacks; | (b)リスクベースのアプローチに従い、サイバー攻撃に備えて影響を受ける情報資産を隔離する自動化されたメカニズムの導入を含む適切な技術、方法及びプロトコルを用いて、健全なネットワーク及びインフラストラクチャーマネジメントを確立する。 |
| (c)implement policies that limit the physical and virtual access to ICT system resources and data to what is required only for legitimate and approved functions and activities, and establish to that effect a set of policies, procedures and controls that address access privileges and a sound administration thereof; | (c)ICTシステムの資源及びデータへの物理的及び仮想的なアクセスを、正当かつ承認された機能及び活動にのみ必要なものに制限するポリシーを実施し、そのためにアクセス権限及びその健全な管理に対処する一連のポリシー、手続及び統制を確立すること。 |
| (d)implement policies and protocols for strong authentication mechanisms, based on relevant standards and dedicated controls systems to prevent access to cryptographic keys whereby data is encrypted based on results of approved data classification and risk assessment processes; | (d)承認されたデータ分類及びリスク評価プロセスの結果に基づき、データを暗号化するための暗号鍵へのアクセスを防止するため、関連規格及び専用の管理システムに基づいて、強力な認証メカニズムのための方針及びプロトコルを実施すること。 |
| (e)implement policies, procedures and controls for ICT change management, including changes to software, hardware, firmware components, system or security changes, that are based on a risk-assessment approach and as an integral part of the financial entity’s overall change management process, in order to ensure that all changes to ICT systems are recorded, tested, assessed, approved, implemented and verified in a controlled manner; | (e)ICTシステムに対する全ての変更が、管理された方法で記録、テスト、評価、承認、実施及び検証されることを確保するために、リスクアセスメントの手法に基づき、金融機関の全体的な変更管理プロセスの不可欠な部分として、ソフトウェア、ハードウェア、ファームウェアの構成要素、システム又はセキュリティの変更を含むICT変更管理に関する方針、手続及び管理を導入すること。 |
| (f)have appropriate and comprehensive policies for patches and updates. | (f)パッチ及び更新に関する適切かつ包括的な方針を有していること。 |
| For the purposes of point (b), financial entities shall design the network connection infrastructure in a way that allows it to be instantaneously severed and shall ensure its compartmentalisation and segmentation, in order to minimise and prevent contagion, especially for interconnected financial processes. | (b)の目的のため、金融機関は、特に相互接続された金融プロセスについて、伝染を最小化し防止するために、ネットワーク接続インフラを瞬時に切断できるように設計し、その区画化及び細分化を確保しなければならない。 |
| For the purposes of point (e), the ICT change management process shall be approved by appropriate lines of management and shall have specific protocols enabled for emergency changes. | (e)の目的のため、ICT変更管理プロセスは、適切な管理ラインによって承認されなければならず、緊急の変更に有効な特定のプロトコルを持たなければならない。 |
| Article 9 | 第 9 条 |
| Detection | 検出 |
| 1.Financial entities shall have in place mechanisms to promptly detect anomalous activities, in accordance with Article 15, including ICT network performance issues and ICT-related incidents, and to identify all potential material single points of failure. | 1.金融機関は、第15条に従い、ICTネットワーク性能の問題及びICT関連の事故を含む異常な活動を迅速に検知し、全ての潜在的な重要単一障害点を特定するためのメカニズムを備えなければならない。 |
| All detection mechanisms referred to in the first subparagraph shall be regularly tested in accordance with Article 22. | 第1号に言及されたすべての検出機構は、第22条に従って定期的にテストされなければならない。 |
| 2.The detection mechanisms referred to in paragraph 1 shall enable multiple layers of control, define alert thresholds and criteria to trigger ICT-related incident detection and ICT-related incident response processes, and shall put in place automatic alert mechanisms for relevant staff in charge of ICT-related incident response. | 2.第1項に言及された検出機構は、多層管理を可能にし、ICT関連インシデント検出及びICT関連インシデント対応プロセスを起動するための警告閾値及び基準を定義し、ICT関連インシデント対応を担当する関連スタッフに対する自動警告メカニズムを設置しなければならない。 |
| 3.Financial entities shall devote sufficient resources and capabilities, with due consideration to their size, business and risk profiles, to monitor user activity, occurrence of ICT anomalies and ICT-related incidents, in particular cyber-attacks. | 3.金融機関は、その規模、事業及びリスクプロファイルを十分に考慮し、ユーザー活動、ICT異常の発生及びICT関連インシデント、特にサイバー攻撃を監視するために十分なリソースと能力を割くものとする。 |
| 4.Financial entitles referred to in point (l) of Article 2(1) shall, in addition, have in place systems that can effectively check trade reports for completeness, identify omissions and obvious errors and request re-transmission of any such erroneous reports. | 4.第2条第1項(l)の金融機関は、取引報告書の完全性を効果的にチェックし、漏れや明らかな誤りを特定し、誤りのある報告書の再送信を要求できるシステムを導入しなければならない。 |
| Article 10 | 第10条 |
| Response and recovery | 対応と復旧 |
| 1.As part of the ICT risk management framework referred to in Article 5(1) and based on the identification requirements set out in Article 7, financial entities shall put in place a dedicated and comprehensive ICT Business Continuity Policy as an integral part of the operational business continuity policy of the financial entity. | 1.第5条第1項に言及されたICTリスクマネジメントの枠組みの一部として、また第7条に規定された識別要件に基づき、金融機関は、金融機関の業務継続方針の不可欠な部分として、専用の包括的ICT業務継続方針を配置するものとする。 |
| 2.Financial entities shall implement the ICT Business Continuity Policy referred to in paragraph 1 through dedicated, appropriate and documented arrangements, plans, procedures and mechanisms aimed at: | 2.金融機関は、以下を目的とした専用の適切かつ文書化された取り決め、計画、手順及び機構を通じて、第1項に言及されたICT事業継続方針を実施するものとする。 |
| (a)recording all ICT-related incidents; | (a)全てのICT関連インシデントを記録する。 |
| (b)ensuring the continuity of the financial entity’s critical functions; | (b)金融機関の重要な機能の継続を確保する。 |
| (c)quickly, appropriately and effectively responding to and resolving all ICT-related incidents, in particular but not limited to cyber-attacks, in a way which limits damage and prioritises resumption of activities and recovery actions; | (c)被害を限定し、活動の再開及び復旧を優先させる方法で、全てのICT関連の事故、特にサイバー攻撃に限定されないが、に迅速、適切かつ効果的に対応し、解決すること。 |
| (d)activating without delay dedicated plans that enable containment measures, processes and technologies suited to each type of ICT-related incident and preventing further damage, as well as tailored response and recovery procedures established in accordance with Article 11; | (d)各タイプのICT関連事故に適した封じ込め措置、プロセス及び技術、並びに第11条に従って確立された調整された対応及び復旧手順を可能にする専用計画を遅滞なく起動させること。 |
| (e)estimating preliminary impacts, damages and losses; | (e)影響、損害及び損失の予備的な推定を行うこと。 |
| (f)setting out communication and crisis management actions which ensure that updated information is transmitted to all relevant internal staff and external stakeholders in accordance with Article 13, and reported to competent authorities in accordance with Article 17. | (f)第13条に従って社内の関係者及び社外の利害関係者に最新情報を伝達し、第17条に従って所轄官庁に報告することを確保するためのコミュニケーション及び危機管理行動を設定する。 |
| 3.As part of the ICT risk management framework referred to in Article 5(1), financial entities shall implement an associated ICT Disaster Recovery Plan, which, in the case of financial entities other than microenterprises, shall be subject to independent audit reviews. | 3.第5条1項に言及されたICTリスクマネジメントの枠組みの一部として、金融機関は、関連するICT災害復旧計画を実施し、零細企業以外の金融機関の場合、独立した監査のレビューに従わなければならない。 |
| 4.Financial entities shall put in place, maintain and periodically test appropriate ICT business continuity plans, notably with regard to critical or important functions outsourced or contracted through arrangements with ICT third-party service providers. | 4.金融機関は、特にICT第三者サービス・プロバイダーとの取り決めにより外部委託された、又は契約された重要な機能に関して、適切なICT事業継続計画を設置、維持し、定期的にテストしなければならない。 |
| 5.As part of their comprehensive ICT risk management, financial entities shall: | 5.包括的なICTリスクマネジメントの一環として、金融機関は以下のことを行わなければならない。 |
| (a)test the ICT Business Continuity Policy and the ICT Disaster Recovery Plan at least yearly and after substantive changes to the ICT systems; | (a)ICT事業継続方針及びICT災害復旧計画を、少なくとも年1回及びICTシステムに対する実質的な変更の後に、テストする。 |
| (b)test the crisis communication plans established in accordance with Article 13. | (b)第13条に基づき策定された危機管理計画をテストする。 |
| For the purposes of point (a), financial entities other than microenterprises shall include in the testing plans scenarios of cyber-attacks and switchovers between the primary ICT infrastructure and the redundant capacity, backups and redundant facilities necessary to meet the obligations set out in Article 11. | (a)の目的のために、零細企業以外の金融機関は、サイバー攻撃、主要なICTインフラと第11条に定める義務を果たすために必要な冗長容量、バックアップ及び冗長設備の間の切り替えのシナリオをテスト計画に含まなければならない。 |
| Financial entities shall regularly review their ICT Business Continuity Policy and ICT Disaster Recovery Plan taking into account the results of tests carried out in accordance with the first subparagraph and recommendations stemming from audit checks or supervisory reviews. | 金融機関は、第1号に従って実施されたテストの結果、及び監査チェック又は監督上のレビューから生じる勧告を考慮して、ICT事業継続方針及びICT災害復旧計画を定期的に見直すものとする。 |
| 6.Financial entities other than microenterprises shall have a crisis management function, which, in case of activation of their ICT Business Continuity Policy or ICT Disaster Recovery Plan, shall set out clear procedures to manage internal and external crisis communications in accordance with Article 13. | 6.零細企業以外の金融機関は、危機管理機能を有し、ICT事業継続方針又はICT災害復旧計画が発動された場合、第13条に基づき、内部及び外部の危機管理を行うための明確な手順を定めなければならない。 |
| 7.Financial entities shall keep records of activities before and during disruption events when their ICT Business Continuity Policy or ICT Disaster Recovery Plan is activated. Such records shall be readily available. | 7.金融機関は、ICT事業継続方針又はICT災害復旧計画が発動された場合、混乱事象の前と中の活動の記録を保持しなければならない。当該記録は、容易に入手可能でなければならない。 |
| 8.Financial entities referred to in point (f) of Article 2(1) shall provide to the competent authorities copies of the results of the ICT business continuity tests or similar exercises performed during the period under review. | 8.第2条第1項(f)の金融機関は、レビュー期間中に実施したICT事業継続テストまたは同様の演習の結果のコピーを所轄官庁に提供するものとする。 |
| 9.Financial entities other than microenterprises shall report to competent authorities all costs and losses caused by ICT disruptions and ICT-related incidents. | 9.零細企業以外の金融機関は、ICTの中断とICT関連の事故によって生じた全てのコストと損失を主務官庁に報告しなければならない。 |
| Article 11 | 第11条 |
| Backup policies and recovery methods | バックアップの方針と復旧方法 |
| 1.For the purpose of ensuring the restoration of ICT systems with minimum downtime and limited disruption, as part of their ICT risk management framework, financial entities shall develop: | 1.ICTリスクマネジメントの枠組みの一部として、最小限のダウンタイムと限られた混乱でICTシステムの復旧を確実にするために、金融機関は以下を策定しなければならない。 |
| (a)a backup policy specifying the scope of the data that is subject to the backup and the minimum frequency of the backup, based on the criticality of information or the sensitiveness of the data; | (a)情報の重要性又はデータの機密性に基づき、バックアップの対象となるデータの範囲及びバックアップの最小頻度を規定したバックアップ・ポリシー。 |
| (b)recovery methods. | (b)復旧方法 |
| 2.Backup systems shall begin processing without undue delay, unless such start would jeopardize the security of the network and information systems or the integrity or confidentiality of data. | 2.バックアップシステムは、ネットワークや情報システムのセキュリティ、データの完全性・機密性を脅かす場合を除き、不当な遅延なく処理を開始しなければならない。 |
| 3.When restoring backup data using own systems, financial entities shall use ICT systems that have an operating environment different from the main one, that is not directly connected with the latter and that is securely protected from any unauthorized access or ICT corruption. | 3.金融機関は、自己のシステムを用いてバックアップ・データを復元する場合、主要なシステムとは異なる操作環境を有し、主要なシステムと直接接続されておらず、不正なアクセスや情報システムの破損から安全に保護された情報システムを使用しなければならない。 |
| For financial entities referred to in point (g) of Article 2(1), the recovery plans shall enable the recovery of all transactions at the time of disruption to allow the central counterparty to continue to operate with certainty and to complete settlement on the scheduled date. | 第2条第1項(g)に言及された金融機関については、復旧計画により、中央取引相手が確実に業務を継続し、予定日に決済を完了できるよう、障害発生時の全取引を復旧させなければならない。 |
| 4.Financial entities shall maintain redundant ICT capacities equipped with resources capabilities and functionalities that are sufficient and adequate to ensure business needs. | 4.金融機関は、業務上の必要性を確保するために十分かつ適切な資源能力及び機能を備えた冗長なICT能力を維持しなければならない。 |
| 5.Financial entities referred to in point (f) of Article 2(1) shall maintain or ensure that their ICT third-party providers maintain at least one secondary processing site endowed with resources, capabilities, functionalities and staffing arrangements sufficient and appropriate to ensure business needs. | 5.第2条第1項(f)の金融機関は、業務上の必要性を確保するために十分かつ適切な資源、能力、機能及び人員配置を備えた少なくとも一つのセカンダリー・プロセッシング・サイトを維持するか、そのICT第三者提供者が維持することを確保するものとする。 |
| The secondary processing site shall be: | 二次処理施設は、次のとおりでなければならない。 |
| (a)located at a geographical distance from the primary processing site to ensure that it bears a distinct risk profile and to prevent it from being affected by the event which has affected the primary site; | (a)一次処理サイトと地理的に離れた場所にあり、一次処理サイトに影響を与えた事象の影響を受けないように、明確なリスクプロファイルを有していること。 |
| (b)capable of ensuring the continuity of critical services identically to the primary site, or providing the level of services necessary to ensure that the financial entity performs its critical operations within the recovery objectives; | (b)プライマリー・サイトと同様に重要なサービスの継続を確保できる、又は金融機関が復旧目標内でその重要な業務を確実に遂行するために必要なレベルのサービスを提供できること。 |
| (c)immediately accessible to the financial entity’s staff to ensure continuity of critical services in case the primary processing site has become unavailable. | (c)プライマリサイトが利用できなくなった場合に、重要なサービスの継続を確保するために、金融機関の職員が直ちにアクセスできること。 |
| 6.In determining the recovery time and point objectives for each function, financial entities shall take into account the potential overall impact on market efficiency. Such time objectives shall ensure that, in extreme scenarios, the agreed service levels are met. | 6.各機能の復旧時間及び復旧時点の目標を決定する際、金融機関は、市場の効率性に対する潜在的な全体影響を考慮するものとする。かかる時間目標は、極端なシナリオにおいて、合意されたサービスレベルが満たされ ることを保証するものでなければならない。 |
| 7.When recovering from an ICT-related incident, financial entities shall perform multiple checks, including reconciliations, in order to ensure that the level of data integrity is of the highest level. These checks shall also be performed when reconstructing data from external stakeholders, in order to ensure that all data is consistent between systems. | 7.ICT関連インシデントから回復する際、金融機関は、データの完全性のレベルが最高レ ベルであることを保証するために、照合を含む複数のチェックを実行しなければならない。これらのチェックは、すべてのデータがシステム間で一貫していることを保証するために、外部の関係者からデータを再構築する際にも実施されなければならない。 |
| Article 12 | 第12条 |
| Learning and evolving | 学習と進化 |
| 1.Financial entities shall have in place capabilities and staff, suited to their size, business and risk profiles, to gather information on vulnerabilities and cyber threats, ICT-related incidents, in particular cyber-attacks, and analyse their likely impacts on their digital operational resilience. | 1.金融機関は、その規模、事業及びリスクプロファイルに適した、脆弱性及びサイバー脅威、ICT関連事件、特にサイバー攻撃に関する情報を収集し、それらがデジタル業務のレジリエンスに及ぼすであろう影響を分析する能力とスタッフを備えなければならない。 |
| 2.Financial entities shall put in place post ICT-related incident reviews after significant ICT disruptions of their core activities, analysing the causes of disruption and identifying required improvements to the ICT operations or within the ICT Business Continuity Policy referred to in Article 10. | 2.金融機関は、その中核的活動において重大なICTの混乱が生じた後、混乱の原因を分析し、ICT業務又は第10条に言及されるICT事業継続方針において必要な改善を特定する、ICT関連事故後のレビューを実施しなければならない。 |
| When implementing changes, financial entities other than microenterprises shall communicate those changes to the competent authorities. | 変更を実施する場合、零細企業以外の金融機関は、それらの変更を所轄官庁に伝えなければならない。 |
| The post ICT-related incident reviews referred to in the first subparagraph shall determine whether the established procedures were followed and the actions taken were effective, including in relation to: | 第1号で言及されたICT関連事故後のレビューは、確立された手順が遵守され、取られた措置が効果的であったかどうかを、以下の点に関するものを含めて、判断するものとする。 |
| (a)the promptness in responding to security alerts and determining the impact of ICT-related incidents and their severity; | (a)セキュリティ警告への対応、ICT関連インシデントの影響及びその重大性の判断における迅速性。 |
| (b)the quality and speed in performing forensic analysis; | (b)フォレンジック分析の品質及びスピード。 |
| (c)the effectiveness of incident escalation within the financial entity; | (c)金融機関内におけるインシデントのエスカレーションの有効性 |
| (d)the effectiveness of internal and external communication. | (d)内部及び外部とのコミュニケーションの有効性 |
| 3.Lessons derived from the digital operation resilience testing carried out in accordance with Articles 23 and 24 and from real life ICT-related incidents, in particular cyber-attacks, along with challenges faced upon the activation of business continuity or recovery plans, together with relevant information exchanged with counterparties and assessed during supervisory reviews, shall be duly incorporated on a continuous basis into the ICT risk assessment process. These findings shall translate into appropriate reviews of relevant components of the ICT risk management framework referred to in Article 5(1). | 3.第23条及び第24条に従って実施されたデジタル運用のレジリエンス・テストから得られた教訓、及び実際のICT関連インシデント、特にサイバー攻撃、並びに事業継続計画又は復旧計画の発動時に直面した課題、並びに取引先と交換された関連情報及び監督当局のレビュー中に評価されたものは、ICTリスク評価プロセスに継続的に適切に取り入れられるものとします。これらの知見は、第5条1項に言及されたICTリスクマネジメントの枠組みの関連する構成要素の適切なレビューに反映されるものとする。 |
| 4.Financial entities shall monitor the effectiveness of the implementation of their digital resilience strategy set out in Article 5(9). They shall map the evolution of ICT risks over time, analyse the frequency, types, magnitude and evolution of ICT-related incidents, in particular cyber-attacks and their patterns, with a view to understand the level of ICT risk exposure and enhance the cyber maturity and preparedness of the financial entity. | 4.金融機関は、第5条9項に定めるデジタル・レジリエンス戦略の実施の有効性をモニターしなければならない。金融機関は、ICTリスク・エクスポージャーのレベルを理解し、金融機関のサイバー成熟度と準備態勢を強化するために、ICTリスクの時間的な進展を図り、ICT関連インシデント、特にサイバー攻撃の頻度、種類、規模、進展及びそのパターンを分析するものとする。 |
| 5.Senior ICT staff shall report at least yearly to the management body on the findings referred to in paragraph 3 and put forward recommendations. | 5.シニアICTスタッフは、少なくとも年1回、パラグラフ3で言及された発見について経営陣に報告し、勧告を提示しなければならない。 |
| 6.Financial entities shall develop ICT security awareness programs and digital operational resilience trainings as compulsory modules in their staff training schemes. These shall be applicable to all employees and to senior management staff. | 6.金融機関は、職員研修の必修モジュールとして、ICTセキュリティ意識向上プログラム及びデジタル運用レジリエンス研修を開発しなければならない。これらは、全ての従業員及び上級管理職に適用されるものとする。 |
| Financial entities shall monitor relevant technological developments on a continuous basis, also with a view to understand possible impacts of deployment of such new technologies upon the ICT security requirements and digital operational resilience. They shall keep abreast of the latest ICT risk management processes, effectively countering current or new forms of cyber-attacks. | 金融機関は、新技術の導入がICTセキュリティ要件及びデジタル・オペレーショナル・レジリエンスに与え得る影響を理解する観点からも、継続的に関連する技術開発をモニターしなければならない。金融機関は、最新のICTリスクマネジメントプロセスを常に把握し、現在又は新たな形態のサイバー攻撃に効果的に対抗しなければならない。 |
| Article 13 | 第13条 |
| Communication | コミュニケーション |
| 1.As part of the ICT risk management framework referred to in Article 5(1), financial entities shall have in place communication plans enabling a responsible disclosure of ICT-related incidents or major vulnerabilities to clients and counterparts as well as to the public, as appropriate. | 1.第5条1項に言及されたICTリスクマネジメントの枠組みの一部として、金融機関は、ICT関連の事故又は重大な脆弱性を顧客及び取引先並びに必要に応じて公衆に責任を持って開示できるよう、コミュニケーション計画を整備するものとする。 |
| 2.As part of the ICT risk management framework referred to in Article 5(1), financial entities shall implement communication policies for staff and for external stakeholders. Communication policies for staff shall take into account the need to differentiate between staff involved in the ICT risk management, in particular response and recovery, and staff that needs to be informed. | 2.第5条1項に言及されたICTリスクマネジメントの枠組みの一部として、金融機関は、職員及び外部の利害関係者のためのコミュニケーション・ポリシーを実施しなければならない。職員に対するコミュニケーション・ポリシーは、ICTリスクマネジメント、特に対応と復旧に関わる職員と、情報を提供する必要のある職員とを区別する必要性を考慮しなければならない。 |
| 3.At least one person in the entity shall be tasked with implementing the communication strategy for ICT-related incidents and fulfil the role of public and media spokesperson for that purpose. | 3.事業体の少なくとも一人は、ICT関連インシデントのためのコミュニケーション戦略を実施する任務を負い、そのために公共及びメディアのスポークスマンの役割を果たさなければならない。 |
| Article 14 | 第14条 |
| Further harmonisation of ICT risk management tools, methods, processes and policies | ICTリスクマネジメントのツール、方法、プロセス及び方針のさらなる調和 |
| The European Banking Authority (EBA), the European Securities and Markets Authority (ESMA) and the European Insurance and Occupational Pensions Authority (EIOPA) shall, in consultation with the European Union Agency on Cybersecurity (ENISA), develop draft regulatory technical standards for the following purposes: | 欧州銀行監督機構(EBA)、欧州証券市場機構(ESMA)、欧州保険・職業年金機構(EIOPA)は、欧州連合サイバーセキュリティ機関(ENISA)と協議し、以下の目的のために規制技術基準の草案を作成するものとする。 |
| (a)specify further elements to be included in the ICT security policies, procedures, protocols and tools referred to in Article 8(2), with a view to ensure the security of networks, enable adequate safeguards against intrusions and data misuse, preserve the authenticity and integrity of data, including cryptographic techniques, and guarantee an accurate and prompt data transmission without major disruptions; | (a)ネットワークのセキュリティを確保し、侵入及びデータの悪用に対する適切な保護措置を可能にし、暗号技術を含むデータの真正性と完全性を保持し、大きな中断のない正確かつ迅速なデータ伝送を保証する目的で、第8条2項にいうICTセキュリティ方針、手順、プロトコル及びツールに含まれるべき更なる要素を規定すること。 |
| (b)prescribe how the ICT security policies, procedures and tools referred to in Article 8(2) shall incorporate security controls into systems from inception (security by design), allow for adjustments to the evolving threat landscape, and provide for the use of defence-in-depth technology; | (b) 第8条(2)で言及されたICTセキュリティの方針、手順及びツールが、セキュリティ管理をシステムの立ち上げ時から組み入れ(デザインによるセキュリティ)、進化する脅威の状況への調整を可能にし、多重防御技術の利用を提供することを規定すること。 |
| (c)specify further the appropriate techniques, methods and protocols referred to in point (b) of Article 8(4); | (c)第八条(4)の(b)に言及する適切な技術、方法及びプロトコルを更に規定すること。 |
| (d)develop further components of the controls of access management rights referred to in point (c) of Article 8(4) and associated human resources policy specifying access rights, procedures for granting and revoking rights, monitoring anomalous behaviour in relation to ICT risks through appropriate indicators, including for network use patterns, hours, IT activity and unknown devices; | (d)第8条(4)の(c)で言及されているアクセスマネジメントの権利の管理、及びアクセス権、権利の付与及び取消しの手順を規定する関連する人事政策の要素をさらに発展させ、ネットワークの使用パターン、時間、IT活動及び未知のデバイスを含む適切な指標を通じてICTリスクに関する異常な行動を監視すること。 |
| (e)develop further the elements specified in Article 9(1) enabling a prompt detection of anomalous activities and the criteria referred to in Article 9(2) triggering ICT-related incident detection and response processes; | (e)異常行動の迅速な検知を可能にする第9条1項に規定された要素及びICT関連事故の検知及び対応プロセスのきっかけとなる第9条2項に言及された基準をさらに発展させる。 |
| (f)specify further the components of the ICT Business Continuity Policy referred to in Article 10(1); | (f)第10条(1)で言及されたICT事業継続方針の構成要素をさらに規定する。 |
| (g)specify further the testing of ICT business continuity plans referred to in Article 10(5) to ensure that it duly takes into account scenarios in which the quality of the provision of a critical or important function deteriorates to an unacceptable level or fails, and duly considers the potential impact of the insolvency or other failures of any relevant ICT third-party service provider and, where relevant, the political risks in the respective providers’ jurisdictions; | (g)第10条(5)に言及するICT事業継続計画の試験について、重要な又は重要な機能の提供の質が許容できない水準まで低下し又は失敗するシナリオを適切に考慮し、関連するICT第三者サービス提供者の支払不能又はその他の失敗の潜在的影響及び関連する場合にはそれぞれの提供者の管轄区域における政治リスクを適切に考慮するようさらに規定すること。 |
| (h)specify further the components of the ICT Disaster Recovery Plan referred to in Article 10(3). | (h)第10条(3)で言及されたICT災害復旧計画の構成要素をさらに特定する。 |
| EBA, ESMA and EIOPA shall submit those draft regulatory technical standards to the Commission by [OJ: insert date 1 year after the date of entry into force]. | EBA、ESMAおよびEIOPAは、発効日から1年後の日付を挿入するまでに、これらの規制上の技術基準のドラフトを欧州委員会に提出するものとする。 |
| Power is delegated to the Commission to adopt the regulatory technical standards referred to in the first subparagraph in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, respectively. | 規則(EU)第1093/2010号、(EU)第1094/2010号および(EU)第1095/2010号の第10条から第14条に従い、第1号に言及する規制技術基準を採択する権限は欧州委員会に委譲される。 |
| CHAPTER III | 第3章 |
| ICT-RELATED INCIDENTS | 情報漏えい事故 |
| MANAGEMENT, CLASSIFICATION and REPORTING | 管理、分類及び報告 |
| Article 15 | 第15条 |
| ICT-related incident management process | ICT関連インシデントの管理プロセス |
| 1.Financial entities shall establish and implement an ICT-related incident management process to detect, manage and notify ICT-related incidents and shall put in place early warning indicators as alerts. | 1.金融機関は、ICT関連インシデントを検知、管理及び通知するためのICT関連インシデント管理プロセスを確立し、実施しなければならず、アラートとして早期警告指標を設置しなければならない。 |
| 2.Financial entities shall establish appropriate processes to ensure a consistent and integrated monitoring, handling and follow-up of ICT-related incidents, to make sure that root causes are identified and eradicated to prevent the occurrence of such incidents. | 2.金融機関は、ICT関連インシデントの一貫した統合的な監視、処理及びフォローアップを確保し、その根本原因を特定し、根絶することにより、その発生を防止するための適切なプロセスを確立するものとする。 |
| 3.The ICT-related incident management process referred to in paragraph 1 shall: | 3.パラグラフ1で言及されたICT関連インシデント管理プロセスは、以下のことを行わなければならない。 |
| (a)establish procedures to identify, track, log, categorise and classify ICT-related incidents according to their priority and to the severity and criticality of the services impacted, in accordance with the criteria referred to in Article 16(1); | (a)第16条第1項の基準に従って、ICT関連インシデントを、その優先順位及び影響を受けるサービスの重大性及び重要性に応じて識別、追跡、記録、分類及び区分する手順を確立すること。 |
| (b)assign roles and responsibilities that need to be activated for different ICT-related incident types and scenarios; | (b)異なるICT関連インシデントの種類及びシナリオに対して起動させる必要のある役割及び責任を割り当てる。 |
| (c)set out plans for communication to staff, external stakeholders and media in accordance with Article 13, and for notification to clients, internal escalation procedures, including ICT-related customer complaints, as well as for the provision of information to financial entities that act as counterparts, as appropriate; | (c)第13条に従った職員、外部の利害関係者及びメディアへのコミュニケーション、並びに顧客への通知、ICT関連の顧客の苦情を含む内部エスカレーション手続、並びにカウンターパートとして機能する金融機関への情報提供に関する計画を適切に策定すること。 |
| (d)ensure that major ICT-related incidents are reported to relevant senior management and inform the management body on major ICT-related incidents, explaining the impact, response and additional controls to be established as a result of ICT-related incidents; | (d)主要なICT関連インシデントが関連する上級管理職に報告されることを確保し、主要なICT関連インシデントについて、その影響、対応及びICT関連インシデントの結果として確立すべき追加の統制を説明し、管理団体に報告すること。 |
| (e)establish ICT-related incident response procedures to mitigate impacts and ensure that services becomes operational and secure in a timely manner. | (e)ICT関連インシデントへの対応手順を確立し、影響を緩和し、サービスが適時に運用可能で安全になることを保証する。 |
| Article 16 | 第16条 |
| Classification of ICT-related incidents | ICT関連インシデントの分類 |
| 1.Financial entities shall classify ICT-related incidents and shall determine their impact based on the following criteria: | 1.金融機関は、ICT関連インシデントを分類し、以下の基準に基づいてその影響を判断しなければならない。 |
| (a)the number of users or financial counterparts affected by the disruption caused by the ICT-related incident, and whether the ICT-related incident has caused reputational impact; | (a)ICT関連インシデントによる混乱により影響を受けた利用者又は金融取引相手の数、及びICT関連インシデントが風評被害をもたらしたかどうか。 |
| (b)the duration of the ICT-related incident, including service downtime; | (b)サービスのダウンタイムを含む、ICT関連事故の期間。 |
| (c)the geographical spread with regard to the areas affected by the ICT-related incident, particularly if it affects more than two Member States; | (c)ICT関連事故の影響を受ける地域に関する地理的な広がり、特に2カ国以上の加盟国に影響を与える場合。 |
| (d)the data losses that the ICT-related incident entails, such as integrity loss, confidentiality loss or availability loss; | (d)完全性の損失、機密性の損失又は可用性の損失など、ICT関連の事故がもたらすデータ損失。 |
| (e)the severity of the impact of the ICT-related incident on the financial entity’s ICT systems; | (e)ICT関連インシデントが金融機関のICTシステムに与える影響の重大性。 |
| (f)the criticality of the services affected, including the financial entity’s transactions and operations; | (f)金融機関の取引及び業務等、影響を受けるサービスの重要性 |
| (g)the economic impact of the ICT-related incident in both absolute and relative terms. | (g)絶対的及び相対的な意味での ICT 関連インシデントの経済的影響 |
| 2.The ESAs shall, through the Joint Committee of the ESAs (the ‘Joint Committee’) and after consultation with the European Central Bank (ECB) and ENISA, develop common draft regulatory technical standards further specifying the following: | 2.ESA は、ESA の合同委員会(「合同委員会」)を通じて、欧州中央銀行(ECB)及び ENISA と協議の上、以下をさらに明記した共通の規制技術基準案を策定するものとする。 |
| (a)the criteria set out in paragraph 1, including materiality thresholds for determining major ICT-related incidents which are subject to the reporting obligation laid down in Article 17(1); | (a)第17条1項に定める報告義務の対象となる重大なICT関連インシデントを決定するための重要度閾値を含む、第1項に定める基準。 |
| (b)the criteria to be applied by competent authorities for the purpose of assessing the relevance of major ICT-related incidents to other Member States’ jurisdictions, and the details of ICT-related incidents reports to be shared with other competent authorities pursuant to points (5) and (6) of Article 17. | (b)他の加盟国の法域における主要なICT関連インシデントの関連性を評価する目的で管轄当局が適用すべき基準、及び第17条(5)及び(6)に従って他の管轄当局と共有すべきICT関連インシデント報告の詳細。 |
| 3.When developing the common draft regulatory technical standards referred to in paragraph 2, the ESAs shall take into account international standards, as well as specifications developed and published by ENISA, including, where appropriate, specifications for other economic sectors. | 3.ESA は、第 2 項で言及された共通の規制技術基準のドラフトを策定する際、国際基準、および ENISA が開発・公表した仕様(適切な場合には他の経済セクターの仕様を含む)を考慮するものとする。 |
| The ESAs shall submit those common draft regulatory technical standards to the Commission by [PO: insert date 1 year after the date of entry into force]. | ESAは、これらの共通の規制技術基準のドラフトを、[PO:発効日の1年後の日付を挿入]までに欧州委員会に提出しなければならない。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the regulatory technical standards referred to in paragraph 2 in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, respectively. | 規則(EU) No 1093/2010、(EU) No 1094/2010、(EU) No 1095/2010の第10条から第14条に従い、第2項で言及された規制技術基準を採択することによりこの規則を補完する権限は、それぞれ委員会に委譲される。 |
| Article 17 | 第17条 |
| Reporting of major ICT-related incidents | ICTに関連する重大なインシデントの報告 |
| 1.Financial entities shall report major ICT-related incidents to the relevant competent authority as referred to in Article 41, within the time-limits laid down in paragraph 3. | 1.金融機関は、第3項に定める期限内に、第41条に言及する関連する主務官庁に対して、ICT関連の重大なインシデントを報告するものとする。 |
| For the purpose of the first subparagraph, financial entities shall produce, after collecting and analysing all relevant information, an incident report using the template referred to in Article 18 and submit it to the competent authority. | 第1号の目的のため、金融機関は、全ての関連情報を収集・分析した後、第18条のテンプレートを用いてインシデント・レポートを作成し、所轄官庁に提出するものとする。 |
| The report shall include all information necessary for the competent authority to determine the significance of the major ICT-related incident and assess possible cross-border impacts. | 報告書は、所轄官庁が重大なICT関連インシデントの重要性を判断し、起こりうるクロスボーダーの影響を評価するために必要な全ての情報を含まなければならない。 |
| 2.Where a major ICT-related incident has or may have an impact on the financial interests of service users and clients, financial entities shall, without undue delay, inform their service users and clients about the major ICT-related incident and shall as soon as possible inform them of all measures which have been taken to mitigate the adverse effects of such incident. | 2.ICT関連の重大事故がサービス利用者及び顧客の金融上の利益に影響を与える、又は与える可能性がある場合、金融機関は、過度の遅滞なく、ICT関連の重大事故についてサービス利用者及び顧客に知らせ、当該事故の悪影響を軽減するために取られた全ての措置について可能な限り速やかに顧客に知らせなければならない。 |
| 3.Financial entities shall submit to the competent authority as referred to in Article 41: | 3.金融機関は、第41条に言及する所轄官庁に以下を提出するものとする。 |
| (a)an initial notification, without delay, but no later than the end of the business day, or, in case of a major ICT-related incident that took place later than 2 hours before the end of the business day, not later than 4 hours from the beginning of the next business day, or, where reporting channels are not available, as soon as they become available; | (a)遅滞なく、ただし営業日の終了時まで、営業日の終了2時間前以降に発生したICT関連の重大インシデントの場合は翌営業日の開始4時間後まで、または報告チャネルが利用できない場合は利用可能になり次第、最初の通知を提出すること。 |
| (b)an intermediate report, no later than 1 week after the initial notification referred to in point (a), followed as appropriate by updated notifications every time a relevant status update is available, as well as upon a specific request of the competent authority; | (b) (a)で言及された最初の通知から遅くとも1週間後の中間報告。その後,適切な場合には,関連する状況の更新があるたびに,また,管轄当局の特定の要求に応じて更新された通知が行われる。 |
| (c)a final report, when the root cause analysis has been completed, regardless of whether or not mitigation measures have already been implemented, and when the actual impact figures are available to replace estimates, but not later than one month from the moment of sending the initial report | (c)最終報告書:根本原因の分析が完了したとき、緩和策が既に実施されているか否かにかかわらず、また、推定に代わって実際の影響の数値が利用可能になったとき、ただし、最初の報告書を送付した時点から1ヶ月以内に送付しなければならない。 |
| 4.Financial entities may only delegate the reporting obligations under this Article to a third-party service provider upon approval of the delegation by the relevant competent authority referred to in Article 41. | 4.金融機関は、第41条に言及する関連する管轄当局による委任の承認がある場合にのみ、本条に基づく報告義務を第三者のサービス提供者に委任することができる。 |
| 5.Upon receipt of the report referred to in paragraph 1, the competent authority shall, without undue delay, provide details of the incident to: | 5.第1項の報告書を受領した場合、所轄官庁は、過度の遅滞なく、当該事象の詳細を以下の者に提供するものとする。 |
| (a)EBA, ESMA or EIOPA, as appropriate; | (a)EBA、ESMA又はEIOPA(適切な場合)。 |
| (b)the ECB, as appropriate, in the case of financial entities referred to in points (a), (b) and (c) of Article 2(1); and | (b)第2条第1項(a)、(b)及び(c)に言及する金融機関の場合、適宜、ECB。 |
| (c)the single point of contact designated under Article 8 of Directive (EU) 2016/1148. | (c)指令(EU)2016/1148の第8条に基づいて指定された単一窓口。 |
| 6.EBA, ESMA or EIOPA and the ECB shall assess the relevance of the major ICT-related incident to other relevant public authorities and notify them accordingly as soon as possible. The ECB shall notify the members of the European System of Central Banks on issues relevant to the payment system. Based on that notification, the competent authorities shall, where appropriate, take all of the necessary measures to protect the immediate stability of the financial system. | 6.EBA、ESMA又はEIOPA及びECBは、他の関連する公的機関に対するICT関連の重大インシデントの関連性を評価し、可能な限り速やかにそれらに通知するものとする。ECBは、決済システムに関連する問題について、欧州中央銀行システムのメンバーに通知するものとする。その通知に基づき、所轄官庁は、適切な場合には、金融システムの当面の安定を守るために必要なすべての措置を講じるものとする。 |
| Article 18 | 第18条 |
| Harmonisation of reporting content and templates | 報告内容およびテンプレートの調和 |
| 1.The ESAs, through the Joint Committee and after consultation with ENISA and the ECB, shall develop: | 1.ESAは、合同委員会を通じて、ENISAおよびECBと協議のうえ、以下を策定するものとする。 |
| (a)common draft regulatory technical standards in order to: | (a)共通の規制技術基準のドラフトを作成する。 |
| (1)establish the content of the reporting for major ICT-related incidents; | (1)重大な ICT 関連インシデントの報告内容を確立すること。 |
| (2)specify further the conditions under which financial entities may delegate to a third-party service provider, upon prior approval by the competent authority, the reporting obligations set out in this Chapter; | (2)金融機関が、主管庁の事前承認を得て、本章に定める報告義務を第三者のサービス提供者に委任できる条件を更に規定する。 |
| (b)common draft implementing technical standards in order to establish the standard forms, templates and procedures for financial entities to report a major ICT-related incident. | (b)金融機関が重大な ICT 関連インシデントを報告するための標準的な書式、テンプレート及び手続を確立するための共通の技術基準のドラフトを作成する。 |
| The ESAs shall submit the common draft regulatory technical standards referred to in point (a) of paragraph 1 and the common draft implementing technical standards referred to in point (b) of the paragraph 1 to the Commission by xx 202x [PO: insert date 1 year after the date of entry into force]. | ESAは、1項(a)の規制技術基準の共通ドラフトおよび1項(b)の実施技術基準の共通ドラフトを、202x年xx月[PO:発効日の1年後の日付を挿入]までに欧州委員会に提出するものとする。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the common regulatory technical standards referred to in point (a) of paragraph 1 in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 規則(EU) No 1093/2010, (EU) No 1095/2010, (EU) No 1094/2010 の第10条から第14条に従って、第1項の(a)の共通規制技術基準を採択してこの規則を補足する権限を欧州委員会に委ねる。 |
| Power is conferred on the Commission to adopt the common implementing technical standards referred to in point (b) of paragraph 1 in accordance with Article 15 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 規則(EU) No 1093/2010、(EU) No 1095/2010及び(EU) No 1094/2010の第15条に従って、第1項の(b)に言及する共通実施技術基準を採択する権限は、それぞれ委員会に付与される。 |
| Article 19 | 第19条 |
| Centralisation of reporting of major ICT-related incidents | ICT関連の重大インシデントの報告の一元化 |
| 1.The ESAs, through the Joint Committee and in consultation with ECB and ENISA, shall prepare a joint report assessing the feasibility of further centralisation of incident reporting through the establishment of a single EU Hub for major ICT-related incident reporting by financial entities. The report shall explore ways to facilitate the flow of ICT-related incident reporting, reduce associated costs and underpin thematic analyses with a view to enhancing supervisory convergence. | 1.ESAは、合同委員会を通じて、ECB及びENISAと協議の上、金融機関による主要なICT関連インシデント報告のための単一EUハブの設立を通じたインシデント報告の更なる集中化の実現可能性を評価する共同報告書を作成しなければならない。同報告書は、監督上の収斂を強化する観点から、ICT関連インシデント報告の流れを促進し、関連コストを削減し、テーマ別分析を支えるための方法を探求するものとする。 |
| 2.The report referred to in the paragraph 1 shall comprise at least the following elements: | 2.第1項で言及された報告書は、少なくとも以下の要素から構成されるものとする。 |
| (a)prerequisites for the establishment of such an EU Hub; | (a)EUハブを設立するための前提条件 |
| (b)benefits, limitations and possible risks; | (b)便益、限界及び起こり得るリスク |
| (c)elements of operational management; | (c)運営管理に関する要素 |
| (d)conditions of membership; | (d)加盟の条件 |
| (e)modalities for financial entities and national competent authorities to access the EU Hub; | (e)金融機関及び各国の所轄官庁がEUハブにアクセスするための様式 |
| (f)a preliminary assessment of financial costs entailed by the setting-up the operational platform supporting the EU Hub, including the required expertise | (f) 必要な専門知識を含む、EUハブを支援する運用プラットフォームの立ち上げに伴う財務コストの予備的評価 |
| 3.The ESAs shall submit the report referred to in the paragraph 1 to the Commission, the European Parliament and to the Council by xx 202x [OJ: insert date 3 years after the date of entry into force]. | 3.ESAは、202x年(OJ:発効日から3年後の日付を挿入)までに、第1項で言及された報告書を欧州委員会、欧州議会、理事会に提出するものとする。 |
| Article 20 | 第20条 |
| Supervisory feedback | 監督当局からのフィードバック |
| 1.Upon receipt of a report as referred to in Article 17(1), the competent authority shall acknowledge receipt of notification and shall as quickly as possible provide all necessary feedback or guidance to the financial entity, in particular to discuss remedies at the level of the entity or ways to minimise adverse impact across sectors. | 1.第 17 条(1)に言及された報告書を受領した場合、所轄官庁は、通知の受領を確認し、特に企業レベルでの是正、あるいは部門横断的な悪影響を最小化する方法を議論するために、可能な限り速やかに金融機関に対して必要なすべてのフィードバックあるいは指導を行わなければならない。 |
| 2.The ESAs shall, through the Joint Committee, report yearly on an anonymised and aggregated basis on the ICT-related incident notifications received from competent authorities, setting out at least the number of ICT-related major incidents, their nature, impact on the operations of financial entities or customers, costs and remedial actions taken. | 2.ESA は、合同委員会を通じて、管轄当局から受け取った ICT 関連のインシデントに関する通 知について、少なくとも ICT 関連の重大インシデントの件数、その性質、金融機関や顧客の業務 への影響、コスト、取られた是正措置について匿名かつ集計ベースで毎年報告しなければならな い。 |
| The ESAs shall issue warnings and produce high-level statistics to support ICT threat and vulnerability assessments. | ESA は、ICT の脅威と脆弱性の評価を支援するために、警告を発し、ハイレベルの統計を作成する。 |
| CHAPTER IV | 第 4 章 |
| DIGITAL OPERATIONAL RESILIENCE TESTING | デジタル運用レジリエンス試験 |
| Article 21 | 第 21 条 |
| General requirements for the performance of digital operational resilience testing | デジタル運用レジリエンス試験の実施に関する一般要件 |
| 1.For the purpose of assessing preparedness for ICT-related incidents, of identifying weaknesses, deficiencies or gaps in the digital operational resilience and of promptly implementing corrective measures, financial entities shall establish, maintain and review, with due consideration to their size, business and risk profiles, a sound and comprehensive digital operational resilience testing programme as an integral part of the ICT risk management framework referred to in Article 5. | 1.ICT関連インシデントへの備えを評価し、デジタル・オペレーション・レジリエンスの弱点、欠陥又はギャップを特定し、迅速に是正措置を実施する目的で、金融機関は、その規模、事業及びリスクプロファイルを十分に考慮し、第5条に言及するICTリスクマネジメントの枠組みの不可欠な部分として健全かつ包括的なデジタル・オペレーション・レジリエンスのテストプログラムを確立、維持及びレビューするものとする。 |
| 2.The digital operational resilience testing programme shall include a range of assessments, tests, methodologies, practices and tools to be applied in accordance with the provisions of Articles 22 and 23. | 2.デジタル業務レジリエンス試験プログラムは、第22条及び第23条の規定に従って適用される様々な評価、試験、方法論、実践及びツールを含むものとする。 |
| 3.Financial entities shall follow a risk-based approach when conducting the digital operational resilience testing programme referred to in paragraph 1, taking into account the evolving landscape of ICT risks, any specific risks to which the financial entity is or might be exposed, the criticality of information assets and of services provided, as well as any other factor the financial entity deems appropriate. | 3.金融機関は、第1項で言及されたデジタル業務レジリエンス・テストプログラムを実施する際、進化するICTリスクの状況、金融機関がさらされている又はさらされる可能性のあるあらゆる特定のリスク、情報資産及び提供するサービスの重要性、並びに金融機関が適切と考えるその他の要素を考慮し、リスクに応じたアプローチに従わなければならない。 |
| 4.Financial entities shall ensure that tests are undertaken by independent parties, whether internal or external. | 4.金融機関は、内部・外部を問わず、独立した第三者によるテストが実施されることを確保しなければならない。 |
| 5.Financial entities shall establish procedures and policies to prioritise, classify and remedy all issues acknowledged throughout the performance of the tests and shall establish internal validation methodologies to ascertain that all identified weaknesses, deficiencies or gaps are fully addressed. | 5.金融機関は、テストの実施を通じて認識されたすべての問題に優先順位をつけ、分類し、是正するための手続及び方針を確立しなければならず、また、識別されたすべての弱点、欠陥又はギャップが完全に対処されていることを確認するための内部検証方法を確立しなければならない。 |
| 6.Financial entities shall test all critical ICT systems and applications at least yearly. | 6.金融機関は、すべての重要なICTシステム及びアプリケーションを少なくとも年1回テストしなければならない。 |
| Article 22 | 第22条 |
| Testing of ICT tools and systems | ICTツール及びシステムのテスト |
| 1.The digital operational resilience testing programme referred to in Article 21 shall provide for the execution of a full range of appropriate tests, including vulnerability assessments and scans, open source analyses, network security assessments, gap analyses, physical security reviews, questionnaires and scanning software solutions, source code reviews where feasible, scenario-based tests, compatibility testing, performance testing, end-to-end testing or penetration testing. | 1.第21条で言及されたデジタル運用レジリエンスのテストプログラムは、脆弱性評価及びスキャン、オープンソース分析、ネットワークセキュリティ評価、ギャップ分析、物理セキュリティレビュー、アンケート及びスキャンソフトウェアソリューション、実行可能な場合にはソースコードレビュー、シナリオベースのテスト、互換性テスト、パフォーマンステスト、エンドツーエンドテスト又は侵入テストを含む、適切なテストの全ての範囲の実行を提供しなければならない。 |
| 2.Financial entities referred to in points (f) and (g) of Article 2(1) shall perform vulnerability assessments before any deployment or redeployment of new or existing services supporting the critical functions, applications and infrastructure components of the financial entity. | 2.第2条第1項の(f)及び(g)に言及された金融機関は、金融機関の重要な機能、アプリケーション及びインフラの構成要素をサポートする新規又は既存のサービスの展開又は再展開の前に、脆弱性評価を実施するものとする。 |
| Article 23 | 第 23 条 |
| Advanced testing of ICT tools, systems and processes based on threat led penetration testing | 脅威主導の侵入テストに基づく、ICTツール、システム及びプロセスの高度なテスト |
| 1.Financial entities identified in accordance with paragraph 4 shall carry out at least every 3 years advanced testing by means of threat led penetration testing. | 1.第4項に従って特定された金融機関は、少なくとも3年毎に、脅威主導の侵入テストによる先進的なテストを実施しなければならない。 |
| 2.Threat led penetration testing shall cover at least the critical functions and services of a financial entity, and shall be performed on live production systems supporting such functions. The precise scope of threat led penetration testing, based on the assessment of critical functions and services, shall be determined by financial entities and shall be validated by the competent authorities. | 2.脅威主導の侵入テストは、少なくとも金融機関の重要な機能及びサービスを対象とし、当該機能をサポートする本番システム上で実施されなければならない。重要な機能及びサービスの評価に基づく脅威主導の侵入テストの正確な範囲は、金融機関が決定し、所轄官庁の検証を受けなければならない。 |
| For the purpose of the first subparagraph, financial entities shall identify all relevant underlying ICT processes, systems and technologies supporting critical functions and services, including functions and services outsourced or contracted to ICT third-party service providers. | 最初のサブパラグラフの目的のために、金融機関は、重要な機能及びサービスを支える全ての関連 する基礎的な ICT プロセス、システム及び技術(ICT サードパーティサービスプロバイダにアウトソーシング又は 契約された機能及びサービスを含む)を特定しなければならない。 |
| Where ICT third-party service providers are included in the remit of the threat led penetration testing, the financial entity shall take the necessary measures to ensure the participation of these providers. | ICT サードパーティサービスプロバイダが脅威主導の侵入テストの範囲に含まれる場合、金融機 関は、これらのプロバイダの参加を確保するために必要な措置を講じなければならない。 |
| Financial entities shall apply effective risk management controls to reduce the risks of any potential impact to data, damage to assets and disruption to critical services or operations at the financial entity itself, its counterparties or to the financial sector. | 金融機関は、金融機関自身、取引先又は金融セクターにおけるデータへの潜在的な影響、資産への 損害及び重要なサービスや業務の中断のリスクを低減するために、効果的なリスクマネジメント を適用しなければならない。 |
| At the end of the test, after reports and remediation plans have been agreed, the financial entity and the external testers shall provide to the competent authority the documentation confirming that the threat led penetration testing has been conducted in accordance with the requirements. Competent authorities shall validate the documentation and issue an attestation. | テスト終了時、報告書及び修正計画が合意された後、金融機関及び外部テスト担当者は、脅威を導 く侵入テストが要求事項に従って実施されたことを確認する文書を所轄官庁に提出しなければなら ない。所轄官庁は、その文書を検証し、証明書を発行するものとする。 |
| 3.Financial entities shall contract testers in accordance with Article 24 for the purposes of undertaking threat led penetration testing. | 3.金融機関は、脅威主導の侵入テストを実施するために、第24条に従ってテスターと契約しなければならない。 |
| Competent authorities shall identify financial entities to perform threat led penetration testing in a manner that is proportionate to the size, scale, activity and overall risk profile of the financial entity, based on the assessment of the following: | 所轄官庁は、以下の評価に基づき、金融機関のサイズ、規模、活動及び全体的なリスクプロファイルに見合った方法で、脅威主導の侵入テストを実施する金融機関を特定しなければならない。 |
| (a)impact-related factors, in particular the criticality of services provided and activities undertaken by the financial entity; | (a)影響に関する要因、特に金融機関が提供するサービス及び行う活動の重要性。 |
| (b)possible financial stability concerns, including the systemic character of the financial entity at national or Union level, as appropriate; | (b)適切な場合、国又は連合レベルでの金融機関のシステミックな性格を含む、金融安定化への懸念の可能性。 |
| (c)specific ICT risk profile, level of ICT maturity of the financial entity or technology features which are involved. | (c)特定の ICT リスクプロファイル、金融機関の ICT 成熟度、又は関与する技術的特徴。 |
| 4.EBA, ESMA and EIOPA shall, after consulting the ECB and taking into account relevant frameworks in the Union which apply to intelligence-based penetration tests, develop draft regulatory technical standards to specify further: | 4.EBA、ESMA及びEIOPAは、ECBと協議の上、また、情報侵入テストに適用されるEU内の関連する枠組みを考慮し、さらに規定するための技術基準草案を作成する。 |
| (a)the criteria used for the purpose of the application of paragraph 6 of this Article; | (a)本条第6項の適用のために使用する基準 |
| (b)the requirements in relation to: | (b)次の事項に関する要件 |
| (i)the scope of threat led penetration testing referred to in paragraph 2 of this Article; | (i)本条第 2 項に規定する脅威主導型侵入試験の範囲。 |
| (ii)the testing methodology and approach to be followed for each specific phase of the testing process; | (ii) 試験プロセスの各段階において従うべき試験方法及びアプローチ。 |
| (iii)the results, closure and remediation stages of the testing; | (iii)試験の結果、終結及び是正の段階。 |
| (c)the type of supervisory cooperation needed for the implementation of threat led penetration testing in the context of financial entities which operate in more than one Member State, to allow an appropriate level of supervisory involvement and a flexible implementation to cater for specificities of financial sub-sectors or local financial markets.. | (c)適切なレベルの監督当局の関与と、金融サブセクターまたは地域の金融市場の特異性に対応するための柔軟な実施を可能にするために、複数の加盟国で活動する金融機関の文脈における脅威主導の侵入テストの実施に必要な監督当局の協力のタイプ。 |
| The ESAs shall submit those draft regulatory technical standards to the Commission by [OJ: insert date 2 months before the date of entry into force]. | ESAは、発効日の2ヶ月前の日付を挿入するまでに、規制技術基準のドラフトを欧州委員会に提出しなければならない。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the regulatory technical standards referred to in the second subparagraph in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 規則(EU) No 1093/2010、(EU) No 1095/2010、(EU) No 1094/2010の第10条から第14条に従い、第2号に言及する規制技術基準を採択してこの規則を補完する権限は、それぞれ委員会に委譲される。 |
| Article 24 | 第24条 |
| Requirements for testers | テスターに対する要求事項 |
| 1.Financial entities shall only use testers for the deployment of threat led penetration testing, which: | 1.金融機関は、脅威主導の侵入テストの展開のために、以下のようなテスターのみを使用しなければならない。 |
| (a)are of the highest suitability and reputability; | (a)最高の適合性と評判を有すること。 |
| (b)possess technical and organisational capabilities and demonstrate specific expertise in threat intelligence, penetration testing or red team testing; | (b) 技術的及び組織的能力を有し、脅威情報、侵入テスト又はレッドチームテストに関する特定の専門性を実証していること。 |
| (c)are certified by an accreditation body in a Member State or adhere to formal codes of conduct or ethical frameworks; | (c) 加盟国の認定機関によって認定されている、又は正式な行動規範若しくは倫理的枠組みを遵守している。 |
| (d)in case of external testers, provide an independent assurance or an audit report in relation to the sound management of risks associated with the execution of threat led penetration testing, including the proper protection of the financial entity’s confidential information and redress for the business risks of the financial entity; | (d)外部テスト実施者の場合、金融機関の機密情報の適切な保護及び金融機関の事業リスクに対する救済を含む脅威主導型侵入テストの実施に関連するリスクの健全なマネジメントに関して、独立した保証又は監査報告書を提供すること。 |
| (e)in case of external testers, are dully and fully covered by relevant professional indemnity insurances, including against risks of misconduct and negligence. | (e)外部のテスト実施者の場合、不正行為及び過失のリスクに対するものを含め、関連する専門職賠償保険に十分かつ完全に加入していること。 |
| 2.Financial entities shall ensure that agreements concluded with external testers require a sound management of the threat led penetration testing results and that any processing thereof, including any generation, draft, store, aggregation, report, communication or destruction, do not create risks to the financial entity. | 2.金融機関は、外部テスターと締結した契約において、脅威が導いた侵入テストの結果を健全に管理し、その生成、草案、保存、集計、報告、伝達又は破棄を含むあらゆる処理が、金融機関にリスクを生じないことを保証しなければならない。 |
| CHAPTER V | 第5章 |
| MANAGING OF ICT THIRD-PARTY RISK | IT部門のサードパーティーリスクのマネジメント |
| SECTION I | 第1節 |
| Key principles for a sound management of ICT third party risk | ICT サードパーティーリスクの健全なマネジメントのための主要原則 |
| Article 25 | 第 25 条 |
| General principles | 一般原則 |
| Financial entities shall manage ICT third-party risk as an integral component of ICT risk within their ICT risk management framework and in accordance with the following principles: | 金融機関は、ICTリスクマネジメントの枠組みの中で、ICT第三者リスクをICTリスクの不可欠な構成要素として、以下の原則に従って管理しなければならない。 |
| 1.Financial entities that have in place contractual arrangements for the use of ICT services to run their business operations shall at all times remain fully responsible for complying with, and the discharge of, all obligations under this Regulation and applicable financial services legislation. | 1.業務を遂行するためにICTサービスを利用する契約上の取決めがある金融機関は、常に、この規則及び適用される金融サービス法に基づく全ての義務の遵守及び履行に完全な責任を負うものとする。 |
| 2.Financial entities’ management of ICT third party risk shall be implemented in light of the principle of proportionality, taking into account: | 2.金融機関による情報通信技術(ICT)関連の第三者リスクのマネジメントは、比例の原則に照らし、考慮の上、実施されなければならない。 |
| (a)the scale, complexity and importance of ICT-related dependencies, | (a)情報通信技術に関連する依存関係の規模、複雑性及び重要性。 |
| (b)the risks arising from contractual arrangements on the use of ICT services concluded with ICT third-party service providers, taking into account the criticality or importance of the respective service, process or function, and to the potential impact on the continuity and quality of financial services and activities, at individual and at group level.. | (b)個々のサービス、プロセス又は機能の重要性及び金融サービスや活動の継続性及び品質に対する潜在的な影響を考慮した、ICTサードパーティサービスプロバイダと締結したICTサービスの利用に関する契約上の取り決めから生じるリスク、個別及びグループレベル |
| 3.As part of their ICT risk management framework, financial entities shall adopt and regularly review a strategy on ICT third-party risk, taking into account the multi-vendor strategy referred to in point (g) of Article 5(9). That strategy shall include a policy on the use of ICT services provided by ICT third-party service providers and shall apply on an individual and, as relevant, on a sub-consolidated and consolidated basis. The management body shall regularly review the risks identified in respect of outsourcing of critical or important functions. | 3.金融機関は、ICTリスクマネジメントの枠組みの一部として、第5条9項の(g)に言及されたマルチベンダー戦略を考慮に入れ、ICT第三者リスクに関する戦略を採用し、定期的に見直すものとする。当該戦略は、ICT第三者サービス・プロバイダーによって提供されるICTサービスの利用に関する方針を含むものとし、個別及び関連する場合には、サブ連結及び連結ベースで適用されるものとする。マネジメント機関は、重要な機能のアウトソーシングに関して特定されたリスクを定期的に見直すものとする。 |
| 4.As part of their ICT risk management framework, financial entities shall maintain and update at entity level and, at sub-consolidated and consolidated levels, a Register of Information in relation to all contractual arrangements on the use of ICT services provided by ICT third-party service providers. | 4.ICTリスクマネジメントの枠組みの一部として、金融機関は、第三者サービスプロバイダーによって提供されるICTサービスの利用に関する全ての契約上の取決めに関する情報登録簿を、企業レベル及びサブ連結・連結レベルで維持・更新しなければならない。 |
| The contractual arrangements referred to in the first subparagraph shall be appropriately documented, distinguishing between those that cover critical or important functions and those that do not. | 第1号で言及された契約上の取決めは、重要な機能をカバーするものとそうでないものを区別し、適切に文書化されなければならない。 |
| Financial entities shall report at least yearly to the competent authorities information on the number of new arrangements on the use of ICT services, the categories of ICT third-party service providers, the type of contractual arrangements and the services and functions which are being provided. | 金融機関は、ICTサービスの使用に関する新たな取り決めの数、ICT第三者サービス・プロバイダーのカテゴリー、契約上の取り決めのタイプ、提供されているサービス及び機能に関する情報を少なくとも年1回、所轄官庁に報告しなければならない。 |
| Financial entities shall make available to the competent authority, upon request, the full Register of Information or as requested, specified sections thereof, along with any information deemed necessary to enable the effective supervision of the financial entity. | 金融機関は、要請に応じて、金融機関の効果的な監督を可能にするために必要と考えられる情報とともに、情報登録簿の全部又は要請に応じてその特定部分を所轄官庁に提供しなければならない。 |
| Financial entities shall inform the competent authority in a timely manner about planned contracting of critical or important functions and when a function has become critical or important. | 金融機関は、重要な機能の契約締結の計画について、また、ある機能が重要なものとなった場合には、適時に主務官庁に報告しなければならない。 |
| 5.Before entering into a contractual arrangement on the use of ICT services, financial entities shall: | 5.ICTサービスの利用に関する契約上の取決めを行う前に、金融機関は以下のことを行わなければならない。 |
| (a)assess whether the contractual arrangement covers a critical or important function; | (a)契約上の取決めが、重要な機能を対象としているかどうかを評価する。 |
| (b)assess if supervisory conditions for contracting are met; | (b)契約締結のための監督上の条件が満たされているかどうかを評価する。 |
| (c)identify and assess all relevant risks in relation to the contractual arrangement, including the possibility that such contractual arrangements may contribute to reinforcing ICT concentration risk; | (c)当該契約上の取決めがICT集中リスクの強化に寄与する可能性を含む、契約上の取決めに関連する全てのリスクを識別し評価する。 |
| (d)undertake all due diligence on prospective ICT third-party service providers and ensure throughout the selection and assessment processes that the ICT third-party service provider is suitable; | (d)見込みのあるICT第三者サービス提供者についてあらゆるデューディリジェンスを行い、ICT第三者サービス提供者が適切であることを選定及び評価プロセス全体を通じて確保すること。 |
| (e)identify and assess conflicts of interest that the contractual arrangement may cause. | (e)契約上の取り決めが引き起こすかもしれない利益相反を特定し評価する。 |
| 6.Financial entities may only enter into contractual arrangements with ICT third-party service providers that comply with high, appropriate and the latest information security standards. | 6.金融機関は、高度で適切な最新の情報セキュリティ基準に準拠するICT第三者サービス・プロ バイダーとのみ契約上の取決めを行うことができる。 |
| 7.In exercising access, inspection and audit rights over the ICT third-party service provider, financial entities shall on a risk-based approach pre-determine the frequency of audits and inspections and the areas to be audited through adhering to commonly accepted audit standards in line with any supervisory instruction on the use and incorporation of such audit standards. | 7.金融機関は、ICT第三者サービスプロバイダに対するアクセス、検査及び監査の権利を行使 するにあたり、リスクに応じたアプローチで、一般に認められた監査基準を遵守し、監査及び 検査の頻度と監査される分野を、当該監査基準の使用及び組み込みに関するあらゆる監督上の指 示に従って予め決定しておかなければならない。 |
| For contractual arrangements that entail a high level of technological complexity, the financial entity shall verify that auditors, whether internal, pools of auditors or external auditors possess appropriate skills and knowledge to effectively perform relevant audits and assessments. | 高度な技術的複雑性を伴う契約上の取決めについては、金融機関は、内部監査人、監査役 員会又は外部監査人が、関連する監査及び評価を効果的に実施するための適切な技能及び知識 を有していることを検証しなければならない。 |
| 8.Financial entities shall ensure that contractual arrangements on the use of ICT services are terminated at least under the following circumstances: | 8.金融機関は、ICTサービスの利用に関する契約上の取決めが、少なくとも以下の状況下で終了することを確保しなければならない。 |
| (a)breach by the ICT third-party service provider of applicable laws, regulations or contractual terms; | (a)ICTの第三者サービス提供者による適用法、規制又は契約条件の違反。 |
| (b)circumstances identified throughout the monitoring of ICT third-party risk which are deemed capable of altering the performance of the functions provided through the contractual arrangement, including material changes that affect the arrangement or the situation of the ICT third-party service provider; | (b)ICT第三者のリスクの監視を通じて特定された、契約上の取決め又はICT第三者のサービス提供者の状況に影響を与える重大な変化を含む、契約上の取決めを通じて提供される機能の履行を変更することができると考えられる状況。 |
| (c)ICT third-party service provider’s evidenced weaknesses in its overall ICT risk management and in particular in the way it ensures the security and integrity of confidential, personal or otherwise sensitive data or non-personal information; | (c)ICT第三者サービス提供者のICTリスクマネジメント全般、特に機密、個人情報又はその他の機密データ若しくは非個人情報のセキュリティ及び完全性を確保する方法における弱さが証明された場合。 |
| (d)circumstances where the competent authority can no longer effectively supervise the financial entity as a result of the respective contractual arrangement. | (d)それぞれの契約上の取決めの結果、管轄当局が金融機関を効果的に監督することができなくなった状況 |
| 9.Financial entities shall put in place exit strategies in order to take into account risks that may emerge at the level of ICT third-party service provider, in particular a possible failure of the latter, a deterioration of the quality of the functions provided, any business disruption due to inappropriate or failed provision of services or material risk arising in relation to the appropriate and continuous deployment of the function. | 9.金融機関は、ICTの第三者サービスプロバイダのレベルで発生し得るリスク、特にICTの失敗の可能性、提供する機能の質の低下、サービスの不適切又は失敗による事業の中断、又は機能の適切かつ継続的な展開に関連して生じる重大なリスクを考慮し、出口戦略を導入するものとする。 |
| Financial entities shall ensure that they are able to exit contractual arrangements without: | 金融機関は、以下のことを行わずに契約上の取決めを終了することができることを確保しなければならない。 |
| (a)disruption to their business activities, | (a)事業活動に支障をきたすこと。 |
| (b)limiting compliance with regulatory requirements, | (b)規制上の要求事項の遵守を制限すること。 |
| (c)detriment to the continuity and quality of their provision of services to clients. | (c)顧客へのサービス提供の継続性及び質を損なうことなく、契約上の取決めを終了できることを確 実にしなければならない。 |
| Exit plans shall be comprehensive, documented and, where appropriate, sufficiently tested. | 出口計画は、包括的で、文書化され、かつ、適切な場合には十分にテストされなければならな い。 |
| Financial entities shall identify alternative solutions and develop transition plans enabling them to remove the contracted functions and the relevant data from the ICT third-party service provider and securely and integrally transfer them to alternative providers or reincorporate them in-house. | 金融機関は、代替策を特定し、契約した機能及び関連データを第三者サービスプロバイダか ら取り除き、安全かつ統合的に代替プロバイダに移管するか、社内に再組込みすることを可能に する移行計画を策定しなければならない。 |
| Financial entities shall take appropriate contingency measures to maintain business continuity under all of the circumstances referred to in the first subparagraph. | 金融機関は、最初のサブパラグラフで言及された全ての状況下で事業継続を維持するために、適切なコンティンジェンシー対策を講じなければならない。 |
| 10.The ESAs shall, through the Joint Committee, develop draft implementing technical standards to establish the standard templates for the purposes of the Register of Information referred to in paragraph 4. | 10.ESAは、合同委員会を通じて、第4項で言及された情報登録のための標準的なテンプレートを確立するための実施技術基準のドラフトを作成しなければならない。 |
| The ESAs shall submit those draft implementing technical standards to the Commission by [OJ: insert date 1 year after the date of entry into force of this Regulation]. | ESAは、この規則の発効日から1年後の日付(OJ: insert date after the date of entry into force of this regulation)までに、実施技術基準のドラフトを欧州委員会に提出しなければならない。 |
| Power is conferred on the Commission to adopt the implementing technical standards referred to in the first subparagraph in accordance with Article 15 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 欧州委員会は、規則(EU) No 1093/2010、(EU) No 1095/2010、(EU) No 1094/2010の第15条に従って、第1パラグラフで言及されている実施技術基準を採択する権限をそれぞれ有する。 |
| 11.The ESAs shall, through the Joint Committee, develop draft regulatory standards: | 11.ESAは、合同委員会を通じて、規制基準のドラフトを作成するものとする。 |
| (a)to further specify the detailed content of the policy referred to in paragraph 3 in relation to the contractual arrangements on the use of ICT services provided by ICT third-party service providers, by reference to the main phases of the lifecycle of the respective arrangements on the use of ICT services; | (a)ICTサードパーティサービスプロバイダが提供するICTサービスの利用に関する契約上の取り決めについて、ICTサービスの利用に関するそれぞれの取り決めのライフサイクルの主要な段階を参照して、第3項で言及した方針の詳細内容をさらに規定すること。 |
| (b)the types of information to be included in the Register of Information referred to in paragraph 4. | (b)パラグラフ 4 で言及された情報登録簿に含まれるべき情報のタイプ。 |
| The ESAs shall submit those draft regulatory technical standards to the Commission by [PO: insert date 1 year after the date of entry into force]. | ESAは、発効日から1年後の日付を挿入する)までに、規制技術基準のドラフトを欧州委員会に提出しなければならない。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the regulatory technical standards referred to in the second subparagraph in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 規則(EU) No 1093/2010、(EU) No 1095/2010、(EU) No 1094/2010の第10条から第14条に従い、第2号に言及する規制技術基準を採択してこの規則を補完する権限は、それぞれ委員会に委譲される。 |
| Article 26 | 第26条 |
| Preliminary assessment of ICT concentration risk and further sub-outsourcing arrangements | ICT集中リスクとさらなるサブアウトソーシングの取り決めに関する予備的評価 |
| 1.When performing the identification and assessment of ICT concentration risk referred to in point (c) of Article 25(5), financial entities shall take into account whether the conclusion of a contractual arrangement in relation to the ICT services would lead to any of the following: | 1.第25条(5)の(c)に言及するICT集中リスクの識別及び評価を行う場合、金融機関は、ICTサービスに関する契約上の取決めの締結が以下のいずれかにつながるかどうかを考慮するものとする。 |
| (a)contracting with an ICT third-party service provider which is not easily substitutable; or | (a)代替が容易でないICT第三者サービス提供者と契約していること。 |
| (b)having in place multiple contractual arrangements in relation to the provision of ICT services with the same ICT third-party service provider or with closely connected ICT third-party service providers. | (b) ICTサービスの提供に関連して、同一のICT第三者サービス提供者又は密接に関連するICT第三者サービス提供者との間で複数の契約上の取決めを行うこと。 |
| Financial entities shall weigh the benefits and costs of alternative solutions, such as the use of different ICT third-party service providers, taking into account if and how envisaged solutions match the business needs and objectives set out in their digital resilience strategy. | 金融機関は、想定される解決策がデジタル・レジリエンス戦略で定められたビジネス・ ニーズ及び目的に合致するかどうか、及びどのように合致するかを考慮し、異なる ICT サードパーティ・サービス・プロバイダーの使用などの代替的解決策の利益とコストを検討しなければならな い。 |
| 2.Where the contractual arrangement on the use of ICT services includes the possibility that an ICT third-party service provider further sub-contracts a critical or important function to other ICT third-party service providers, financial entities shall weigh benefits and risks that may arise in connection with such possible sub-contracting, in particular in the case of an ICT sub-contractor established in a third-country. | 2.ICTサービスの使用に関する契約上の取り決めが、ICT第三者サービスプロバイダが他のICT第三者サービスプロバイダに重要な又は重要な機能を更に再委託する可能性を含む場合、金融機関は、特に第三国に設立されたICT下請け業者の場合、当該可能な再委託と関連して生じ得る利益とリスクを検討するものとする。 |
| Where contractual arrangements on the use of ICT services are concluded with an ICT third-party service provider established in a third-country, financial entities shall consider relevant, at least the following factors: | ICTサービスの利用に関する契約上の取り決めが、第三国に設立されたICT第三者サービス・プロバイダーと締結される場合、金融機関は、少なくとも以下の要素について関連性を考慮しなければならない。 |
| (a)the respect of data protection; | (a)データ保護の尊重 |
| (b)the effective enforcement of the law; | (b)法律の効果的な執行 |
| (c)insolvency law provisions that would apply in the event of the ICT-third party service provider’s bankruptcy; | (c)ICT第三者サービス提供者が破産した場合に適用される破産法の規定。 |
| (d)any constraints that may arise in respect to the urgent recovery of the financial entity’s data. | (d)金融機関のデータの緊急の回収に関して生じるかもしれないあらゆる制約。 |
| Financial entities shall assess whether and how potentially long or complex chains of sub-contracting may impact their ability to fully monitor the contracted functions and the ability of the competent authority to effectively supervise the financial entity in that respect. | 金融機関は、潜在的に長い又は複雑な下請けの連鎖が、契約された機能を完全に監視する能力、及びその点に関して金融機関を効果的に監督する管轄当局の能力に影響を与えるかどうか、またどのように影響を与えるかを評価しなければならない。 |
| Article 27 | 第27条 |
| Key contractual provisions | 主要な契約上の規定 |
| 1.The rights and obligations of the financial entity and of the ICT third-party service provider shall be clearly allocated and set out in a writing. The full contract, which includes the services level agreements, shall be documented in one written document available to the parties on paper or in a downloadable and accessible format. | 1.金融機関及びICT第三者サービスプロバイダの権利と義務は、明確に配分され、文書で定められなければならない。サービスレベル契約を含む完全な契約は、当事者が紙またはダウンロード可能でアクセス可能なフォーマットで利用できる一つの文書で文書化されなければならない。 |
| 2.The contractual arrangements on the use of ICT services shall include at least the following: | 2.ICTサービスの利用に関する契約上の取決めは、少なくとも次のものを含まなければならない。 |
| (a)a clear and complete description of all functions and services to be provided by the ICT third-party service provider, indicating whether sub-contracting of a critical or important function, or material parts thereof, is permitted and, if so, the conditions applying to such sub-contracting; | (a)ICT第三者サービス提供者が提供する全ての機能及びサービスの明確かつ完全な説明。重要な機能又はその重要な部分の下請けが認められているかどうか、認められている場合には、当該下請けに適用される条件を示すこと。 |
| (b)the locations where the contracted or sub-contracted functions and services are to be provided and where data is to be processed, including the storage location, and the requirement for the ICT third-party service provider to notify the financial entity if it envisages changing such locations; | (b)契約又は下請けされた機能及びサービスが提供される場所、並びにデータが処理される場所(保管場所を含む)、及びICT第三者サービス提供者が当該場所の変更を予定している場合には金融機関に通知するための要件。 |
| (c)provisions on accessibility, availability, integrity, security and protection of personal data and on ensuring access, recover and return in an easily accessible format of personal and non-personal data processed by the financial entity in the case of insolvency, resolution or discontinuation of the business operations of the ICT third-party service provider; | (c)個人データへのアクセス性、可用性、完全性、セキュリティ及び保護に関する規定、並びにICT第三者サービス提供者の破産、解決又は業務停止時に金融機関が処理する個人及び非個人データへのアクセス、回復及び容易にアクセスできる形式での返却を確保するための規定。 |
| (d)full service level descriptions, including updates and revisions thereof, and precise quantitative and qualitative performance targets within the agreed service levels to allow an effective monitoring by the financial entity and enable without undue delay appropriate corrective actions when agreed service levels are not met; | (d)金融機関による効果的なモニタリングを可能にし、合意されたサービスレベルが満たされない場合に適切な是正措置を不当に遅延することなく実施できるよう、更新及び修正を含むサービスレベルの詳細な説明、並びに合意されたサービスレベル内の定量的及び定性的パフォーマンス目標。 |
| (e)notice periods and reporting obligations of the ICT third-party service provider to the financial entity, including notification of any development which may have a material impact on the ICT third-party service provider’s ability to effectively carry out critical or important functions in line with agreed service levels; | (e)合意されたサービス水準に沿って重要な又は重要な機能を効果的に遂行する ICT サードパーティサービスプロバイダの能力に重大な影響を与える可能性のある進展の通知を含む、ICT サードパーティサービスプロバイダの金融機関に対する通知期間及び報告義務。 |
| (f)the obligation of the ICT third-party service provider to provide assistance in case of an ICT incident at no additional cost or at a cost that is determined ex-ante; | (f)ICT事故が発生した場合、追加費用なしで、又は事前に決定された費用で、ICT第三者サービス提供者が支援を提供する義務。 |
| (g)requirements for the ICT third-party service provider to implement and test business contingency plans and to have in place ICT security measures, tools and policies which adequately guarantee a secure provision of services by the financial entity in line with its regulatory framework; | (g)ICT第三者サービス提供者が、事業継続計画を実施及びテストし、金融機関によるサービスの安全な提供を適切に保証するICTセキュリティ対策、ツール及び方針を、その規制枠組みに沿った形で実施するための要件。 |
| (h)the right to monitor on an ongoing basis the ICT third-party service provider’s performance, which includes: | (h)ICT第三者サービス提供者のパフォーマンスを継続的に監視する権利。 |
| i)rights of access, inspection and audit by the financial entity or by an appointed third-party, and the right to take copies of relevant documentation, the effective exercise of which is not impeded or limited by other contractual arrangements or implementation policies; | i)金融機関又は任命された第三者によるアクセス、検査及び監査の権利、並びに関連文書のコピーの取 得の権利であって、その有効な行使が他の契約上の取り決め又は実施方針によって妨げられ又は制限されな いもの。 |
| ii)the right to agree alternative assurance levels if other clients’ rights are affected; | ii)他の顧客の権利に影響を与える場合、代替的な保証水準に合意する権利 |
| iii)the commitment to fully cooperate during the onsite inspections performed by the financial entity and details on the scope, modalities and frequency of remote audits; | iii)金融機関が行う実地検査に全面的に協力するというコミットメント、及び、遠隔監査の 範囲、方法及び頻度に関する詳細。 |
| (i)the obligation of the ICT-third party service provider to fully cooperate with the competent authorities and resolution authorities of the financial entity, including persons appointed by them; | (i)ICT第三者サービス提供者が、金融機関の所轄官庁及び破綻処理機関(これらの機関により指名された者を含む)に全面的に協力する義務 |
| (j)termination rights and related minimum notices period for the termination of the contract, in accordance with competent authorities’ expectations; | (j)管轄当局の期待に沿った、契約解除の権利及び関連する最低通知期間 |
| (k)exit strategies, in particular the establishment of a mandatory adequate transition period: | (k)出口戦略、特に義務的で適切な移行期間の設定。 |
| (i)during which the ICT third-party service provider will continue providing the respective functions or services with a view to reduce the risk of disruptions at the financial entity; | (i)その間、ICT の第三者サービスプロバイダは、金融機関の混乱のリスクを軽減する観点か ら、それぞれの機能又はサービスの提供を継続する。 |
| (ii)which allows the financial entity to switch to another ICT third-party service provider or change to on-premises solutions consistent with the complexity of the provided service. | (ii)金融機関が、提供されるサービスの複雑性に応じて、他の ICT サードパーティプロバイダに切り替えたり、オンプレミスのソリューションに変更したりすることを可能にする期間。 |
| 3.When negotiating contractual arrangements, financial entities and ICT third-party service providers shall consider the use of standard contractual clauses developed for specific services. | 3.契約上の取り決めを交渉する際、金融機関及び ICT サードパーティサービスプロバイダは、 特定のサービス用に開発された標準的な契約条項の使用を検討するものとする。 |
| 4.The ESAs shall, through the Joint Committee, develop draft regulatory technical standards to specify further the elements which a financial entity needs to determine and assess when sub-contracting critical or important functions to properly give effect to the provisions of point (a) of paragraph 2. | 4.ESA は、合同委員会を通じて、パラグラフ 2 の(a)の規定を適切に実現するために、 金融機関が重要な機能を外注する際に決定し評価する必要のある要素をさらに規定する ための技術基準案を作成しなければならない。 |
| The ESAs shall submit those draft regulatory technical standards to the Commission by [OJ: insert date 1 year after the date of entry into force]. | ESAは、発効日から1年後の日付を挿入するまでに、これらの規制技術基準のドラフトを欧州委員会に提出しなければならない。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the regulatory technical standards referred to in the first subparagraph in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) No 1094/2010, respectively. | 欧州委員会は、規則(EU)No 1093/2010、(EU)No 1095/2010、(EU)No 1094/2010の第10条から第14条に従い、第1パラグラフで言及されている規制技術基準を採択することにより、この規則を補完する権限を委任されている。 |
| SECTION II | 第2節 |
| Oversight framework of critical ICT third-party service providers | 重要なICT第三者サービスプロバイダの監視の枠組み |
| Article 28 | 第28条 |
| Designation of critical ICT third-party service providers | 重要なICTサードパーティサービスプロバイダの指定 |
| 1.The ESAs, through the Joint Committee and upon recommendation from the Oversight Forum established pursuant to Article 29(1) shall: | 1.ESAは、合同委員会を通じて、また第29条1項に基づき設立された監視フォーラムの勧告に基づき、以下を行うものとする。 |
| (a)designate the ICT third-party service providers that are critical for financial entities, taking into account the criteria specified in paragraph 2; | (a)第2項に定める基準を考慮し、金融機関にとって重要なICTサードパーティサービスプロバイダを指定する。 |
| (b)appoint either EBA, ESMA or EIOPA as Lead Overseer for each critical ICT third-party service provider, depending on whether the total value of assets of financial entities making use of the services of that critical ICT third-party service provider and which are covered by one of the Regulations (EU) No 1093/2010 (EU), No 1094/2010 or (EU) No 1095/2010 respectively, represents more than a half of the value of the total assets of all financial entities making use of the services of the critical ICT third-party service provider, as evidenced by the consolidated balance sheets, or the individual balance sheets where balance sheets are not consolidated, of those financial entities. | (b) 各重要ICT第三者サービス事業者について、当該重要ICT第三者サービス事業者のサービスを利用する金融機関の資産総額が、規則(EU) No 1093/2010 (EU) のいずれかに該当するかどうかに応じて、EBA、ESMA又はEIOPAのいずれかを主管官庁として指名すること。1094/2010 または (EU) No 1095/2010 のいずれかが適用される、重要なICT第三者サービスプロバイダのサービスを利用する金融機関の資産総額の半分以上を占め、その金融機関の連結貸借対照表、または貸借対照表を連結しない場合は個別貸借対照表により証明される。 |
| 2.The designation referred to in point (a) of paragraph 1 shall be based on all of the following criteria: | 2.第1項第(a)号に掲げる指定は、以下の基準の全てに基づくものであること。 |
| (a)the systemic impact on the stability, continuity or quality of the provision of financial services in case the relevant ICT third-party provider would face a large scale operational failure to provide its services, taking into account the number of financial entities to which the relevant ICT third-party service provider provides services; | (a)当該ICT第三者がサービスを提供する金融機関の数を考慮し、当該ICT第三者が大規模な業務停止に直面した場合の金融サービスの提供の安定性、継続性又は質に対するシステム上の影響。 |
| (b)the systemic character or importance of the financial entities that rely on the relevant ICT third-party provider, assessed in accordance with the following parameters: | (b)以下のパラメータに従って評価した、関連するICT第三者サービス提供者に依存する金融機関のシステム上の特性又は重要性。 |
| i)the number of global systemically important institutions (G-SIIs) or other systemically important institutions (O-SIIs) that rely on the respective ICT third-party service provider; | i)それぞれのICT第三者サービス提供者に依存するグローバルなシステム上重要な機関 (G-SIIs)又はその他のシステム上重要な機関(O-SIIs)の数。 |
| ii)the interdependence between the G-SIIs or O-SIIs referred to in point (i) and other financial entities including situations where the G-SIIs or O-SIIs provide financial infrastructure services to other financial entities; | ii) (i)で言及された G-SIIs 又は O-SIIs と他の金融機関との相互依存関係(G-SIIs 又は O-SIIs が他の金融機関に金融インフラサービスを提供している状況を含む) (i) で言及された G-SIIs 又は O-SIIs と他の金融機関 |
| (c)the reliance of financial entities on the services provided by the relevant ICT third-party service provider in relation to critical or important functions of financial entities that ultimately involve the same ICT third-party service provider, irrespective of whether financial entities rely on those services directly or indirectly, by means or through subcontracting arrangements; | (c)金融機関が直接的又は間接的に、手段により又は下請け契約を通じて、当該サービスに依存するか否かにかかわらず、最終的に同一のICT第三者サービス提供者が関与する金融機関の重要な機能に関して、当該ICT第三者サービス提供者が提供するサービスに対する金融機関の依存度。 |
| (d)the degree of substitutability of the ICT third-party service provider, taking into account the following parameters: | (d)以下のパラメータを考慮した、ICT第三者サービス提供者の代替可能性の程度。 |
| i)the lack of real alternatives, even partial, due to the limited number of ICT third-party service providers active on a specific market, or the market share of the relevant ICT third-party service provider, or the technical complexity or sophistication involved, including in relation to any proprietary technology, or the specific features of the ICT third-party service provider’s organisation or activity; | i)特定の市場で活動するICT第三者サービス提供者の数が限られていること、関連するICT第三者サービス提供者の市場シェア、独自技術に関連するものを含む技術的複雑さ又は高度さ、ICT第三者サービス提供者の組織又は活動の特定の特徴による、部分的でも真の代替の欠如。 |
| ii)difficulties to partially or fully migrate the relevant data and workloads from the relevant to another ICT third-party service provider, due to either significant financial costs, time or other type of resources that the migration process may entail, or to increased ICT risks or other operational risks to which the financial entity may be exposed through such migration. | ii)移行プロセスに伴う多額の財政的コスト、時間若しくは他のタイプのリソース、又は金融機関が当該移行を通じてさらされる可能性のあるICTリスク若しくは他のオペレーションリスクの増加により、当該データ及びワークロードの一部又は全部を当該ICT第三者サービスプロバイダーから他のICT第三者サービスプロバイダーに移行することが困難である場合。 |
| (e)the number of Member States in which the relevant ICT third-party service provider provides services; | (e)関連するICT第三者サービスプロバイダーがサービスを提供している加盟国の数。 |
| (f)the number of Member States in which financial entities using the relevant ICT third-party service provider are operating. | (f)当該ICT第三者サービス提供者を利用する金融機関が事業を行っている加盟国の数。 |
| 3.The Commission is empowered to adopt delegated acts in accordance with Article 50 to supplement the criteria referred to in paragraph 2. | 3.欧州委員会は、第2項で言及された基準を補足するために、第50条に従って委任行為を採択する権限を有する。 |
| 4.The designation mechanism referred to in point (a) of paragraph 1 shall not be used until the Commission has adopted a delegated act in accordance with paragraph 3. | 4.第1項(a)の指定メカニズムは、欧州委員会が第3項に従って委任行為を採択するまでは使用してはならない。 |
| 5.The designation mechanism referred to in point (a) of paragraph 1 shall not apply in relation to ICT third-party service providers that are subject to oversight frameworks established for the purposes of supporting the tasks referred to in Article 127(2) of the Treaty on the Functioning of the European Union. | 5.第1項(a)で言及された指定メカニズムは、欧州連合の機能に関する条約第127条(2)で言及された業務を支援する目的で設立された監視枠組みの対象となるICT第三者サービスプロバイダーについては適用されないものとする。 |
| 6.The ESAs, through the Joint Committee, shall establish, publish and yearly update the list of critical ICT third-party service providers at Union level. | 6.ESA は、合同委員会を通じて、EU レベルで重要な ICT サードパーティサービスプロバイダ のリストを作成し、公表し、毎年更新するものとする。 |
| 7.For the purposes of point (a) of paragraph 1, competent authorities shall transmit, on a yearly and aggregated basis, the reports referred to in Article 25(4) to the Oversight Forum established pursuant to Article 29. The Oversight Forum shall assess the ICT third-party dependencies of financial entities based on the information received from the competent authorities. | 7.第1項(a)の目的のため、管轄当局は、第25条(4)で言及された報告書を、第29条に従って設立された監視フォーラムに毎年かつ集計ベースで提出するものとする。監視フォーラムは、主務官庁から受領した情報に基づき、金融機関のICT第三者依存度を評価するものとする。 |
| 8.ICT third-party service providers that are not included in the list referred to in paragraph 6 may request to be included in that list. | 8.第6項に言及されたリストに含まれていないICT第三者サービスプロバイダは、当該リストに含まれることを要求することができる。 |
| For the purpose of the first subparagraph, the ICT third-party service provider shall submit a reasoned application to EBA, ESMA or EIOPA, which, through the Joint Committee, shall decide whether to include that ICT third-party service provider in that list in accordance with point (a) of paragraph 1. | 第1号の目的のため、ICT第三者サービス提供者は、EBA、ESMA又はEIOPAに理由ある申請を提出し、EBA、ESMA又はEIOPAは、合同委員会を通じて、第1項の(a)に従って当該ICT第三者サービス提供者を当該リストに含めるかどうかを決定しなければならない。 |
| The decision referred to in the second subparagraph shall be adopted and notified to the ICT third-party service provider within 6 months of receipt of the application. | 第2号に言及された決定は、申請書の受領から6ヶ月以内に採択され、ICT第三者サービス・プロバイダーに通知されるものとする。 |
| 9.Financial entities shall not make use of an ICT third-party service provider established in a third country that would be designated as critical pursuant to point (a) of paragraph 1 if it were established in the Union. | 9.金融機関は、第三国に設立されたICT第三者サービス・プロバイダであって、連合国内に設立された場合に第1項の(a)に従って重要であると指定されるものを利用してはならないものとします。 |
| Article 29 | 第29条 |
| Structure of the Oversight Framework | 監視枠組みの構成 |
| 1.The Joint Committee, in accordance with Article 57 of Regulation (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, shall establish the Oversight Forum as a sub-committee for the purposes of supporting the work of the Joint Committee and the Lead Overseer referred to in point (b) of Article 28(1) in the area of ICT third-party risk across financial sectors. The Oversight Forum shall prepare the draft joint positions and common acts of the Joint Committee in that area. | 1.合同委員会は、規則(EU) No 1093/2010, (EU) No 1094/2010 及び (EU) No 1095/2010 の第57条に従って、金融部門にわたるICT第三者リスクの分野における合同委員会と第28条第1項 (b) に言及する主管庁の作業を支援する目的で、小委員会として監督フォーラムを設立するものとする。監視フォーラムは、当該分野における合同委員会の共同ポジション及び共通行為のドラフトを作成するものとする。 |
| The Oversight Forum shall regularly discuss relevant developments on ICT risks and vulnerabilities and promote a consistent approach in the monitoring of ICT third-party risk at Union scale. | 監視フォーラムは、ICTリスク及び脆弱性に関する関連する開発について定期的に議論し、連合規模でのICTサードパーティリスクの監視における一貫したアプローチを促進するものとする。 |
| 2.The Oversight Forum shall on a yearly basis undertake a collective assessment of the results and findings of Oversight activities conducted for all critical ICT third-party providers and promote coordination measures to increase the digital operational resilience of financial entities, foster best practices on addressing ICT concentration risk and explore mitigants for cross-sector risk transfers. | 2.監視フォーラムは、毎年、すべての重要なICT第三者提供者に対して実施された監視活動の結果と所見について集合的評価を行い、金融機関のデジタル運用の回復力を高め、ICT集中リスクへの対処に関するベストプラクティスを促進し、部門横断的リスク移転の緩和策を探るための協調策を推進するものとする。 |
| The Oversight Forum shall submit comprehensive benchmarks of critical ICT third-party service providers to be adopted by the Joint Committee as joint positions of the ESAs in accordance with Articles 56(1) of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010. | 監視フォーラムは、規則(EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 の56条1項に従って、ESAsの共同見解として合同委員会が採択する重要ICT第三者サービス提供者の包括的ベンチマークを提出しなければならない。 |
| 3.The Oversight Forum shall be composed of the Chairpersons of the ESAs, and one high-level representative from the current staff of the relevant competent authority from each Member State. The Executive Directors of each ESA and one representative from the European Commission, from the ESRB, from ECB and from ENISA shall participate in the Oversight Forum as observers. | 3.The Oversight Forum は、ESA の議長、および各加盟国の関連当局の現役スタッフからなるハイレベルの代表者 1 名で構成されるものとする。各 ESA の理事、欧州委員会、ESRB、ECB、ENISA の代表者各 1 名は、オブザーバーとして監視フォー ラムに参加するものとする。 |
| 4.In accordance with Article 16 of Regulation (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, the ESAs shall issue guidelines on the cooperation between the ESAs and the competent authorities for the purposes of this Section on the detailed procedures and conditions relating to the execution of tasks between competent authorities and the ESAs and details on exchanges of information needed by competent authorities to ensure the follow-up of recommendations addressed by Lead Overseers pursuant to point (d) of Article 31(1) to critical ICT third-party providers. | 4.Regulation (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010 の第 16 条に従い、ESA は、本セクションの目的である ESA と所轄官庁との協力について、所轄官庁と ESA 間の業務遂行に関する詳細な手順と条件、および第 31 条第 1 項の (d) 点に従って主管庁が重要な ICT サードパーティ・プロバイダーに行った勧告に対する所轄官庁によるフォローアップの確認に必要 な情報交換の詳細に関するガイドラインを発行するものとする。 |
| 5.The requirements set out in this Section shall be without prejudice to the application of Directive (EU) 2016/1148 and of other Union rules on oversight applicable to providers of cloud computing services. | 5.本条に定める要件は、指令(EU)2016/1148及びクラウドコンピューティングサービスのプロバイダに適用される監視に関する他の連邦規則の適用を損なうものではないものとする。 |
| 6.The ESAs, through the Joint Committee and based on preparatory work conducted by the Oversight Forum, shall present yearly to the European Parliament, the Council and the Commission a report on the application of this Section. | 6.ESAは、合同委員会を通じて、また監視フォーラムが実施する準備作業に基づいて、欧州議会、理事会及び欧州委員会に対し、本節の適用に関する報告書を毎年提出するものとする。 |
| Article 30 | 第30条 |
| Tasks of the Lead Overseer | 主管庁の任務 |
| 1.The Lead Overseer shall assess whether each critical ICT third-party service provider has in place comprehensive, sound and effective rules, procedures, mechanisms and arrangements to manage the ICT risks which it may pose to financial entities. | 1.主管庁は、重要なICTの第三者サービス提供者が、金融機関にもたらすICTリスクを管理するための包括的で健全かつ効果的な規則、手順、機構及び取決めを有しているかどうかを評価しなければならない。 |
| 2.The assessment referred to in paragraph 1 shall include: | 2.第 1 項で言及された評価は、以下を含むものとする。 |
| (a)ICT requirements to ensure, in particular, the security, availability, continuity, scalability and quality of services which the critical ICT third-party service provider provides to financial entities, as well as the ability to maintain at all times high standards of security, confidentiality and integrity of data; | (a)重要な ICT サービス提供者が金融機関に提供するサービスのセキュリティ、可用性、継続 性、拡張性及び品質、並びにデータのセキュリティ、機密性及び完全性の高水準を常 に維持する能力を特に確保するための ICT 要件は、以下のとおりとする。 |
| (b)the physical security contributing to ensuring the ICT security, including the security of premises, facilities, datacentres; | (b)構内、施設、データセンターのセキュリティを含む、ICTセキュリティの確保に寄与する物理的なセキュリティ。 |
| (c)the risk management processes, including ICT risk management policies, ICT business continuity and ICT disaster recovery plans; | (c)ICTリスクマネジメント方針、ICT事業継続計画及びICT災害復旧計画を含むリスクマネジメントプロセス。 |
| (d)the governance arrangements, including an organisational structure with clear, transparent and consistent lines of responsibility and accountability rules enabling an effective ICT risk management; | (d)効果的なICTリスクマネジメントを可能にする、明確で透明かつ一貫した責任及び説明責任のラインを有する組織構造を含むガバナンスの取り決め。 |
| (e)the identification, monitoring and prompt reporting of ICT-related incidents to the financial entities, the management and resolution of those incidents, in particular cyber-attacks; | (e)金融機関に対する ICT 関連のインシデントの特定、監視及び迅速な報告、それらのインシデント(特にサイバー攻撃)の管理及び解決。 |
| (f)the mechanisms for data portability, application portability and interoperability, which ensure an effective exercise of termination rights by the financial entities; | (f)金融機関による解約権の効果的な行使を確保するための、データポータビリティ、アプリケーションポータビリティ及び相互運用性のためのメカニズム。 |
| (g)the testing of ICT systems, infrastructure and controls; | (g)ICTシステム、インフラ及び統制のテスト。 |
| (h)the ICT audits; | (h)ICTの監査 |
| (i)the use of relevant national and international standards applicable to the provision of its ICT services to the financial entities. | (i) 金融機関への ICT サービスの提供に適用される、関連する国内及び国際基準の使用。 |
| 3.Based on the assessment referred to in paragraph 1, the Lead Overseer shall adopt a clear, detailed and reasoned individual Oversight plan for each critical ICT third-party service provider. That plan shall be communicated each year to the critical ICT third-party service provider. | 3.1 項で言及された評価に基づき、主管庁は、重要な ICT の第三者サービスプロバイダーごとに、 明確、詳細かつ合理的な個別の監視計画を採用するものとする。その計画は、毎年、重要なICT第三者サービス提供者に通知されなければならない。 |
| 4.Once the annual Oversight plans referred to in paragraph 3 have been agreed and notified to the critical ICT third-party service providers, competent authorities may only take measures concerning critical ICT third-party service providers in agreement with the Lead Overseer. | 4.第3項の年次監督計画が合意され、重要なICT第三者サービス提供者に通知された後、主管庁は、主管庁の合意により、重要なICT第三者サービス提供者に関する措置のみを講じることができる。 |
| Article 31 | 第31条 |
| Powers of the Lead Overseer | 主管庁の権限 |
| 1.For the purposes of carrying out the duties laid down in this Section, the Lead Overseer shall have the following powers: | 1.本条に定める任務を遂行するため、主管庁は以下の権限を有するものとする。 |
| (a)to request all relevant information and documentation in accordance with Article 32; | (a) 第 32 条に基づき、すべての関連する情報及び文書を要求すること。 |
| (b)to conduct general investigations and inspections in accordance with Articles 33 and 34; | (b) 第33条及び第34条に基づき、一般的な調査及び検査を行うこと。 |
| (c)to request reports after the completion of the Oversight activities specifying the actions which have been taken or the remedies which have been implemented by the critical ICT third-party providers in relation to the recommendations referred to in point (d) of this paragraph; | (c)監視活動終了後、本項(d)の勧告に関連して重要なICTの第三者提供者が実施した措置又は改善策を明記した報告を要求すること。 |
| (d)to address recommendations on the areas referred to in Article 30(2), in particular concerning the following: | (d)第30条第2項に規定する分野、特に、次に掲げる事項に関する勧告に対処すること。 |
| (i)the use of specific ICT security and quality requirements or processes, notably in relation to the roll-out of patches, updates, encryption and other security measures which the Lead Overseer deems relevant for ensuring the ICT security of services provided to financial entities; | (i)特定の ICT セキュリティ及び品質要件又はプロセスの使用、特に、パッチ、更新、 暗号化及びその他のセキュリティ対策の展開に関連して、金融機関に提供するサービスの ICT セキュリティを確保するために主管庁が適切と考えるもの。 |
| (ii)the use of conditions and terms, including their technical implementation, under which the critical ICT third-party service providers provide services to financial entities, which the Lead Overseer deems relevant for preventing the generation of single points of failure, or the amplification thereof, or for minimising possible systemic impact across the Union’s financial sector in case of ICT concentration risk; | (ii) 重要な ICT の第三者サービスプロバイダが金融機関にサービスを提供する際に、単一 障害点の発生又はその拡大を防止するため、又は ICT 集中リスクの場合に連合の金融部門に 及ぼしうるシステミックな影響を最小化するために関連すると主管庁が考える、技術的な 実施を含む条件及び条項を使用すること。 |
| (iii)upon the examination undertaken in accordance with Articles 32 and 33 of subcontracting arrangements, including sub-outsourcing arrangements which the critical ICT third-party service providers plan to undertake with other ICT third-party service providers or with ICT sub-contractors established in a third country, any planned subcontracting, including sub-outsourcing, where the Lead Overseer deems that further subcontracting may trigger risks for the provision of services by the financial entity, or risks to the financial stability; | (iii) 重要なICT第三者が他のICT第三者又は第三国に設立されたICT下請け業者と行う予定の再委託を含む再委託の取り決めについて第32条及び第33条に従って行われる審査において、再委託を行うことにより金融機関によるサービスの提供に対するリスク又は金融安定に対するリスクが生じる可能性があると主管庁が判断した場合には、再委託を含むあらゆる予定された再委託。 |
| (iv)refraining from entering into a further subcontracting arrangement, where the following cumulative conditions are met: | (iv)以下の累積的な条件を満たす場合、更なる下請け契約の締結を控えること。 |
| –the envisaged sub-contractor is an ICT third-party service provider or an ICT sub-contractor established in a third country; | ・想定される下請け業者が,第三国に設立されたICT第三者サービスプロバイダ又はICT下請け業者であること。 |
| –the subcontracting concerns a critical or important function of the financial entity. | ・下請けは,金融機関の重要な機能に関係する。 |
| 2.The Lead Overseer shall consult the Oversight Forum before exercising the powers referred to in paragraph 1. | 2.リード・オーバーザーは、パラグラフ1に言及された権限を行使する前に、オーバーサイト・フォーラムに相談するものとします。 |
| 3.Critical ICT third-party service providers shall cooperate in good faith with the Lead Overseer and assist the Lead Overseer in the fulfilment of its tasks. | 3.重要な ICT の第三者サービス提供者は、主管庁と誠実に協力し、主管庁の職務の遂行を支援するものとする。 |
| 4.The Lead Overseer may impose a periodic penalty payment to compel the critical ICT third-party service provider to comply with points (a), (b) and (c) of paragraph 1. | 4.主管庁は、重要ICTサービス事業者に対し、第1項(a)、(b)及び(c)を遵守させるために定期的な違約金を課すことができる。 |
| 5.The periodic penalty payment referred to in paragraph 4 shall be imposed on a daily basis until compliance is achieved and for no more than a period of six months following the notification to the critical ICT third-party service provider. | 5.第4項の定期的な違約金の支払いは、遵守が達成されるまで日割りで行われ、重要なICT第三者サービス提供者への通知後6ヶ月を超えない期間とする。 |
| 6.The amount of the periodic penalty payment, calculated from the date stipulated in the decision imposing the periodic penalty payment, shall be 1% of the average daily worldwide turnover of the critical ICT third-party service provider in the preceding business year. | 6.定期的な違約金の額は、定期的な違約金を課す決定で定められた日から計算し、前事業年度における重要なICT第三者サービス提供者の1日の平均売上高の1%とする。 |
| 7.Penalty payments shall be of an administrative nature and shall be enforceable. Enforcement shall be governed by the rules of civil procedure in force in the Member State on the territory of which inspections and access shall be carried out. Courts of the Member State concerned shall have jurisdiction over complaints related to irregular conduct of enforcement. The amounts of the penalty payments shall be allocated to the general budget of the European Union. | 7.違約金の支払いは行政的なものであり、強制執行が可能であるものとします。強制執行は、検査およびアクセスが実施される加盟国の領域で有効な民事訴訟規則によって支配されるものとする。執行の不正行為に関する苦情は、当該加盟国の裁判所が管轄権を有するものとする。ペナルティーの支払額は、欧州連合の一般予算に割り当てられるものとする。 |
| 8.The ESAs shall disclose to the public every periodic penalty payment that has been imposed, unless such disclosure to the public would seriously jeopardise the financial markets or cause disproportionate damage to the parties involved. | 8.ESAは、課されたすべての定期的なペナルティーの支払いを公開する。ただし、公開することで金融市場が著しく損なわれる、あるいは関係者に不釣り合いな損害を与える場合は、この限りではない。 |
| 9.Before imposing a periodic penalty payment under paragraph 4, the Lead Overseer shall give the representatives of the critical ICT third-party provider subject to the proceedings the opportunity to be heard on the findings and shall base its decisions only on findings on which the critical ICT third-party provider subject to the proceedings has had an opportunity to comment. The rights of the defence of the persons subject to the proceedings shall be fully respected in the proceedings. They shall be entitled to have access to file, subject to the legitimate interest of other persons in the protection of their business secrets. The right of access to the file shall not extend to confidential information or Lead Overseer’s internal preparatory documents. | 9.主管庁は、第4項に基づき定期的な違約金の支払いを課す前に、手続の対象となる重要な ICT サードパーティ事業者の代表者に調査結果について意見を聞く機会を与え、手続の対象となる重要な ICT サードパーティ事業者が意見を述べる機会を得た調査結果にのみ基づいて決定を行うものとします。 手続の対象となる者の防御の権利は、手続において完全に尊重されるものとする。彼らは、自己の営業秘密の保護に関する他の者の正当な利益に従い、ファイルにアクセスする権利を有するものとする。ファイルへのアクセス権は,機密情報又はリード・オーバサーの内部準備文書には及ばないものとする。 |
| Article 32 | 第32条 |
| Request for information | 情報提供の要請 |
| 1.The Lead Overseer may by simple request or by decision require the critical ICT third-party providers to provide all information that is necessary for the Lead Overseer to carry out its duties under this Regulation, including all relevant business or operational documents, contracts, policies documentation, ICT security audit reports, ICT-related incident reports, as well as any information relating to parties to whom the critical ICT third-party provider has outsourced operational functions or activities. | 1.主管者は、単純な要求又は決定により、重要なICTの第三者提供者に対し、全ての関連する事業又は運営文書、契約、方針文書、ICTセキュリティ監査報告、ICT関連事故報告、及び重要なICT第三者提供者が運営機能又は活動を委託している当事者に関する情報等、主管者が本規則に基づく義務を遂行するために必要とする全ての情報の提供を要求できるものとします。 |
| 2.When sending a simple request for information under paragraph 1, the Lead Overseer shall: | 2.第1項に基づく簡易な情報提供の要請を行う場合、主管庁は、以下の事項を行うものとする。 |
| (a)refer to this Article as the legal basis of the request; | (a) 要求の法的根拠として、本条に言及すること。 |
| (b)state the purpose of the request; | (b)要求の目的を述べる。 |
| (c)specify what information is required; | (c) どのような情報が必要であるかを明示すること。 |
| (d)set a time limit within which the information is to be provided; | (d)情報を提供する期限を定めること。 |
| (e)inform the representative of the critical ICT third-party service provider from whom the information is requested that he or she is not obliged to provide the information, but that in case of a voluntary reply to the request the information provided must not be incorrect or misleading. | (e)情報を要求された重要なICT第三者サービス提供者の代表者に、情報を提供する義務はないが、要求に対して自発的に回答する場合、提供する情報は不正確または誤解を招くものであってはならないことを通知すること。 |
| 3.When requiring to supply information under paragraph 1, the Lead Overseer shall: | 3.主管庁は、第1項の規定による情報の提供を要求する場合、次のとおりとする。 |
| (a)refer to this Article as the legal basis of the request; | (a) 要求の法的根拠として、本条に言及すること。 |
| (b)state the purpose of the request; | (b) 要求の目的を述べる。 |
| (c)specify what information is required; | (c) どのような情報が必要であるかを明示すること。 |
| (d)set a time limit within which the information is to be provided; | (d) 当該情報を提供すべき期限を定めること。 |
| (e)indicate the periodic penalty payments provided for in Article 31(4) where the production of the required information is incomplete; | (e)要求された情報の作成が不完全である場合、第31条第4項に規定する定期的な違約金の支払いを示すこと。 |
| (f)indicate the right to appeal the decision before ESA’s Board of Appeal and to have the decision reviewed by the Court of Justice of the European Union (‘Court of Justice’) in accordance with Articles 60 and 61 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010 respectively. | (f)Regulation (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 の第60条と61条に従って、ESAのBoard of Appealに対して決定を上訴する権利と欧州連合司法裁判所(「司法裁判所」)に対して決定の見直しを要求する権利を示していること。 |
| 4.Representatives of critical ICT third-party service providers shall supply the information requested. Lawyers duly authorised to act may supply the information on behalf of their clients. The critical ICT third-party service provider shall remain fully responsible if the information supplied is incomplete, incorrect or misleading. | 4.重要なICT第三者サービス提供者の代表者は、要求された情報を提供するものとします。正式に活動する権限を与えられた弁護士は、クライアントに代わって情報を提供することができる。提供された情報が不完全、不正確又は誤解を招くものであった場合、重要な情報通信技術を有する第三者サービス提供者は、全責任を負うものとします。 |
| 5.The Lead Overseer shall, without delay, send a copy of the decision to supply information to the competent authorities of the financial entities using the critical ICT third-party providers’ services. | 5.主管庁は、遅滞なく、情報提供の決定の写しを、重要なICT第三者のサービスを利用する金融機関の所轄官庁に送付するものとする。 |
| Article 33 | 第 33 条 |
| General investigations | 一般的な調査 |
| 1.In order to carry out its duties under this Regulation, the Lead Overseer, assisted by the examination team referred to in Article 34(1), may conduct the necessary investigations of ICT third-party service providers: | 1.主管庁は、本規則に基づく職務を遂行するため、第34条第1項の審査チームの支援を受け、ICT第三者サービス事業者に対し、必要な調査を行うことができる。 |
| 2.The Lead Overseer shall be empowered to: | 2.主管庁は、以下の権限を有するものとする。 |
| (a)examine records, data, procedures and any other material relevant to the execution of its tasks, irrespective of the medium on which they are stored; | (a) 記録、データ、手順及びその他業務の遂行に関連する資料を、それらが保存されている媒体の如何にかかわらず、調査すること。 |
| (b)take or obtain certified copies of, or extracts from, such records, data, procedures and other material; | (b) 当該記録、データ、手順及びその他の資料の認証されたコピーを取り、又はそれらの抜粋を入手すること。 |
| (c)summon representatives of the ICT third-party service provider for oral or written explanations on facts or documents relating to the subject matter and purpose of the investigation and to record the answers; | (c)ICT第三者サービス提供者の代表者を召喚し、調査の主題及び目的に関連する事実又は文書について口頭又は書面による説明を求め、その回答を記録すること。 |
| (d)interview any other natural or legal person who consents to be interviewed for the purpose of collecting information relating to the subject matter of an investigation; | (d)調査の主題に関連する情報を収集する目的で、インタビューに同意するその他の自然人または法人にインタビューすること。 |
| (e)request records of telephone and data traffic. | (e)電話及びデータ通信の記録を要求すること。 |
| 3.The officials and other persons authorised by the Lead Overseer for the purposes of the investigation referred to in paragraph 1 shall exercise their powers upon production of a written authorisation specifying the subject matter and purpose of the investigation. | 3.第1項の調査のために主任監督者から権限を与えられた職員及びその他の者は、調査の主題及び目的を明記した書面による許可証を提出することにより、その権限を行使するものとする。 |
| That authorisation shall also indicate the periodic penalty payments provided for in Article 31(4) where the production of the required records, data, procedures or any other material, or the answers to questions asked to representatives of the ICT third -party service provider are not provided or are incomplete. | 当該許可は,要求された記録,データ,手順その他の資料の作成又は ICT 第 三者サービス提供者の代表者に対する質問に対する回答が提供されないか又は不完全である場合に第 31 条第 4 項に規定する定期的な違約金の支払いも示さなければならない。 |
| 4.The representatives of the ICT third-party service providers are required to submit to the investigations on the basis of a decision of the Lead Overseer. The decision shall specify the subject matter and purpose of the investigation, the periodic penalty payments provided for in Article 31(4), the legal remedies available under Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010 and the right to have the decision reviewed by the Court of Justice. | 4.ICTサービス提供者の代表者は、主管庁の決定に基づき調査を受けることが要求される。この決定には、調査の対象及び目的、第31条(4)に規定される定期的な違約金の支払い、規則(EU) No 1093/2010, (EU) No 1094/2010 及び (EU) No 1095/2010 に基づいて利用できる法的救済、並びに、司法裁判所による決定の見直しを受ける権利について明記するものとする。 |
| 5.In good time before the investigation, Lead Overseers shall inform competent authorities of the financial entities using that ICT third-party service provider of the investigation and of the identity of the authorised persons. | 5.主管庁は、調査の前に十分な時間を持って、当該ICT第三者サービス・プロバイダーを利用する金融機関の管轄当局に、調査および権限者の身元を通知するものとする。 |
| Article 34 | 第34条 |
| On-site inspections | 立入検査 |
| 1.In order to carry out its duties under this Regulation, the Lead Overseer, assisted by the examination teams referred to in Article 35(1), may enter and conduct all necessary on-site inspections on any business premises, land or property of the ICT third-party providers, such as head offices, operation centres, secondary premises, as well as to conduct off-line inspections. | 1.本規則に基づく職務を遂行するため、主管庁は、第35条第1項の審査チームの支援を受け、ICT第三者サービス提供者の本社、オペレーションセンター、二次施設等の事業所、土地又は財産に立ち入り、必要なすべての立入検査を行い、また、オフライン検査を実施することができる。 |
| 2.The officials and other persons authorised by the Lead Overseer to conduct an on-site inspection, may enter any such business premises, land or property and shall have all the powers to seal any business premises and books or records for the period of, and to the extent necessary for, the inspection. | 2.主管庁から立入検査の権限を与えられた職員及びその他の者は、当該事業所、土地又は財産に立ち入り、検査期間中及び検査に必要な範囲において、事業所及び帳簿又は記録に封印する全ての権限を有するものとする。 |
| They shall exercise their powers upon production of a written authorisation specifying the subject matter and the purpose of the inspection and the periodic penalty payments provided for in Article 31(4) where the representatives of the ICT third-party service providers concerned do not submit to the inspection. | ICT第三者サービスプロバイダの代表者が検査に応じない場合、検査の対象および目的を明記した書面による許可証および第31条第4項に規定する定期的な違約金の提出により、権限を行使するものとします。 |
| 3.In good time before the inspection, Lead Overseers shall inform the competent authorities of the financial entities using that ICT third-party provider. | 3.主管庁は、検査に先立ち、当該ICT第三者を利用する金融機関の所轄官庁に、適時に通知するものとする。 |
| 4.Inspections shall cover the full range of relevant ICT systems, networks, devices, information and data either used for, or contributing to, the provision of services to financial entities. | 4.検査は、金融機関へのサービス提供に使用される、又は貢献する、関連する全ての情報通信システム、 ネットワーク、機器、情報及びデータを対象としなければならない。 |
| 5.Before any planned on-site visit, Lead Overseers shall give a reasonable notice to the critical ICT third-party service providers, unless such notice is not possible due to an emergency or crisis situation, or if it would lead to a situation where the inspection or audit would no longer be effective. | 5.主管庁は、重要な情報システム部門を訪問する前に、重要な情報システム部門に合理的な通知を行う。ただし、緊急事態により通知できない場合、及び検査・監査が効果的でなくなる場合は、この限りでない。 |
| 6.The critical ICT third-party service provider shall submit to on-site inspections ordered by decision of the Lead Overseer. The decision shall specify the subject matter and purpose of the inspection, appoint the date on which it is to begin and indicate the periodic penalty payments provided for in Article 31(4), the legal remedies available under Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, as well as the right to have the decision reviewed by the Court of Justice. | 6.重要なICTサービスを提供する事業者は、主管庁の決定により命じられた立入検査に応じなければならな い。その決定は、検査の対象及び目的を特定し、検査の開始日を指定し、第31条4項に規定する定期的な罰金の支払い、規則(EU)No 1093/2010、(EU)No 1094/2010及び(EU)No 1095/2010に基づき利用できる法的救済、並びに司法裁判所による決定の見直しを受ける権利について示すものとします。 |
| 7.Where the officials and other persons authorised by the Lead Overseer find that a critical ICT third-party service provider opposes an inspection ordered pursuant to this Article, the Lead Overseer shall inform the critical ICT provider of the consequences of such opposition, including the possibility for competent authorities of the relevant financial entities to terminate the contractual arrangements concluded with that critical ICT third-party service provider. | 7.主管庁の権限を有する職員及びその他の者が、重要なICT第三者サービス提供者が本条に基づき命じられた検査に反対していると認める場合、主管庁は、関連する金融機関の管轄当局が当該重要なICT第三者サービス提供者と締結した契約上の取り決めを解除できることを含め、当該反対による結果について重要なICT提供者に通知するものとします。 |
| Article 35 | 第35条 |
| Ongoing Oversight | 継続的な監視 |
| 1.Where conducting general investigations or on-site inspections, the Lead Overseers shall be assisted by an examination team established for each critical ICT third-party service provider. | 1.主管庁は、一般調査又は立入検査を行う場合、重要なICT第三者サービス提供者ごとに設置された審査チームにより支援されるものとする。 |
| 2.The joint examination team referred to in paragraph 1 shall be composed of staff members from the Lead Overseer and from the relevant competent authorities supervising the financial entities to which the critical ICT third-party service provider provides services, who will join the preparation and execution of the Oversight activities, with a maximum of 10 members. All members of the joint examination shall have expertise in ICT and operational risk. The joint examination team shall work under the coordination of a designated ESA staff member (the ‘Lead Overseer coordinator’). | 2.第1項の合同審査チームは、統括責任者及び重要なICT第三者サービス提供者がサービスを提供する金融機関を監督する関係主務官庁の職員で構成し、監視活動の準備及び実施に加わるものとし、その人数は最大10名とする。共同審査のメンバーは、全員ICT及びオペレーショナルリスクに関する専門知識を有するものとする。共同審査チームは、指定された ESA のスタッフ(「Lead Overser coordinator」)の調整のもとに活動するものとする。 |
| 3.The ESAs, through the Joint Committee, shall develop common draft regulatory technical standards to specify further the designation of the members of the joint examination team coming from the relevant competent authorities, as well as the tasks and working arrangements of the examination team. The ESAs shall submit those draft regulatory technical standards to the Commission by [OJ: insert date 1 year after the date of entry into force]. | 3.ESA は、合同委員会を通じて、関連する主務官庁からなる共同審査チームのメンバーの指名、お よび審査チームの任務と作業体制をさらに規定する共通の規制技術基準ドラフトを作成する。ESAは、発効日から1年後の日付を挿入するまでに、これらの規制技術基準のドラフトを欧州委員会に提出しなければならない。 |
| Power is delegated to the Commission to adopt the regulatory technical standards referred to in the first subparagraph in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, respectively. | 規則(EU) No 1093/2010、(EU) No 1094/2010、(EU) No 1095/2010の第10条から第14条に従い、第1号に言及する規制技術基準を採択する権限は、それぞれ委員会に委譲される。 |
| 4.Within 3 months after the completion of an investigation or on-site inspection, the Lead Overseer, after consultation of the Oversight Forum, shall adopt recommendations to be addressed by the Lead Overseer to the critical ICT third-party service provider pursuant to the powers referred to in Article 31. | 4.調査又は立入検査の終了後3ヶ月以内に、主管庁は、監視フォーラムの協議に基づき、第31条に定める権限に基づき、主管庁が重要ICT第三者サービス事業者に対処すべき勧告を採択するものとする。 |
| 5.The recommendations referred to in paragraph 4 shall be immediately communicated to the critical ICT third-party service provider and to the competent authorities of the financial entities to which it provides services. | 5.第4項の勧告は、直ちに重要ICTサービス提供者及びそのサービスを提供する金融機関の所轄官庁に通知されるものとする。 |
| For the purposes of fulfilling the Oversight activities, Lead Overseers may take into consideration any relevant third-party certifications and ICT third-party internal or external audit reports made available by the critical ICT third-party service provider. | 主管庁は、監督活動のために、重要なICT第三者のサービス提供者が提供する関連する第三者証明書及びICT第三者の内部又は外部監査報告書を考慮することができる。 |
| Article 36 | 第 36 条 |
| Harmonisation of conditions enabling the conduct of the Oversight | 監督業務の遂行を可能にする条件の調和 |
| 1.The ESAs shall, through the Joint Committee, develop draft regulatory technical standards to specify: | 1.ESAは、合同委員会を通じて、以下を規定する規制技術基準のドラフトを作成するものとする。 |
| (a)the information to be provided by a critical ICT third-party service provider in the application for a voluntary opt-in set out in Article 28(8); | (a)第28条(8)に定める自発的オプトインの申請において、重要なICT第三者サービス提供者が提供すべき情報。 |
| (b)the content and format of reports which may be requested for the purposes of point (c) of Article 31(1); | (b)第31条第1項(c)の目的のために要求され得る報告書の内容及び書式 |
| (c)the presentation of the information, including the structure, formats and methods that a critical ICT third-party service provider shall be required to submit, disclose or report pursuant to Article 31(1); | (c)第三十一条第一項に基づき重要なICTの第三者のサービス提供者が提出、開示又は報告を求められる構造、形式及び方法を含む情報の表示方法。 |
| (d)the details of the competent authorities’ assessment of measures taken by critical ICT third-party service providers based on the recommendations of Lead Overseers pursuant to Article 37(2). | (d) 第 37 条第 2 項に基づく主管庁の勧告に基づき、重要な ICT サードパーティサー ビス提供者が講じた措置の評価の詳細。 |
| 2.The ESAs shall submit those draft regulatory technical standards to the Commission by 1 January 20xx [OJ: insert date 1 year after the date of entry into force]. | 2.The ESAs shall submit those draft regulatory technical standards to the Commission by 1 January 20xx [OJ: insert date 1 year after the date of entry into force](発効日の1年後の日付を挿入する)。 |
| Power is delegated to the Commission to supplement this Regulation by adopting the regulatory technical standards referred to in the first subparagraph in accordance with the procedure laid down in Articles 10 to 14 of Regulation (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010 respectively. | 規則(EU) No 1093/2010、(EU) No 1094/2010、(EU) No 1095/2010のそれぞれ第10条から第14条に定められた手続きに従って、第1号に言及された規制技術基準を採択してこの規則を補足する権限は欧州委員会に委譲される。 |
| Article 37 | 第37条 |
| Follow-up by competent authorities | 所轄官庁によるフォローアップ |
| 1.Within 30 calendar days after the receipt of the recommendations issued by Lead Overseers pursuant to point (d) of Article 31(1), critical ICT third-party service providers shall notify the Lead Overseer whether they intend to follow those recommendations. Lead Overseers shall immediately transmit this information to competent authorities. | 1.重要なICTの第三者サービス提供者は、第31条第1項(d)に基づき主管庁が発行した勧告を受領した後30暦日以内に、当該勧告に従うかどうかを主管庁に通知するものとする。主管庁は、この情報を直ちに所管官庁に伝達する。 |
| 2.Competent authorities shall monitor whether financial entities take into account the risks identified in the recommendations addressed to critical ICT third-party providers by the Lead Overseer in accordance with points (d) of Article 31(1). | 2.所轄官庁は、金融機関が、第 31 条第 1 項の(d)に従い、主管庁が重要な ICT サードパーティの提供者に宛て た勧告において特定されたリスクを考慮に入れているかどうかを監視するものとする。 |
| 3.Competent authorities may, in accordance with Article 44, require financial entities to temporarily suspend, either in part or completely, the use or deployment of a service provided by the critical ICT third-party provider until the risks identified in the recommendations addressed to critical ICT third-party providers have been addressed. Where necessary, they may require financial entities to terminate, in part or completely, the relevant contractual arrangements concluded with the critical ICT third-party service providers. | 3.所轄官庁は、第44条に基づき、金融機関に対し、重要なICTの第三者提供者に向けられた勧告で特定されたリスクが対処されるまで、重要なICTの第三者提供者が提供するサービスの使用又は展開を一時的に一部又は完全に停止するよう求めることができる。必要な場合、彼らは金融機関に対して、重要な ICT の第三者サービスプロバイダと締結された関連する契約上の取決めを部分的又は完全に終了することを要求することができる。 |
| 4.When taking the decisions referred to in paragraph 3, competent authorities shall take into account the type and magnitude of risk that is not addressed by the critical ICT third-party service provider, as well as the seriousness of the non-compliance, having regard to the following criteria: | 4.パラグラフ 3 で言及された決定を行う際、所轄官庁は、以下の基準を考慮し、重要な ICT サードパーティサービスプロバイダが対処しないリスクの種類と大きさ、及び遵守しないことの深刻さを考慮するものとする。 |
| (a)the gravity and the duration of the non-compliance; | (a)違反の重大性及び継続期間。 |
| (b)whether the non-compliance has revealed serious weaknesses in the critical ICT third-party service provider’s procedures, management systems, risk management and internal controls; | (b)重要な ICT サードパーティサービスプロバイダの手順、管理システム、リスクマネジメント及び内部統制における重大な弱点が明らかになったかどうか。 |
| (c)whether financial crime was facilitated, occasioned or otherwise attributable to the non-compliance; | (c)金融犯罪が、コンプライアンス違反によって促進、誘発された、又はその他の形で起因したかどうか。 |
| (d)whether the non-compliance has been committed intentionally or negligently. | (d) コンプライアンス違反が故意又は過失により行われたかどうか。 |
| 5.Competent authorities shall regularly inform the Lead Overseers on the approaches and measures taken in their supervisory tasks in relation to financial entities as well as on the contractual measures taken by the latter where critical ICT third-party service have not endorsed in part or entirely recommendations addressed by the Lead Overseers. | 5.所轄官庁は、金融機関に対する監督業務においてとられたアプローチ及び措置、並びに重要な ICT の第三者サービスが、一部又は全部の勧告を承認していない場合に金融機関がとった契約上の措置について、定期的に主管庁に報告しなけれ ばならない。 |
| Article 38 | 第38条 |
| Oversight fees | 監督費用 |
| 1.The ESAs shall charge critical ICT third-party service providers fees that fully cover ESAs’ necessary expenditure in relation to the conduct of Oversight tasks pursuant to this Regulation, including the reimbursement of any costs which may be incurred as a result of work carried out by competent authorities joining the Oversight activities in accordance with Article 35. | 1.ESA は、重要な ICT サードパーティ・サービス・プロバイダに対して、ESA が本規則に基づ く監督業務の遂行に関連して必要とする費用(第 35 条に従って監督業務に参加する管轄当局が 実施する作業の結果発生し得る費用の弁済を含む)を完全にカバーする手数料を課さなければならな い。 |
| The amount of a fee charged to a critical ICT third-party service provider shall cover all administrative costs and shall be proportionate to their turnover. | 重要なICTの第三者サービス提供者に課される手数料の額は、すべての管理費をカバーし、その売上高に比例するものでなければならない。 |
| 2.The Commission is empowered to adopt a delegated act in accordance with Article 50 to supplement this Regulation by determining the amount of the fees and the way in which they are to be paid. | 2.欧州委員会は、手数料の額とその支払い方法を決定することにより、この規則を補足するために、第50条に従って委任行為を採択する権限を有する。 |
| Article 39 | 第39条 |
| International cooperation | 国際協力 |
| 1.EBA, ESMA and EIOPA may, in accordance with Article 33 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, respectively, conclude administrative arrangements with third-country regulatory and supervisory authorities to foster international cooperation on ICT third-party risk across different financial sectors, notably by developing best practices for the review of ICT risk-management practices and controls, mitigation measures and incident responses. | 1.EBA、ESMA、EIOPAは、それぞれ規則(EU) No 1093/2010、(EU) No 1094/2010、(EU) No 1095/2010の33条に従い、ICTリスクマネジメントの実践と管理、緩和策、事故対応のレビューに関する最良事例を開発するなど、異なる金融部門にわたるICT第三者リスクに関する国際協力を促進すべく、第三国の規制・監督当局と行政取り決めを締結できるものとする。 |
| 2.The ESAs shall, through the Joint Committee, submit every five years a joint confidential report to the European Parliament, to the Council and to the Commission summarising the findings of relevant discussions held with the third countries authorities referred to in paragraph 1, focussing on the evolution of ICT third-party risk and the implications for financial stability, market integrity, investor protection or the functioning of the single market. | 2.ESAは、合同委員会を通じて、5年ごとに、第1項で言及した第三国当局との間で行われた関連する議論の結果をまとめた合同秘密報告書を欧州議会、理事会、欧州委員会に提出し、ICT第三者リスクの進展と金融安定、市場統合性、投資家保護、単一市場機能への影響に焦点を当てるものとする。 |
| CHAPTER VI | 第6章 |
| INFORMATION SHARING ARRANGEMENTS | 情報共有の取り決め |
| Article 40 | 第40条 |
| Information-sharing arrangements on cyber threat information and intelligence | サイバー脅威情報及びインテリジェンスに関する情報共有の取決め |
| 1.Financial entities may exchange amongst themselves cyber threat information and intelligence, including indicators of compromise, tactics, techniques, and procedures, cyber security alerts and configuration tools, to the extent that such information and intelligence sharing: | 1.金融機関は、以下の範囲において、侵害の指標、戦術、技術、手順、サイバーセキュリティ警告及び設定ツールを含むサイバー脅威の情報及びインテリジェンスを相互に交換することができる。 |
| (a)aims at enhancing the digital operational resilience of financial entities, in particular through raising awareness in relation to cyber threats, limiting or impeding the cyber threats’ ability to spread, supporting financial entities’ range of defensive capabilities, threat detection techniques, mitigation strategies or response and recovery stages; | (a)特に、サイバー脅威に関する認識の向上、サイバー脅威の拡散能力の制限又は阻害、金融機関の防御能力、脅威の検知技術、緩和戦略又は対応・復旧段階の支援を通じて、金融機関のデジタル運用のレジリエンスを強化することを目的とするものであること。 |
| (b)takes places within trusted communities of financial entities; | (b)金融機関の信頼されたコミュニティ内で行われるものであること。 |
| (c)is implemented through information-sharing arrangements that protect the potentially sensitive nature of the information shared, and that are governed by rules of conduct in full respect of business confidentiality, protection of personal data 48 and guidelines on competition policy. 49 | (c)共有される情報の潜在的な機密性を保護し、業務上の機密性、個人情報の保護、競争政策に関する指針を十分に尊重した行動規則によって管理される情報共有の取り決めを通じて実施されるものである。 49 |
| 2.For the purpose of point (c) of paragraph 1, the information sharing arrangements shall define the conditions for participation and, where appropriate, shall set out the details on the involvement of public authorities and the capacity in which the latter may be associated to the information-sharing arrangements, as well as on operational elements, including the use of dedicated IT platforms. | 2.パラグラフ 1 の(c)の目的のため、情報共有の取決めは、参加条件を定義し、適切な場合には、公的機関の関与及び公的機関が情報共有の取決めに関連し得る能力に関する詳細、並びに専用の IT プラットフォームの使用を含む運用要素について定めなければならない。 |
| 3.Financial entities shall notify competent authorities of their participation in the information-sharing arrangements referred to in paragraph 1, upon validation of their membership, or, as applicable, of the cessation of their membership, once the latter takes effect. | 3.金融機関は、第1項で言及された情報共有の取決めへの参加について、その加盟が確認された時点で、または該当する場合には、加盟の中止について、後者が有効となった時点で、管轄当局に通知するものとする。 |
| CHAPTER VII | 第7章 |
| COMPETENT AUTHORITIES | 所轄官庁 |
| Article 41 | 第41条 |
| Competent authorities | 権限のある当局 |
| Without prejudice to the provisions on the Oversight Framework for critical ICT third-party service providers referred to in Section II of Chapter V of this Regulation, compliance with the obligations set out in this Regulation shall be ensured by the following competent authorities in accordance with the powers granted by the respective legal acts: | この規則の第V章のセクションIIで言及された重要なICT第三者サービスプロバイダの監視フレームワークに関する規定を損なうことなく、この規則で定められた義務の遵守は、それぞれの法律で与えられた権限に従って、以下の主管庁によって確保されるものとする。 |
| (a)for credit institutions, the competent authority designated in accordance with Article 4 of Directive 2013/36/EU, without prejudice to the specific tasks conferred on the ECB by Regulation (EU) No 1024/2013; | (a)信用機関については、規則(EU) No 1024/2013によりECBに付与された特定の業務に影響を与えることなく、指令2013/36/EUの第4条に従って指定された権限ある当局 |
| (b)for payment service providers, the competent authority designated in accordance with Article 22 of Directive (EU) 2015/2366; | (b)決済サービスプロバイダーについては、指令(EU)2015/2366の第22条に従って指定された所轄庁。 |
| (c)for electronic payment institutions, the competent authority designated in accordance with Article 37 of Directive 2009/110/EC; | (c)電子決済機関については、指令2009/110/ECの第37条に従って指定された所轄庁。 |
| (d)for investment firms, the competent authority designated in accordance with Article 4 of Directive (EU) 2019/2034; | (d)投資会社については、指令(EU)2019/2034の第4条に従って指定された所轄庁。 |
| (e)for crypto-asset service providers, issuers of crypto-assets, issuers of asset-referenced tokens and issuers of significant asset-referenced tokens, the competent authority designated in accordance with the first indent of point (ee) of Article 3 (1) of [Regulation (EU) 20xx MICA Regulation]; | (e)暗号資産サービスプロバイダー、暗号資産の発行者、資産参照型トークンの発行者及び重要資産参照型トークンの発行者については、[規則(EU)20xx MICA規則]第3条(1)のポイント(ee)の最初のインデントに従って指定された主管庁。 |
| (f)for central securities depositories, the competent authority designated in accordance with Article 11 of Regulation (EU) No 909/2014; | (f)証券集中預託機関については、規則(EU) No 909/2014の第11条に従って指定された所轄庁。 |
| (g)for central counterparties, the competent authority designated in accordance with Article 22 of Regulation (EU) No 648/2012; | (g)中央カウンターパーティについては、Regulation (EU) No 648/2012の第22条に従って指定された所轄庁。 |
| (h)for trading venues and data reporting service providers, the competent authority designated in accordance with Article 67 of Directive 2014/65/EU; | (h)取引所及びデータ報告サービスプロバイダーについては、指令2014/65/EUの第67条に従って指定された主管庁。 |
| (i)for trade repositories, the competent authority designated in accordance with Article 55 of Regulation (EU) No 648/2012; | (i)取引情報蓄積機関については、規則(EU)No 648/2012の第55条に従って指定された所轄庁。 |
| (j)for managers of alternative investment funds, the competent authority designated in accordance with Article 44 of Directive 2011/61/EU; | (j)代替投資ファンドの管理者については、指令2011/61/EUの第44条に従って指定された所轄庁。 |
| (k)for management companies, the competent authority designated in accordance with Article 97 of Directive 2009/65/EC; | (k)管理会社については、指令2009/65/ECの第97条に従って指定された所轄庁。 |
| (l)for insurance and reinsurance undertakings, the competent authority designated in accordance with Article 30 of Directive 2009/138/EC; | (l)保険及び再保険事業者については、指令2009/138/ECの第30条に従って指定された所轄庁。 |
| (m)for insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries, the competent authority designated in accordance with Article 12 of Directive (EU) 2016/97; | (m)保険仲介者、再保険仲介者及び附帯保険仲介者については、指令(EU)2016/97の第12条に従って指定された所轄庁。 |
| (n)for institutions for occupational retirement pensions, the competent authority designated in accordance with Article 47 of Directive 2016/2341; | (n)職業的退職年金に関する機関については、指令2016/2341の第47条に従って指定された所轄庁。 |
| (o)for credit rating agencies, the competent authority designated in accordance Article 21 of Regulation (EC) No 1060/2009; | (o)信用格付機関については、規則(EC)No 1060/2009の第21条に従って指定された所轄庁。 |
| (p)for statutory auditors and audit firms, the competent authority designated in accordance Articles 3(2) and 32 of Directive 2006/43/EC; | (p)監査人及び監査法人については、指令2006/43/ECの第3条(2)及び第32条に従って指定された所轄庁。 |
| (q)for administrators of critical benchmarks, the competent authority designated in accordance with Articles 40 and 41 of Regulation xx/202x; | (q)重要なベンチマークの管理者については、規則xx/202xの第40条および第41条に従って指定された所轄庁。 |
| (r)for crowdfunding service providers, the competent authority designated in accordance with Article x of Regulation xx/202x; | (r)クラウドファンディングサービスプロバイダーについては、規則xx/202xの第x条に従って指定された主管庁。 |
| (s)for securitisation repositories, the competent authority designated in accordance with Article 10 and 14 (1) of Regulation (EU) 2017/2402. | (s)(EU) 2017/2402.証券化レポジトリについては、規則(EU)2017/2402の第10条及び第14条に従って指定された主管庁。 |
| Article 42 | 第42条 |
| Cooperation with structures and authorities established by Directive (EU) 2016/1148 | 指令(EU)2016/1148により設立された機構及び当局との協力 |
| 1.To foster cooperation and enable supervisory exchanges between the competent authorities designated under this Regulation and the Cooperation Group established by Article 11 of Directive (EU) 2016/1148, the ESAs and the competent authorities, may request to be invited to the workings of Cooperation Group. | 1.本規則に基づき指定された管轄当局と指令(EU)2016/1148の第11条により設立された協力グループとの間の協力を促進し、監督交流を可能にするため、ESA及び管轄当局は、協力グループの作業への招待を要求することができる。 |
| 2.Competent authorities may consult where appropriate with the single point of contact and the national Computer Security Incident Response Teams referred to respectively in Articles 8 and 9 of Directive (EU) 2016/1148. | 2.所轄官庁は、指令(EU)2016/1148の第8条及び第9条でそれぞれ言及される単一窓口及び国家コンピュータセキュリティインシデント対応チームと適宜協議することができる。 |
| Article 43 | 第43条 |
| Financial cross-sector exercises, communication and cooperation | 金融分野横断的な演習、コミュニケーション及び協力 |
| 1.The ESAs, through the Joint Committee and in collaboration with competent authorities, the ECB and the ESRB, may establish mechanisms to enable the sharing of effective practices across financial sectors to enhance situational awareness and identify common cyber vulnerabilities and risks across-sectors. | 1.ESAは、合同委員会を通じて、所轄官庁、ECB及びESRBと協力し、金融セクター間の状況認識を高め、セクターを超えた共通のサイバー脆弱性及びリスクを特定するために、金融セクター間での効果的な実践方法の共有を可能にするメカニズムを構築できるものとする。 |
| They may develop crisis-management and contingency exercises involving cyber-attack scenarios with a view to develop communication channels and gradually enable an effective EU-level coordinated response in the event of a major cross-border ICT-related incident or related threat having a systemic impact on the Union’s financial sector as a whole. | これらの機関は、コミュニケーション・チャネルを発展させ、EUの金融セクター全体にシステミックな影響を及ぼす国境を越えたICT関連の重大事件又は関連する脅威が発生した場合に、EUレベルでの効果的な協調対応を徐々に可能にするという観点から、サイバー攻撃のシナリオを含む危機管理及び有事の際の演習を開発することができる。 |
| These exercises may as appropriate also test the financial sector’ dependencies on other economic sectors. | これらの演習は、必要に応じて、金融セクターの他の経済セクターへの依存度をテストすることもできる。 |
| 2.Competent authorities, EBA, ESMA or EIOPA and the ECB shall cooperate closely with each other and exchange information to carry out their duties pursuant to Articles 42 to 48. They shall closely coordinate their supervision in order to identify and remedy breaches of this Regulation, develop and promote best practices, facilitate collaboration, foster consistency of interpretation and provide cross-jurisdictional assessments in the event of any disagreements. | 2.所轄官庁、EBA、ESMA又はEIOPA及びECBは、第42条から第48条に基づく義務を遂行するために、相互に緊密に協力し、情報を交換するものとする。彼らは、本規則の違反を特定し是正するため、ベストプラクティスを開発し促進するため、協力を促進するため、解釈の一貫性を促進し、意見の相違がある場合には管轄権を超えた評価を提供するために、彼らの監督を密接に調整するものとする。 |
| Article 44 | 第44条 |
| Administrative penalties and remedial measures | 行政罰と救済措置 |
| 1.Competent authorities shall have all supervisory, investigatory and sanctioning powers necessary to fulfil their duties under this Regulation. | 1.所轄官庁は、本規則に基づく義務を果たすために必要なすべての監督、調査及び制裁の権限を有するものとする。 |
| 2.The powers referred to in paragraph 1 shall include at least the powers to: | 2.第1項で言及された権限は、少なくとも以下の権限を含むものとする。 |
| (a)have access to any document or data held in any form which the competent authority considers relevant for the performance of its duties and receive or take a copy of it; | (a)所轄官庁がその職務の遂行に関連すると考えるあらゆる形式の文書又はデータにアクセスし、その写しを受領又は取得すること。 |
| (b)carry out on-site inspections or investigations; | (b)立入検査又は調査を行うこと。 |
| (c)require corrective and remedial measures for breaches of the requirements of this Regulation. | (c)本規則の要求事項の違反に対する是正措置及び改善措置を要求すること。 |
| 3.Without prejudice to the right of Member States to impose criminal penalties according to Article 46, Member States shall lay down rules establishing appropriate administrative penalties and remedial measures for breaches of this Regulation and shall ensure their effective implementation. | 3.第46条に基づき加盟国が刑事罰を科す権利を害することなく、加盟国は、この規則の違反に対する適切な行政罰及び是正措置を定める規則を定め、その効果的な実施を確保しなければならない。 |
| Those penalties and measures shall be effective, proportionate and dissuasive. | これらの罰則及び措置は、効果的、妥当及び抑制的でなければならない。 |
| 4.Member States shall confer on competent authorities the power to apply at least the following administrative penalties or remedial measures for breaches of this Regulation: | 4.加盟国は、この規則の違反に対して、少なくとも次の行政罰又は救済措置を適用する権限を所轄官庁に付与しなければならない。 |
| (a)issue an order requiring the natural or legal person to cease the conduct and to desist from a repetition of that conduct; | (a)自然人又は法人に対して、当該行為の中止及び当該行為の反復の停止を求める命令を発すること。 |
| (b)require the temporary or permanent cessation of any practice or conduct that the competent authority considers to be contrary to the provisions of this Regulation and prevent repetition of that practice or conduct; | (b)管轄当局がこの規則の規定に反すると見なす慣行又は行為を一時的又は恒久的に中止させ、当該慣行又は行為の繰り返しを防止することを要求する。 |
| (c)adopt any type of measure, including of a pecuniary nature, to ensure that financial entities continue to comply with legal requirements; | (c)金融機関が法的要件を継続的に遵守することを保証するために、金銭的な性質を含むあらゆる種類の措置を採用すること。 |
| (d)require, in so far as permitted by national law, existing data traffic records held by a telecommunication operator, where there is a reasonable suspicion of a breach of this Regulation and where such records may be relevant to an investigation into breaches of this Regulation; and | (d)本規則違反の合理的な疑いがあり、本規則違反の調査に関連する可能性がある場合、国内法で認められている限り、電気通信事業者が保有する既存のデータ・トラフィック記録を要求すること。 |
| (e)issue public notices, including public statements indicating the identity of the natural or legal person and the nature of the breach. | (e)自然人または法人の身元および違反の性質を示す公示を含む、公告を発行する。 |
| 5.Where the provisions referred to in point (c) of paragraph 2 and in paragraph 4 apply to legal persons, Member States shall confer on competent authorities the power to apply the administrative penalties and remedial measures, subject to the conditions provided for in national law, to members of the management body, and to other individuals who under national law are responsible for the breach. | 5.第2項(c)及び第4項の規定が法人に適用される場合、加盟国は、国内法に定める条件に従い、管理団体のメンバー及び国内法に基づいて違反に責任を負うその他の個人に対して行政罰及び是正措置を適用する権限を所轄官庁に付与するものとする。 |
| 6.Member States shall ensure that any decision imposing administrative penalties or remedial measures set out in point (c) of paragraph 2 is properly reasoned and is subject to a right of appeal. | 6.加盟国は、第2項(c)に規定する行政罰又は救済措置を課す決定が、適切な理由を有し、かつ、上訴権の対象となることを確保するものとする。 |
| Article 45 | 第45条 |
| Exercise of the power to impose administrative penalties and remedial measures | 行政処分および救済措置を課す権限の行使 |
| 1.Competent authorities shall exercise the powers to impose administrative penalties and remedial measures referred to in Article 44 in accordance with their national legal frameworks, as appropriate: | 1.所轄官庁は、自国の法的枠組みに従い、適宜、第44条に言及する行政処分及び是正措置を課す権限を行使するものとする。 |
| (a)directly; | (a)直接 |
| (b)in collaboration with other authorities; | (b)他の当局と協力して |
| (c)under their responsibility by delegation to other authorities; | (c)他の当局への委任により、自己の責任において。 |
| (d)by application to the competent judicial authorities. | (d)所轄の司法当局への申請によるもの。 |
| 2.Competent authorities, when determining the type and level of an administrative penalty or remedial measure to be imposed under Article 44, shall take into account the extent to which the breach is intentional or results from negligence and all other relevant circumstances, including, where appropriate: | 2.所轄官庁は、第44条に基づき課される行政罰又は是正措置の種類及びレベルを決定する際、違反が故意又は過失の結果である程度及び適切な場合には以下を含む他のすべての関連状況を考慮しなければなりません。 |
| (a)the materiality, gravity and the duration of the breach; | (a)違反の重要性、重大性及び継続期間。 |
| (b)the degree of responsibility of the natural or legal person responsible for the breach; | (b)違反に責任を有する自然人又は法人の責任の程度。 |
| (c)the financial strength of the responsible natural or legal person; | (c)責任を負う自然人又は法人の財務的な強さ。 |
| (d)the importance of profits gained or losses avoided by the responsible natural or legal person, insofar as they can be determined; | (d)責任のある自然人又は法人が得た利益又は回避した損失の重要性(それらが決定できる限りにおいて)。 |
| (e)the losses for third parties caused by the breach, insofar as they can be determined; | (e)違反によって生じた第三者の損失(判断できる限りにおいて |
| (f)the level of cooperation of the responsible natural or legal person with the competent authority, without prejudice to the need to ensure disgorgement of profits gained or losses avoided by that person; | (f)責任のある自然人又は法人が得た利益又は回避した損失の返還を確保する必要性を害することなく、当該自然人又は法人の所轄官庁に対する協力の程度 |
| (g)previous breaches by the responsible natural or legal person. | (g)責任のある自然人または法人による過去の違反。 |
| Article 46 | 第46条 |
| Criminal penalties | 刑事罰 |
| 1.Member States may decide not to lay down rules for administrative penalties or remedial measures for breaches which are subject to criminal penalties under their national law. | 1.加盟国は、自国の国内法の下で刑事罰の対象となる違反に対する行政罰または救済措置に関する規則を定めないことを決定することができる。 |
| 2.Where Member States have chosen to lay down criminal penalties for breaches of this Regulation they shall ensure that appropriate measures are in place so that competent authorities have all the necessary powers to liaise with judicial, prosecuting, or criminal justice authorities within their jurisdiction to receive specific information related to criminal investigations or proceedings commenced for breaches of this Regulation, and to provide the same information to other competent authorities, as well as EBA, ESMA or EIOPA to fulfil their obligations to cooperate for the purposes of this Regulation. | 2.加盟国は、当規則の違反に対する刑事罰の規定を選択した場合、当規則の違反に対して開始された刑事捜査または手続に関連する特定の情報を受け取るために管轄内の司法、検察または刑事司法当局と連携し、当規則の目的のために協力する義務を果たすために他の管轄当局、ならびにEBA、ESMまたはEIOPAに同じ情報を提供するために必要なすべての権限を有する適切な措置が整備されていることを確認するものとする。 |
| Article 47 | 第47条 |
| Notification duties | 通知義務 |
| Member States shall notify the laws, regulations and administrative provisions implementing this Chapter, including any relevant criminal law provisions, to the Commission, ESMA, the EBA and EIOPA by [OJ: insert date 1 year after the date of entry into force]. Member States shall notify the Commission, ESMA, the EBA and EIOPA without undue delay of any subsequent amendments thereto. | 加盟国は、本章を実施する法律、規則および行政規定を、関連する刑法の規定を含めて、[OJ:発効日から1年後の日付を挿入]までに欧州委員会、ESMA、EBAおよびEIOPAに通知するものとする。加盟国は、その後の改正について、欧州委員会、ESMA、EBAおよびEIOPAに不当に遅滞なく通知するものとする。 |
| Article 48 | 第48条 |
| Publication of administrative penalties | 行政処分の公表 |
| 1.Competent authorities shall publish on their official websites, without undue delay, any decision imposing an administrative penalty against which there is no appeal after the addressee of the sanction has been notified of that decision. | 1.所轄官庁は、不服申し立てができない行政処分を課す決定を、処分の名宛人がその決定を通知された後、不当な遅延なく、その公式ウェブサイトにおいて公表するものとする。 |
| 2.The publication referred to in paragraph 1 shall include information on the type and nature of the breach, the identity of the persons responsible and the penalties imposed. | 2.第1項にいう公表は、違反の種類及び性質、責任者の身元並びに課された罰則に関する情報を含むものとする。 |
| 3.Where the competent authority, following a case-by-case assessment, considers that the publication of the identity, in the case of legal persons, or of the identity and personal data, in the case of natural persons, would be disproportionate, jeopardise the stability of financial markets or the pursuit of an on-going criminal investigation, or cause, insofar as these can be determined, disproportionate damages to the person involved, it shall adopt either of the following solutions in respect to the decision imposing an administrative sanction: | 3.所轄官庁が、ケースバイケースの評価の後、法人の場合は身元、自然人の場合は身元と個人情報の公表が、不釣り合いであり、金融市場の安定や進行中の犯罪捜査の遂行を危うくし、あるいは、これらが判断できる限り、関係者に不釣り合いな損害をもたらすと考える場合、行政処分を課す決定に関して、次のいずれかの解決策を採用しなければならない。 |
| (a)defer its publication until the moment where all reasons for non-publication cease to exist; | (a)非公開の理由がすべてなくなるまで、その公表を延期する。 |
| (b)publish it on an anonymous basis, in accordance with national law; or | (b)国内法に従って匿名ベースで公表する。 |
| (c)refrain from publishing it, where the options set out in points (a) and (b) are deemed either insufficient to guarantee a lack of any danger for the stability of financial markets, or where such a publication would not be proportional with the leniency of the imposed sanction. | (c) (a)及び(b)に示された選択肢が、金融市場の安定に対する危険がないことを保証するには不十分であるか、又は公表が課せられた制裁の寛大さに比例しないと考えられる場合、公表を差し控えること。 |
| 4.In the case of a decision to publish an administrative penalty on an anonymous basis in accordance with point (b) of paragraph 3, the publication of the relevant data may be postponed. | 4.第3項(b)に基づき、匿名での行政処分の公表を決定した場合、関連データの公表を延期することができる。 |
| 5.Where a competent authority publishes a decision imposing an administrative penalty against which there is an appeal before the relevant judicial authorities, competent authorities shall immediately add on their official website that information and at later stages any subsequent related information on the outcome of such appeal. Any judicial decision annulling a decision imposing an administrative penalty shall also be published. | 5.管轄当局が行政処分を課す決定を公表し、それに対して関連する司法当局が上訴している場合、管轄当局は、直ちにその情報を公式ウェブサイトに追加し、その後の段階で当該上訴の結果に関する関連情報を追加するものとします。行政処分を課す決定を取り消す司法決定もまた公表されるものとする。 |
| 6.Competent authorities shall ensure that any publication referred to in paragraphs 1 to 4 shall remain on their official website for at least five years after its publication. Personal data contained in the publication shall only be kept on the official website of the competent authority for the period which is necessary in accordance with the applicable data protection rules. | 6.管轄当局は、第1項から第4項までに言及された公表が、その公表後少なくとも5年間、その公式ウェブサイトに残ることを保証するものとします。出版物に含まれる個人データは、適用されるデータ保護規則に従って必要な期間だけ、管轄当局の公式ウェブサイトに保管されるものとする。 |
| Article 49 | 第49条 |
| Professional secrecy | 職業上の秘密 |
| 1.Any confidential information received, exchanged or transmitted pursuant to this Regulation shall be subject to the conditions of professional secrecy laid down in paragraph 2. | 1.この規則に従って受領、交換または送信された秘密情報は、第2項に定める職業上の秘密保持の条件に従うものとします。 |
| 2.The obligation of professional secrecy applies to all persons who work or who have worked for the competent authorities under this Regulation, or for any authority or market undertaking or natural or legal person to whom those competent authorities have delegated their powers, including auditors and experts contracted by them. | 2.職業上の秘密保持の義務は、本規則に基づく主務官庁、または主務官庁が権限を委任した当局、市場事業、自然人または法人に勤務する、または勤務したすべての者に適用され、監査人および主務官庁が契約した専門家も含まれる。 |
| 3.Information covered by professional secrecy may not be disclosed to any other person or authority except by virtue of provisions laid down by Union or national law. | 3.職業上の秘密が適用される情報は、連合法または国内法で定められた規定による場合を除き、他の人物または当局に開示されることはありません。 |
| 4.All information exchanged between the competent authorities under this Regulation that concerns business or operational conditions and other economic or personal affairs shall be considered confidential and shall be subject to the requirements of professional secrecy, except where the competent authority states at the time of communication that such information may be disclosed or where such disclosure is necessary for legal proceedings. | 4.本規則に基づき所轄官庁間で交換される、事業または業務状況、その他の経済的または個人的な事柄に関するすべての情報は、所轄官庁が通信時に当該情報を開示してもよいと述べた場合または法的手続きのために当該開示が必要な場合を除き、機密とみなされ、職務上の秘密の要件に従うものとします。 |
| CHAPTER VIII | 第8章 |
| DELEGATED ACTS | 委任された法律 |
| Article 50 | 第50条 |
| Exercise of the delegation | 委任の行使 |
| 1.The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. | 1.委任行為を採択する権限は、本条に定める条件に従い、欧州委員会に付与される。 |
| 2.The power to adopt delegated acts referred to in Articles 28(3) and 38(2) shall be conferred on the Commission for a period of five years from [PO: insert date 5 years after the date of entry into force of this Regulation]. | 2.第28条(3)および第38条(2)で言及されている委任行為を採択する権限は、[PO:この規則の発効日から5年後の日を挿入]から5年間委員会に付与されるものとする。 |
| 3.The delegation of power referred to in Articles 28(3) and 38(2) may be revoked at any time by the European Parliament or by the Council. A decision to revoke shall put an end to the delegation of the power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. | 3.第28条3項および第38条2項に言及された権限の委譲は、欧州議会または理事会によりいつでも撤回することができる。取消しの決定は、当該決定において特定された権限の委任を終了させる。その決定は、欧州連合の官報に公表された日の翌日またはその中で指定された後の日に効力を生じるものとする。この決定は、既に効力を有している委任法の効力に影響を与えないものとします。 |
| 4.Before adopting a delegated act, the Commission shall consult experts designated by each Member State in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making. | 4.委任法を採択する前に、欧州委員会は、2016年4月13日の「より良い法律作りに関する機関間協定」に規定された原則に従って、各加盟国が指定する専門家に相談するものとする。 |
| 5.As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. | 5.欧州委員会は、委任法を採択したら直ちに、欧州議会と理事会に同時に通知するものとする。 |
| 6.A delegated act adopted pursuant to Articles 28(3) and 38(2) shall enter into force only if no objection has been expressed either by the European Parliament or by the Council within a period of two months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by two months at the initiative of the European Parliament or of the Council. | 6.第28条3項および第38条2項に従って採択された委任法は、欧州議会および理事会への通知から2ヶ月以内に欧州議会または理事会のいずれかから異議が表明されなかった場合、またはその期間の満了前に欧州議会および理事会がともに異議を唱えないことを欧州委員会に通知した場合にのみ発効するものとする。この期間は、欧州議会または理事会の発意により2カ月間延長される。 |
| CHAPTER IX | 第9章 |
| TRANSITIONAL AND FINAL PROVISIONS | 経過措置および最終規定 |
| SECTION I | 第1節 |
| Article 51 | 第51条 |
| Review clause | 見直し条項 |
| By [PO: insert date 5 years after the date of entry into force of this Regulation], the Commission shall, after consulting EBA, ESMA, EIOPA, and the ESRB, as appropriate, carry out a review and submit a report to the European Parliament and the Council, accompanied, if appropriate, by a legislative proposal, regarding the criteria for the designation of critical ICT third-party service providers in Article 28(2). | 欧州委員会は、[PO:この規則の発効日から5年後の日付を挿入]までに、必要に応じてEBA、ESMA、EIOPA、ESRBに相談した上で、第28条2項の重要ICT第三者サービス提供者の指定基準に関する見直しを行い、必要に応じて立法案を添付して欧州議会と理事会に報告書を提出するものとする。 |
| SECTION II | 第2節 |
| AMENDMENTS | 修正条項 |
| Article 52 | 第52条 |
| Amendments to Regulation (EC) No 1060/2009 | 規則(EC) No 1060/2009の改正 |
| In Annex I to Regulation (EC) No 1060/2009, the first subparagraph of point 4 of Section A is replaced by the following: | 規則(EC)No 1060/2009 の附属書 I において、セクション A のポイント 4 の第 1 サブパラグラフを以下に置き換える。 |
| ‘A credit rating agency shall have sound administrative and accounting procedures, internal control mechanisms, effective procedures for risk assessment, and effective control and safeguard arrangements for managing ICT systems in accordance with Regulation (EU) 2021/xx of the European Parliament and of the Council* [DORA]. | 信用格付機関は、欧州議会及び理事会の規則(EU)2021/xx[DORA]に従って、健全な管理及び会計手続、内部統制機構、リスク評価のための効果的な手続、並びにICTシステム管理のための効果的な管理及び保護措置を有していなければならない」。 |
| * Regulation (EU) 2021/xx of the European Parliament and of the Council […] (OJ L XX, DD.MM.YYYY, p. X).’. | * 欧州議会及び理事会の規則(EU) 2021/xx [...] (OJ L XX, DD.MM.YYYY, p. X)』という。 |
| Article 53 | 第53条 |
| Amendments to Regulation (EU) No 648/2012 | 規則(EU) No 648/2012の改正 |
| Regulation (EU) No 648/2012 is amended as follows: | 規則(EU) No 648/2012は、以下のように改正される。 |
| (1)Article 26 is amended as follows: | (1)第26条は、次のとおり改正される。 |
| (a)paragraph 3 is replaced by the following: | (a)第3項を次のように改める。 |
| ‘3. A CCP shall maintain and operate an organisational structure that ensures continuity and orderly functioning in the performance of its services and activities. It shall employ appropriate and proportionate systems, resources and procedures, including ICT systems managed in accordance with Regulation (EU) 2021/xx of the European Parliament and of the Council* [DORA]. | '3. CCPは、そのサービス及び活動の遂行において、継続性と秩序ある機能を確保するための組織構造を維持し、運営しなければならない。CCPは,欧州議会及び理事会の規則(EU)2021/xx[DORA]に従って管理されるICTシステムを含む,適切で均衡のとれたシステム,資源及び手続を使用しなければならない。 |
| * Regulation (EU) 2021/xx of the European Parliament and of the Council […](OJ L XX, DD.MM.YYYY, p. X).’; | * Regulation (EU) 2021/xx of the European Parliament and of the Council [...](OJ L XX, DD.MM.YYYY, p. X).'; |
| (b)paragraph 6 is deleted; | (b) 第6項を削除する。 |
| (2)Article 34 is amended as follows: | (2)第34条は、次のように改正する。 |
| (a)paragraph 1 is replaced by the following: | (a)第1項を次のように改める。 |
| ‘1. A CCP shall establish, implement and maintain an adequate business continuity policy and disaster recovery plan, which shall include ICT business continuity and disaster recovery plans set up in accordance with Regulation (EU) 2021/xx [DORA], aiming at ensuring the preservation of its functions, the timely recovery of operations and the fulfilment of the CCP’s obligations.’; | '1. 中国共産党は、その機能の維持、業務の適時の回復及び中国共産党の義務の履行を確保することを目的とする、規則(EU)2021/xx[DORA]に従って設定されたICT事業継続計画及び災害復旧計画を含む適切な事業継続方針及び災害復旧計画を策定し、実施し、維持するものとする』。 |
| (b)in paragraph 3, the first subparagraph is replaced by the following: | (b)第3項において、最初のサブパラグラフを次のように置き換える。 |
| ‘In order to ensure consistent application of this Article, ESMA shall, after consulting the members of the ESCB, develop draft regulatory technical standards specifying the minimum content and requirements of the business continuity policy and of the disaster recovery plan, excluding ICT business continuity and disaster recovery plans.’; | 本条を一貫して適用するため、ESMA は、ESCB のメンバーと協議の上、ICT 事業継続計画および災害復旧計画を除く、事業継続方針および災害復旧計画の最低限の内容および要件を規定した規制技術基準案を策定するものとする」(注)。 |
| (3)in Article 56, the first subparagraph of paragraph 3 is replaced by the following: | (3)第56条中、第3項第1号を次のように改める。 |
| ‘3. In order to ensure consistent application of this Article, ESMA shall develop draft regulatory technical standards specifying the details, other than for requirements related to ICT risk management, of the application for registration referred to in paragraph 1.’; | 本条を一貫して適用するため、ESMAは、第1項の登録申請のうち、ICTリスクマネジメントに関する要件以外の詳細を規定する規制技術基準のドラフトを作成するものとする」。 |
| (4)in Article 79, paragraphs 1 and 2 are replaced by the following: | (4)第79条中、第1項及び第2項を次のように改める。 |
| ‘1. A trade repository shall identify sources of operational risk and minimise them also through the development of appropriate systems, controls and procedures, including ICT systems managed in accordance with Regulation (EU) 2021/xx [DORA]. | '1. 取引所は、オペレーショナルリスクの原因を特定し、規則(EU)2021/xx[DORA]に従って管理されたICTシステムを含む適切なシステム、コントロール及び手続きの開発を通じて、それらを最小限に抑えることもしなければならない。 |
| 2. A trade repository shall establish, implement and maintain an adequate business continuity policy and disaster recovery plan including ICT business continuity and disaster recovery plans established in accordance with Regulation (EU) 2021/xx[DORA], aiming at ensuring the maintenance of its functions, the timely recovery of operations and the fulfilment of the trade repository’s obligations.’; | 2. 貿易保管所は、その機能の維持、適時の業務復旧及び貿易保管所の義務の履行を確保することを目的として、規則(EU)2021/xx[DORA]に従って策定されたICT業務継続及び災害復旧計画を含む適切な業務継続方針及び災害復旧計画を策定、実施及び維持しなければならない』(同)。 |
| (5)in Article 80, paragraph 1 is deleted. | (5)第80条第1項を削除する。 |
| Article 54 | 第54条 |
| Amendments to Regulation (EU) No 909/2014 | 規則(EU)No 909/2014の改正点 |
| Article 45 of Regulation (EU) No 909/2014 is amended as follows: | Regulation (EU) No 909/2014の第45条は、以下のように改正される。 |
| (1)paragraph 1 is replaced by the following: | (1)第1項を次のように改める。 |
| ‘1.A CSD shall identify sources of operational risk, both internal and external, and minimise their impact also through the deployment of appropriate ICT tools, processes and policies set up and managed in accordance with Regulation (EU) 2021/xx of the European Parliament and of the Council*[DORA], as well as through any other relevant appropriate tools, controls and procedures for other types of operational risk, including for all the securities settlement systems it operates. | 1.CSDは、内部及び外部のオペレーショナルリスクの原因を特定し、欧州議会及び理事会の規則(EU)2021/xx*[DORA]に従って設定及び管理される適切なICTツール、プロセス及び方針の展開、並びに、運営するすべての証券決済システムを含む他の種類のオペレーショナルリスクに関連する適切なツール、統制及び手続きによってもその影響を最小にしなければなりません。 |
| *Regulation (EU) 2021/xx of the European Parliament and of the Council […](OJ L XX, DD.MM.YYYY, p. X).’; | *Regulation (EU) 2021/xx of the European Parliament and of the Council [...](OJ L XX, DD.MM.YYYY, p. X)』とある。 |
| (2)paragraph 2 is deleted; | (2)第2項を削除する。 |
| (3)paragraphs 3 and 4 are replaced by the following: | (3)第3項及び第4項を次のように改める。 |
| ‘3. For services that it provides as well as for each securities settlement system that it operates, a CSD shall establish, implement and maintain an adequate business continuity and disaster recovery plan, including ICT business continuity and disaster recovery plans established in accordance with Regulation (EU) 2021/xx [DORA], to ensure the preservation of its services, the timely recovery of operations and the fulfilment of the CSD’s obligations in the case of events that pose a significant risk of disrupting operations. | '3. CSDは、その提供するサービス及び運営する証券決済システムごとに、業務が中断する重大なリスクをもたらす事象が発生した場合に、サービスの維持、業務の適時の復旧及びCSDの義務の履行を確保するために、規則(EU)2021/xx[DORA]に基づき策定したICT業務継続・災害復旧計画を含む適切な業務継続・災害復旧計画を策定、実施及び維持しなければなりません。 |
| 4. The plan referred to in paragraph 3 shall provide for the recovery of all transactions and participants’ positions at the time of disruption to allow the participants of a CSD to continue to operate with certainty and to complete settlement on the scheduled date, including by ensuring that critical IT systems can resume operations from the time of disruption as provided for in paragraphs (5) and (7) of Article 11 of Regulation (EU) 2021/xx [DORA].’; | 4. 第3項の計画は、CSDの参加者が確実に業務を継続し、予定日に決済を完了できるように、障害発生時のすべての取引と参加者のポジションの回復を規定しなければならない。これには、規則(EU)2021/xx[DORA]第11条(5)及び(7)に規定するように、重要なITシステムが障害発生時から業務を再開できることを確保することが含まれる。'とある。 |
| (4)in paragraph 6, the first subparagraph is replaced by the following: | (4)第6項において、第1号を次のように改める。 |
| ‘A CSD shall identify, monitor and manage the risks that key participants in the securities settlement systems it operates, as well as service and utility providers, and other CSDs or other market infrastructures might pose to its operations. It shall, upon request, provide competent and relevant authorities with information on any such risk identified. It shall also inform the competent authority and relevant authorities without delay of any operational incidents, other than in relation to ICT risk, resulting from such risks.’; | CSDは、その運営する証券決済システムの主要な参加者、サービス及びユーティリティの提供者、他のCSD又は他の市場インフラがその業務に及ぼすかもしれないリスクを特定し、監視及び管理しなければならない。要請があれば、所轄官庁および関連官庁に、確認された当該リスクに関する情報を提供しなければならない。また、当該リスクに起因する業務上の事故(ICT リスクに関連するもの以外)については、遅滞なく所轄官庁及び関連当局に報告すること。 |
| (5)in paragraph 7, the first subparagraph is replaced by the following: | (5)第7パラグラフにおいて、第1パラグラフを以下のように改める。 |
| ‘ESMA shall, in close cooperation with the members of the ESCB, develop draft regulatory technical standards to specify the operational risks referred to in paragraphs 1 and 6, other than ICT risks, and the methods to test, to address or to minimise those risks, including the business continuity policies and disaster recovery plans referred to in paragraphs 3 and 4 and the methods of assessment thereof.’. | ESMAは、ESCBのメンバーとの緊密な協力の下、ICTリスク以外の第1項及び第6項のオペレーショナルリスク、並びに第3項及び第4項の事業継続方針及び災害復旧計画並びにその評価方法を含む、これらのリスクに対するテスト、対処又は最小化の方法を規定する規制技術基準のドラフトを開発しなければならない』。 |
| Article 55 | 第55条 |
| Amendments to Regulation (EU) No 600/2014 | 規則(EU)No 600/2014の改正 |
| Regulation (EU) No 600/2014 is amended as follows: | 規則(EU) No 600/2014は、以下のように改正される。 |
| (1)Article 27g is amended as follows: | (1)第27条gを次のとおり改正する。 |
| (a)paragraph 4 is deleted; | (a)第4項が削除される。 |
| (b)in paragraph 8, point (c) is replaced by the following: | (b)第8項中、(c)を次のように改める。 |
| (c)‘(c) the concrete organisational requirements laid down in paragraphs 3 and 5.’; | (c)第3項及び第5項に規定する具体的な組織上の要求事項」を「(c)第3項及び第5項に規定する具体的な組織上の要求事項」を「(c)」に改める。 |
| (2)Article 27h is amended as follows: | (2)第27h条を次のように変更する。 |
| (a)paragraph 5 is deleted; | (a)第5項を削除する。 |
| (b)in paragraph 8, point (e) is replaced by the following: | (b)第八項中、(e)を次のように改める。 |
| ‘(e) the concrete organisational requirements laid down in paragraph 4.’; | (e)第四項に規定する具体的な組織上の要求事項」を加える。 |
| (3)Article 27i is amended as follows: | (3)第27i条を次のように変更する。 |
| (a)paragraph 3 is deleted; | (a)第3項を削除する。 |
| (b)in paragraph 5, point (b) is replaced by the following: | (b)第五項中(b)を次のように改める。 |
| ‘(b) the concrete organisational requirements laid down in paragraphs 2 and 4.’. | (b)第2項及び第4項に規定する具体的な組織上の要求事項」を「(b)第2項及び第4項に規定する具体的な組織上の要求事項」に改める。 |
| Article 56 | 第56条 |
| Entry into force and application | 発効及び適用 |
| This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | この規則は、欧州連合の官報に掲載された日の翌日から20日目に発効する。 |
| It shall apply from [PO: insert date - 12 months after the date of entry into force]. | この規則は、[PO:日付を挿入-発効日から12ヶ月後]から適用される。 |
| However, Articles 23 and 24 shall apply from [PO: insert date - 36 months after the date of entry into force of this Regulation]. | ただし、第23条および第24条は、[PO:日付を挿入-この規則の発効日から36ヶ月後]から適用されるものとする。 |
| This Regulation shall be binding in entirety and directly applicable in all Member States. | この規則は、全体として拘束力を有し、すべての加盟国において直接適用される。 |
| Done at Brussels, | ブリュッセルにおいて行われる。 |
| For the European Parliament For the Council | 欧州議会のため 理事会のため |
| The President The President | 議長 議長 |
« NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践 | Main | 欧州データ保護委員会 スロベニアデータ監督庁 財産の保護はGPS追跡の正当な利益となり得るが、その手段は適切かつ必要なものでなければならない »
Comments