« 欧州委員会 EUサイバー連帯法の提案 (2023.04.18) | Main | 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18) »

2023.04.21

欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会が、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案していますね。。。EUではすでに、ICT製品、ICTサービス、ICTプロセスの認証がありますが、それにマネージド・セキュリティサービスを加えるという感じですね。。。

 

 

⚫︎ European Commission

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

 

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
... ...
Certification Schemes for Managed Security Services マネージド・セキュリティサービスの認証スキーム
The Commission has also proposed today a targeted amendment to the Cybersecurity Act, to enable the future adoption of European certification schemes for ‘managed security services'. These are highly critical and sensitive services provided by cybersecurity service providers, such as incident response, penetration testing, security audits and consultancy, to assist companies and other organisations prevent, detect, respond or recover from cyber incidents. また、欧州委員会は本日、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案した。これらのサービスは、企業やその他の組織がサイバーインシデントを予防、検出、対応、回復するのを支援するために、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなど、サイバーセキュリティサービスプロバイダーが提供する非常に重要で機密性の高いサービスである。
Certification is key and can play an important role in the context of the EU Cybersecurity Reserve and the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive), facilitating also the cross-border provision of these services. 認証は重要であり、EUサイバーセキュリティ・リザーブおよびEU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS 2指令)の文脈において重要な役割を果たし、これらのサービスの国境を越えた提供をも促進することができる。
...  

 

・2023.04.18 Proposed Regulation on ‘managed security services’ amendment.

・[PDF

20230421-51859_20230421084201 

 

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services マネージド・セキュリティサービスに関して規則(EU)2019/881を改正する欧州議会および欧州評議会の規則(REGULATION OF THE EUROPEAN PARLIAMENT AND THE COUNCIL)の提案
EXPLANATORY MEMORANDUM  説明
1.  CONTEXT OF THE PROPOSAL  1.  提案の背景 
•  Reasons for and objectives of the proposal  ・提案の理由と目的
This explanatory memorandum accompanies the proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2019/881  as regards managed security services.  本説明書は、マネージド・セキュリティサービスに関する規則(EU)2019/881を改正する欧州議会及び理事会規則の提案に伴うものである。
The proposed targeted amendment aims to enable, by means of Commission implementing acts, the adoption of European cybersecurity certification schemes for ‘managed security services’, in addition to information and technology (ICT) products, ICT services and ICT processes, which are already covered under the Cybersecurity Act. Managed security services play an increasingly important role in the prevention and mitigation of cybersecurity incidents.   この一部改正案は、サイバーセキュリティ法の下で既に対象となっている情報技術(ICT)製品、ICTサービス、ICTプロセスに加え、「マネージド・セキュリティサービス」についても欧州のサイバーセキュリティ認証スキームの採用を、欧州委員会の実施行為によって可能にすることを目的としている。マネージド・セキュリティサービスは、サイバーセキュリティインシデントの予防と軽減において、ますます重要な役割を果たす。 
In its conclusions of 23 May 2022  on the development of the European Union’s cyber posture, the Council called upon the Union and its Member States to reinforce efforts to raise the overall level of cybersecurity, for example by facilitating the emergence of trusted cybersecurity service providers, and stressed that encouraging the development of such providers should be a priority for the industrial policy of the Union in the cybersecurity field. It also invited the Commission to propose options to encourage the emergence of a trusted cybersecurity service industry. The certification of managed security services is an effective means of building trust in the quality of those services and thereby facilitating the emergence of a trusted European cybersecurity service industry.  欧州連合のサイバー態勢の整備に関する2022年5月23日の結論において、理事会は欧州連合とその加盟国に対し、信頼できるサイバーセキュリティサービスプロバイダーの出現を促進するなどして、サイバーセキュリティ全体のレベルを高める努力を強化するよう求め、そのようなプロバイダーの開発を促進することがサイバーセキュリティ分野における欧州連合の産業政策の優先事項とすべきことを強調した。また、欧州委員会に対し、信頼できるサイバーセキュリティサービス産業の出現を促進するための選択肢を提案するよう求めた。マネージド・セキュリティサービスの認証は、そのサービスの品質に対する信頼を築き、それによって信頼できる欧州のサイバーセキュリティ・サービス産業の出現を促進する効果的な手段である。
The Joint Communication ‘EU Policy on Cyber Defence’ adopted by the Commission and the High Representative on 10 November 2022 , announced that the Commission would explore the development of EU-level cybersecurity certification schemes for cybersecurity industry and private companies. Managed security services providers will also play an important role in the EU-level cybersecurity reserve, the gradual set-up of which is supported by the Cyber Solidarity Act, proposed in parallel to this Regulation. The EU-level cybersecurity reserve is to be used to support response and immediate recovery actions in the event of significant and large-scale cybersecurity incidents. The relevant cybersecurity services provided by ‘trusted providers’ referred to in the Cyber Solidarity Act, correspond to ‘managed security services’ in this proposal.  2022年11月10日に欧州委員会と上級代表が採択した共同コミュニケーション「サイバー防衛に関するEU政策」では、欧州委員会がサイバーセキュリティ業界と民間企業向けにEUレベルのサイバーセキュリティ認証制度の開発を検討すると発表している。マネージド・セキュリティサービス・プロバイダーは、本規則と並行して提案された「サイバー連帯法」によって段階的に設立が支援されるEUレベルのサイバーセキュリティ準備金においても、重要な役割を果たすことになる。EUレベルのサイバーセキュリティ準備金は、重大かつ大規模なサイバーセキュリティ事件が発生した場合の対応と即時復旧行動を支援するために使用される予定である。サイバー連帯法で言及されている「信頼できるプロバイダー」が提供する関連サイバーセキュリティサービスは、本提案における「マネージド・セキュリティサービス」に相当する。
Some Member States have already begun adopting certification schemes for managed security services. There is therefore a growing risk of fragmentation of the internal market for managed security services owing to inconsistencies in cybersecurity certification schemes across the Union. This proposal enables the creation of European cybersecurity certification schemes for those services to prevent such fragmentation.   一部の加盟国は、すでにマネージド・セキュリティサービスの認証制度の採用を開始している。そのため、サイバーセキュリティ認証スキームが欧州連合内で一貫していないことにより、マネージド・セキュリティサービスの国内市場が断片化するリスクが高まっている。本提案は、このような断片化を防ぐため、管理型セキュリティサービスのための欧州サイバーセキュリティ認証制度の創設を可能にする。 
•  Consistency with existing policy provisions in the policy area  ・政策分野での既存の政策規定との整合性
This proposal is consistent with the Cybersecurity Act, which it amends. It builds on the provisions of that Regulation and adapts them to also include managed security services. The proposed amendments are limited to what is strictly necessary and do not alter the characteristics or the functioning of the Cybersecurity Act.   本提案は、改正するサイバーセキュリティ法と一致している。同規則の規定を基礎とし、マネージド・セキュリティサービスも含めるよう適応させるものである。この改正案は、厳密に必要なものに限定されており、サイバーセキュリティ法の特性や機能を変更するものではない。 
This proposal is also consistent with Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) . The providers of managed security services are considered to be essential or important entities belonging to a sector of high criticality under Directive (EU) 2022/2555. Recital 86 of that Directive states that managed security service providers, in areas such as incident response, penetration testing, security audits and consultancy, play a particularly important role in assisting entities in their efforts to prevent, detect, respond to or recover from incidents. Managed security service providers have however also themselves been the target of cyberattacks and pose a particular risk because of their close integration in the operations of their customers. Essential and important entities within the meaning of Directive (EU) 2022/2555 should therefore exercise increased diligence in selecting a managed security service provider.   この提案は、EU全体でサイバーセキュリティの高い共通レベルのための措置に関する2022年12月14日の欧州議会および理事会の指令(EU)2022/2555、規則(EU)No 910/2014および指令(EU)2018/1972の修正、および指令(EU)2016/1148(NIS 2指令)の廃止とも一致する 。マネージド・セキュリティサービスのプロバイダーは、指令(EU)2022/2555に基づき、高い重要性を持つセクターに属する必須または重要な事業体とみなされる。同指令の説明86は、インシデントレスポンス、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティサービスプロバイダーは、インシデントの予防、検出、対応、回復に取り組む事業者を支援する上で特に重要な役割を果たすと述べている。しかし、マネージド・セキュリティサービス・プロバイダーは、顧客の業務と密接に連携しているため、それ自体がサイバー攻撃の標的となっており、特別なリスクをもたらしている。したがって、指令(EU)2022/2555の意味における本質的かつ重要な事業体は、マネージド・セキュリティサービスプロバイダーを選択する際に、より高い注意を払う必要がある。 
This proposal aims to improve the quality of managed security services and to increase their comparability. It thereby enables essential and important entities to exercise the increased diligence in selecting a managed security service provider as required under Directive (EU) 2022/2555. Moreover, the definition of ‘managed security services’ in this proposal is derived from and very similar to the definition of ‘managed security services providers’ in Directive (EU) 2022/2555. For these reasons, the proposal is highly complementary with the NIS 2 Directive.  本提案は、マネージド・セキュリティサービスの質を向上させ、その比較可能性を高めることを目的としている。これにより、指令(EU)2022/2555で要求されるような、マネージド・セキュリティサービスプロバイダーの選択において、必須および重要な事業者がより高い注意力を発揮できるようになる。さらに、本提案における「マネージド・セキュリティサービス」の定義は、指令(EU)2022/2555における「マネージド・セキュリティサービスプロバイダー」の定義に由来し、非常に類似している。これらの理由から、本提案はNIS 2指令と高い補完性を持っている。
Finally, this proposal is complementary with the proposed Cyber Solidarity Act. The proposed Cyber Solidarity Act lays down a process to select the providers to form an EU-level cybersecurity reserve, which should, inter alia, take into account whether those providers have obtained European or national cybersecurity certification. Future certification schemes for managed security services will thus play a significant role in the implementation of the Cyber Solidarity Act.  最後に、本提案はサイバー連帯法案と補完関係にある。提案されているサイバー連帯法は、EUレベルのサイバーセキュリティ予備軍を形成するプロバイダーを選定するプロセスを定めており、特に、これらのプロバイダーが欧州または国内のサイバーセキュリティ認証を取得しているかどうかを考慮する必要がある。したがって、マネージド・セキュリティサービスに関する今後の認証制度は、サイバー連帯法の実施において重要な役割を果たすことになる。
•  Consistency with other Union policies  ・他のEU政策との整合性
This proposal does not affect the Cybersecurity Act’s consistency with Regulation (EU) 2016/679 (the General Data Protection Regulation, ‘GDPR’)  and its provisions on establishing certification mechanisms and data protection seals and marks for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The Cybersecurity Act remains without prejudice to the certification of data processing operations, including when such operations are embedded in products and services, under the GDPR.  この提案は、サイバーセキュリティ法と規則(EU)2016/679(一般データ保護規則、「GDPR」)との整合性、および管理者と処理者による処理業務の本規則への準拠を示すことを目的とした認証メカニズムおよびデータ保護シール・マークの確立に関するその規定には影響を与えない。サイバーセキュリティ法は、GDPRに基づくデータ処理業務の認証(当該業務が製品およびサービスに組み込まれている場合を含む)に影響を与えないままである。
Furthermore, this proposal does not affect the Cybersecurity Act’s compatibility with Regulation (EC) No 765/2008 on accreditation and market surveillance requirements , in particular as regards the framework on national accreditation bodies and conformity assessment bodies, and national certification supervisory authorities.  さらに、本提案は、認定および市場監視要件に関する規則(EC)No 765/2008 との互換性、特に国家認定団体および適合性評価団体、国家認証監督当局に関する枠組みに関して、サイバーセキュリティ法の互換性に影響を与えない。
2.  LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY  2.  法的根拠、補完性、比例性 
• Legal basis  ・法的根拠
This proposal amends the Cybersecurity Act, which is based on Article 114 of the Treaty on the functioning of the European Union (TFEU). As in the case of the Cybersecurity Act, this proposal aims to avoid fragmentation of the internal market, namely by enabling the adoption of European cybersecurity certification schemes for managed security services. Member States have started to adopt national certification schemes for managed security services. There is thus a concrete risk of fragmentation of the internal market for these services, which the present proposal aims to address. Therefore, Article 114 TFEU is the relevant legal basis for this initiative.  本提案は、欧州連合の機能に関する条約(TFEU)第114条に基づくサイバーセキュリティ法を改正するものである。サイバーセキュリティ法の場合と同様に、本提案は、マネージド・セキュリティサービスに対する欧州のサイバーセキュリティ認証スキームの採用を可能にすることによって、内部市場の分断を回避することを目的としている。加盟国は、マネージド・セキュリティサービスのための国内認証スキームの採用を開始している。このため、これらのサービスに関する国内市場の断片化の具体的なリスクがあり、本提案がこれを解決することを目的としている。したがって、TFEU114条は、この構想の関連する法的根拠となる。
• Subsidiarity (for non-exclusive competence)   ・補助性(非独占的な権限について)
The objective of enabling the adoption of European cybersecurity certification schemes for managed security and avoiding fragmentation of the internal market cannot be achieved at national level but only at Union level. Furthermore, managed security services, which are the targeted subject of the proposed amendment, are offered by providers active across the Union, as are their largest potential customers. Action at Union level is therefore both necessary and more effective than action at national level.  マネージドセキュリティに関する欧州のサイバーセキュリティ認証制度の採用を可能にし、国内市場の分断を回避するという目的は、国レベルでは達成できず、連合レベルでしか達成できない。さらに、改正案の対象であるマネージド・セキュリティサービスは、EU全域で活動するプロバイダーによって提供されており、その最大の潜在顧客も同様である。したがって、EUレベルでの行動は、国内レベルでの行動よりも必要であり、かつ効果的である。
• Proportionality  ・比例性
The proposal is a targeted amendment of the Cybersecurity Act. It is limited to what is strictly necessary to achieve its objective, namely to enable the adoption of European cybersecurity certification schemes for managed security services, in addition to ICT products, ICT services and ICT processes. The proposed amendments adapt, in particular, the scope of the European cybersecurity certification framework to include ‘managed security services’, introduce a definition of those services in line with the NIS 2 Directive, and amend the security objectives of European cybersecurity certification in order to adapt it to ‘managed security services’. The other amendments are of a technical nature and are intended to ensure that the relevant articles apply also to ‘managed security services’.  The proposed initiative is thus proportionate to the objective.   本提案は、サイバーセキュリティ法の的を絞った改正である。その目的は、ICT製品、ICTサービス、ICTプロセスに加え、管理されたセキュリティサービスに対する欧州のサイバーセキュリティ認証制度の採用を可能にすることであり、その目的を達成するために厳密に必要なものに限定されている。今回の改正案では、特に、欧州サイバーセキュリティ認証の枠組みの範囲を「マネージド・セキュリティサービス」に適応させ、NIS 2指令に沿ったサービスの定義を導入し、欧州サイバーセキュリティ認証のセキュリティ目標を「マネージド・セキュリティサービス」に適応させるために改正する。その他の改正は技術的なもので、関連する条文が「マネージド・セキュリティサービス」にも適用されるようにするためのものである。 このように、提案されたイニシアチブは、目的に比例したものである。 
• Choice of the instrument  ・手法の選択
As the proposal amends Regulation (EU) 2019/881, the appropriate legal instrument is a Regulation.  本提案は規則(EU)2019/881を改正するものであるため、適切な法制度は規則である。
3.  RESULTS  OF  EX POST  EVALUATIONS,  STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS 
3. 事後評価、ステークホルダーとの協議、影響評価の結果 
• Ex post evaluations/fitness checks of existing legislation ・既存法の事後評価/適合性チェック
 Not applicable.  該当なし。
• Stakeholder consultations  ・ステークホルダーとの協議
Targeted consultations with Member States and ENISA have been carried out. In these consultations, Member States described their current activities and views as regards certification of managed security services. ENISA explained its views and its findings from discussions with Member States and stakeholders. The comments and information received from Member States and ENISA have fed into this proposal.  加盟国およびENISAとの的を絞った協議が実施された。これらの協議において、加盟国は、マネージド・セキュリティサービスの認証に関する現在の活動や見解を説明した。ENISAは、加盟国や利害関係者との議論から得た見解とその所見を説明した。加盟国及びENISAから受領したコメント及び情報は、本提案に反映された。
• Collection and use of expertise  ・専門知識の収集と活用 
Not applicable.  該当なし。
• Impact assessment  ・影響度評価
A waiver from the need for an impact assessment has been requested as the proposal is a very limited and targeted amendment to the Cybersecurity Act. It would empower the Commission to adopt, by means of implementing acts, certification schemes for ‘managed security services’, in addition to ICT products, ICT services and ICT processes, which are already covered by the Act. However, the amendment would only have an effect once such certification schemes are adopted at a later stage. Moreover, the amendment would not change the voluntary character of the certification schemes. • Regulatory fitness and simplification Not applicable.  この提案は、サイバーセキュリティ法の非常に限定的で的を絞った改正であるため、影響評価の必要性の免除を要請している。この改正は、同法がすでに対象としているICT製品、ICTサービス、ICTプロセスに加え、「マネージド・セキュリティサービス」の認証スキームを実施法によって採択する権限を欧州委員会に与えるものである。しかし、この改正は、そのような認証スキームが後の段階で採用された場合にのみ効果を発揮することになる。さらに、この改正は、認証制度の自発的な性格を変更するものではない。・規制の適性化と簡素化 該当しない。
•  Fundamental rights  ・基本的権利
The proposal does not have any foreseeable consequences for the protection of fundamental rights.   本提案は、基本的人権の保護に予見される結果をもたらすものではない。 
4. BUDGETARY IMPLICATIONS  4. 予算上の影響 
None.  なし。
5. OTHER ELEMENTS  5. その他の要素 
• Implementation plans and monitoring, evaluation and reporting arrangements  ・実施計画およびモニタリング,評価,報告の取り決め
The provisions to be amended by the proposal will be evaluated as part of the periodic evaluation of the Cybersecurity Act to be carried out by the Commission in accordance with Article 67 thereof. That evaluation assesses, inter alia, the impact, effectiveness and efficiency of the provisions on the Cybersecurity Certification Framework with regard to the objectives of ensuring an adequate level of cybersecurity of ICT products, ICT services and ICT processes in the Union and of improving the functioning of the internal market. The proposal contains an amendment that ensures that the evaluation is also to cover managed security services. The Commission also sends a report on the evaluation and its conclusions to the European Parliament, the Council and the ENISA Management Board and makes the findings of the report public.   本提案により改正される規定は、その第67条に従って欧州委員会が実施するサイバーセキュリティ法の定期的な評価の一環として評価される予定である。この評価は、特に、連合におけるICT製品、ICTサービス、ICTプロセスの適切なレベルのサイバーセキュリティを確保するという目的、および域内市場の機能を改善するという目的に関して、サイバーセキュリティ認証フレームワークに関する規定の影響、効果、効率性を評価する。この提案には、管理されたセキュリティサービスも評価の対象とすることを保証する修正案が含まれている。また、欧州委員会は、評価とその結論に関する報告書を欧州議会、理事会、ENISA管理委員会に送付し、報告書の調査結果を公表する。 
• Detailed explanation of the specific provisions of the proposal  ・提案の具体的な条項の詳細説明
The proposal contains two articles. While Article 1 contains the amendments to Regulation (EU) 2019/881, Article 2 concerns the entry into force. Article 1 contains targeted amendments to amend the scope of the European cybersecurity certification framework in the Cybersecurity Act to include ‘managed security services’ (Articles 1 and 46 of the Cybersecurity Act). It introduces a definition of those services, which is very closely aligned to the definition of ‘managed security services providers’ under the NIS 2 Directive (Article 2 of the Cybersecurity Act). It also adds a new Article 51a on the security objectives of European cybersecurity certification adapted to ‘managed security services’. Lastly, the proposal contains a number of technical amendments to ensure that the relevant articles apply also to ‘managed security services’.  この提案には2つの条文が含まれている。第1条が規則(EU)2019/881の改正を含む一方で、第2条は発効に関するものである。第1条には、サイバーセキュリティ法における欧州サイバーセキュリティ認証の枠組みの範囲を改正し、「マネージド・セキュリティサービス」(サイバーセキュリティ法第1条および第46条)を含めるための的を射た改正が含まれている。これは、NIS 2指令に基づく「マネージド・セキュリティサービスプロバイダー」の定義(サイバーセキュリティ法第2条)に非常に近いものであり、これらのサービスの定義を導入している。また、「マネージド・セキュリティサービス」に適用される欧州サイバーセキュリティ認証のセキュリティ目標に関する新しい第51a条も追加される。最後に、本提案は、関連する条文が「マネージド・セキュリティサービス」にも適用されるようにするための多くの技術的修正を含んでいる。
2023/0108 (COD)  2023/0108 (コード) 
Proposal for a  を提案する。
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL  欧州議会および欧州理事会規則 
amending Regulation (EU) 2019/881 as regards managed security services  マネージド・セキュリティサービスに関する規則(EU)2019/881を改正する。
(Text with EEA relevance)  (EEAに関連するテキスト)。
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,  欧州議会と欧州連合理事会、 
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,  欧州連合の機能に関する条約、特にその第114条を考慮すること、 
Having regard to the proposal from the European Commission,  欧州委員会からの提案に配慮して、 
After transmission of the draft legislative act to the national parliaments,  立法草案が各国議会に伝達された後、 
Having regard to the opinion of the European Economic and Social Committee,  欧州経済社会委員会の意見に留意すること、 
Having regard to the opinion of the Committee of the Regions;  地域委員会の意見を考慮すること; 
Acting in accordance with the ordinary legislative procedure, Whereas:  通常の立法手続に従って行動する、以下である: 
(1) Regulation (EU) 2019/881 of the European Parliament and of the Council  sets up a framework for the establishment of European cybersecurity certification schemes for the purpose of ensuring an adequate level of cybersecurity for ICT products, ICT services and ICT processes in the Union, as well as for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the Union.  (1) 欧州議会及び欧州理事会の規則(EU)2019/881は、連合におけるICT製品、ICTサービス及びICTプロセスの適切なレベルのサイバーセキュリティを確保することを目的として、また、連合におけるサイバーセキュリティ認証スキームに関する国内市場の分断を回避することを目的として、欧州サイバーセキュリティ認証スキームの設立のための枠組みを設定する。
(2) Managed security services, which are services consisting of carrying out, or providing assistance for, activities relating to their customers’ cybersecurity risk management, have gained increasing importance in the prevention and mitigation of cybersecurity incidents. Accordingly, the providers of those services are considered as essential or important entities belonging to a sector of high criticality pursuant to Directive (EU) 2022/2555 of the European Parliament and of the Council . Pursuant to Recital 86 of that Directive, managed security service providers in areas such as incident response, penetration testing, security audits and consultancy, play a particularly important role in assisting entities in their efforts to prevent, detect, respond to or recover from incidents. Managed security service providers have however also themselves been the  (2) マネージド・セキュリティサービスは,顧客のサイバーセキュリティリスク管理に関する活動を実施し,又はその支援を提供することからなるサービスであり,サイバーセキュリティ事件の予防及び軽減において重要性が増している。したがって、これらのサービスの提供者は、欧州議会および理事会の指令(EU)2022/2555に基づき、高い重要性を有する部門に属する必須または重要な事業体とみなされる。同指令の説明86によれば、インシデントレスポンス、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティサービスプロバイダーは、インシデントの予防、検出、対応、回復のための努力において、企業を支援する上で特に重要な役割を担っている。しかし、マネージド・セキュリティサービスプロバイダーは、それ自体もまた、インシデントの予防、検出、対応、回復のための努力を支援する重要な役割を果たしている。
target of cyberattacks and pose a particular risk because of their close integration in the operations of their customers. Essential and important entities within the meaning of Directive (EU) 2022/2555 should therefore exercise increased diligence in selecting a managed security service provider.  サイバー攻撃の標的であり、顧客の業務に密接に統合されているため、特にリスクが高い。したがって、指令(EU)2022/2555の意味における本質的かつ重要な事業体は、マネージド・セキュリティサービスプロバイダーを選択する際に、より高い注意を払う必要がある。
(3) Managed security services providers also play an important role in the EU Cybersecurity Reserve whose gradual set-up is supported by Regulation (EU) …/…. [laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]    The EU Cybersecurity Reserve is to be used to support response and immediate recovery actions in case of significant and large-scale cybersecurity incidents. Regulation (EU)  (3) マネージド・セキュリティサービスプロバイダーは、規則(EU).../...によって段階的に設立が支援されているEUサイバーセキュリティ・リザーブにおいても重要な役割を果たす。[EUサイバーセキュリティ・リザーブは、重大かつ大規模なサイバーセキュリティ事件が発生した場合の対応と即時復旧行動を支援するために使用される。規則(EU) 
…/…[laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]  lays down a selection process for the providers forming the EU Cybersecurity Reserve, which should, inter alia, take into account whether the provider concerned has obtained a  .../...(サイバーセキュリティの脅威や事件を検知し、それに備え、対応するための結束と能力を強化するための措置を定めたもの)は、EUサイバーセキュリティ・リザーブを形成するプロバイダーの選定プロセスを規定しており、特に、当該プロバイダーが認証を受けているかどうかを考慮する必要があるとしている。
European or national cybersecurity certification. The relevant services provided by ‘trusted providers’ according to  Regulation (EU) …./…..[laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]  correspond to ‘managed security services’ in accordance with this Regulation.  欧州または国のサイバーセキュリティ認証。規則(EU)....../......(サイバーセキュリティの脅威およびインシデントを検出し、準備し、対応するための連合における連帯および能力を強化するための措置を定める)に従って「信頼できるプロバイダー」が提供する関連サービスは、本規則に基づく「マネージド・セキュリティサービス」に相当する。
(4) Certification of managed security services is not only relevant in the selection process for the EU Cybersecurity Reserve but it is also an essential quality indicator for private and public entities that intend to purchase such services. In light of the criticality of the managed security services and the sensitivity of the data they process, certification could provide potential customers with important guidance and assurance about the trustworthiness of these services. European certification schemes for managed security services contribute to avoiding fragmentation of the single market. This Regulation therefore aims at enhancing the functioning of the internal market.  (4) マネージド・セキュリティサービスの認証は、EUサイバーセキュリティ・リザーブの選考プロセスに関連するだけでなく、当該サービスを購入しようとする民間および公的機関にとって不可欠な品質指標である。マネージド・セキュリティサービスの重要性と、それらが処理するデータの機密性を考慮すると、認証は潜在的な顧客に対して、これらのサービスの信頼性についての重要な指針と保証を提供し得る。マネージド・セキュリティサービスに関する欧州の認証制度は、単一市場の断片化を回避することに貢献する。したがって、本規則は、域内市場の機能を強化することを目的としている。
(5) In addition to the deployment of ICT products, ICT services or ICT processes, managed security services often provide additional service features that rely on the competences, expertise and experience of their personnel. A very high level of these competences, expertise and experience as well as appropriate internal procedures should be part of the security objectives in order to ensure a very high quality of the managed security services provided. In order to ensure that all aspects of a managed security service can be covered by a certification scheme, it is therefore necessary to amend Regulation (EU) 2019/881   (5) ICT製品、ICTサービス又はICTプロセスの展開に加えて、マネージド・セキュリティサービスは、その担当者の能力、専門知識及び経験に依存する付加的なサービス機能を提供することが多い。提供されるマネージド・セキュリティサービスの非常に高い品質を確保するために、これらの能力、専門知識及び経験の非常に高いレベル、並びに適切な内部手続は、セキュリティ目標の一部でなければならない。したがって、マネージド・セキュリティサービスのすべての側面を認証スキームでカバーできるようにするために、規則(EU)2019/881の改正が必要である。 
The European Data Protection Supervisor was consulted in accordance with  に従い、欧州データ保護監督者に相談した。
Article 42(1) of Regulation (EU) 2018/1725 of the European Parliament and of the Council  and delivered an opinion on [DD/MM/YYYY HAVE ADOPTED THIS REGULATION:  欧州議会及び理事会の規則(EU)2018/1725の第42条(1)項に基づき、[DD/MM/YYYYY HAVE ADOPTED THIS REGULATION]に意見を届けた: 
Article 1  第1条 
Amendments to Regulation (EU) 2019/881 Regulation (EU) 2019/881 is amended as follows:  規則(EU)2019/881の改正 規則(EU)2019/881を、以下のように改める: 
(1) in Article 1(1), first subparagraph, point (b) is replaced by the following:  (1) 第1条(1)第1号において、ポイント(b)を以下のように置き換える: 
‘(b) a framework for the establishment of European cybersecurity certification schemes for the purpose of ensuring an adequate level of cybersecurity for ICT products, ICT services, ICT processes, and managed security services in the Union, as well as for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the Union.’;  '(b)連合におけるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに対する適切なレベルのサイバーセキュリティを確保する目的、並びに連合におけるサイバーセキュリティ認証スキームに関する国内市場の分断を回避する目的のための欧州サイバーセキュリティ認証スキームの構築の枠組み'; 
(2) Article 2 is amended as follows:  (2) 第2条を、以下のように改める: 
(a) points 9, 10 and 11 are replaced by the following:  (a) 第 9 、第 10 及び第 11 を、以下のように置き換える: 
‘(9) ‘European cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures that are established at Union level and that apply to the certification or conformity assessment of specific ICT products, ICT services, ICT processes, or managed security services;  '(9)「欧州サイバーセキュリティ認証制度」とは、連合レベルで確立され、特定のICT製品、ICTサービス、ICTプロセス、または管理されたセキュリティサービスの認証または適合性評価に適用される、規則、技術要件、基準および手続きの包括的なセットをいう; 
’(10) ‘national cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures developed and adopted by a national public authority and that apply to the certification or conformity assessment of ICT products, ICT services, ICT processes and managed security services falling under the scope of the specific scheme; (11) ‘European cybersecurity certificate’ means a document issued by a relevant body, attesting that a given ICT product, ICT service, ICT process or managed security service has been evaluated for compliance with specific security requirements laid down in a European cybersecurity certification scheme;’;  (10) 「国家サイバーセキュリティ認証スキーム」とは、国家公的機関が開発し採用した、特定のスキームの範囲に属するICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスの認証又は適合性評価に適用される、規則、技術要件、標準及び手続きの包括的セットをいう。 (11) 「欧州サイバーセキュリティ認証」とは、所定のICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが欧州サイバーセキュリティ認証スキームに定められた特定のセキュリティ要件に準拠して評価を受けていることを証明する関連機関が発行した文書、' をいう; 
(b) the following point is inserted:  (b) 次を挿入する: 
‘(14a) ‘managed security service’ means a service consisting of carrying out, or providing assistance for, activities relating to cybersecurity risk management, including incident response, penetration testing, security audits and consultancy’;  (14a)「マネージド・セキュリティサービス」とは、インシデント対応、侵入テスト、セキュリティ監査及びコンサルティングを含むサイバーセキュリティリスク管理に関する活動を実施し、又はそのための支援を提供することからなるサービスを意味する」; 
(c) points 20, 21 and 22 are  replaced by the following:  (c) 第20、第21及び第22を、以下のように置き換える: 
‘(20) ‘technical specifications’ means a document that prescribes the technical requirements to be met by, or conformity assessment procedures relating to, an ICT product, ICT service, ICT process or managed security service;  (20) 「技術仕様」とは、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが満たすべき技術要件又は適合性評価手順を規定する文書をいう; 
(21) ‘assurance level’ means a basis for confidence that an ICT product, ICT service, ICT process or managed security service meets the security requirements of a specific European cybersecurity certification scheme, and indicates the level at which an ICT product, ICT service, ICT process or managed security service has been evaluated but as such does not measure the security of the ICT product, ICT service, ICT process or managed security service concerned;  (21) 「保証レベル」とは、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが、特定の欧州サイバーセキュリティ認証スキームのセキュリティ要件を満たしていると確信するための根拠を意味し、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが評価されたレベルを示すが、そのため当該ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスのセキュリティは測定しない; 
(22) ‘conformity self-assessment’ means an action carried out by a manufacturer or provider of ICT products, ICT services, or ICT processes or managed security services, which evaluates whether those ICT products, ICT services, ICT processes or managed security services meet the requirements of a specific European cybersecurity certification scheme;’;  (22) 「適合性自己評価」とは、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者が実施する行為であって、当該ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが特定の欧州サイバーセキュリティ認証スキームの要件を満たしているかどうかを評価するものをいう」; 
(3) in Article 4, paragraph 6 is replaced by the following  (3) 第4条第6項を以下のように改める
‘6. ENISA shall promote the use of European cybersecurity certification, with a view to avoiding the fragmentation of the internal market. ENISA shall contribute to the establishment and maintenance of a European cybersecurity certification framework in accordance with Title III of this Regulation, with a view to increasing the transparency of the cybersecurity of ICT products, ICT services, ICT processes, and managed security services, thereby strengthening trust in the digital internal market and its competitiveness.’;  '6. ENISAは、国内市場の分断を回避する観点から、欧州のサイバーセキュリティ認証の利用を促進するものとする。ENISAは、ICT製品、ICTサービス、ICTプロセス、管理されたセキュリティサービスのサイバーセキュリティの透明性を高め、それによってデジタル内部市場の信頼と競争力を強化することを目的として、本規則のタイトルIIIに従って欧州サイバーセキュリティ認証枠組みの確立と維持に貢献しなければならない'; 
(4) Article 8 is amended as follows:  (4) 第8条は、以下のように改める: 
(a) paragraph 1 is replaced by the following:  (a) 第1項を以下のように改める: 
‘1. ENISA shall support and promote the development and implementation of Union policy on cybersecurity certification of ICT products, ICT services, ICT processes and managed security services, as established in Title III of this Regulation, by:  1. ENISAは、本規則のタイトルIIIに定める、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスのサイバーセキュリティ認証に関する連合政策の策定及び実施を、以下の方法により支援し促進するものとする: 
(a) monitoring developments, on an ongoing basis, in related areas of standardisation and recommending appropriate technical specifications for use in the development of European cybersecurity certification schemes pursuant to Article 54(1), point (c), where standards are not available;  (a) 標準化の関連分野の発展を継続的に監視し、標準が利用できない場合には、第54条(1)の(c)に従って欧州サイバーセキュリティ認証スキームの開発で使用するための適切な技術仕様を推奨する; 
(b) preparing candidate European cybersecurity certification schemes (‘candidate schemes’) for ICT products, ICT services, ICT processes and managed security services in accordance with Article 49;  (b) 第49条に従って、ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに関する欧州サイバーセキュリティ認証スキームの候補(「候補スキーム」)を作成すること; 
(c) evaluating adopted European cybersecurity certification schemes in accordance with Article 49(8);  (c) 第49条(8)に従って、採用された欧州サイバーセキュリティ認証スキームを評価すること; 
(d) participating in peer reviews pursuant to Article 59(4);  (d) 第59条(4)に基づくピアレビューに参加すること; 
(e) assisting the Commission in providing the secretariat of the ECCG pursuant to Article 62(5).’;  (e) 第62条(5)に基づき、ECCGの事務局を提供するために委員会を支援すること; 
(b) paragraph 3 is replaced by the following:  (b) 第3項を以下のように改める: 
‘3. ENISA shall compile and publish guidelines and develop good practices, concerning the cybersecurity requirements for ICT products, ICT services, ICT processes and managed security services, in cooperation with national cybersecurity certification authorities and industry in a formal, structured and transparent way.’;  3. ENISAは、各国のサイバーセキュリティ認証機関および産業界と協力して、ICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスのサイバーセキュリティ要件に関するガイドラインを、公式、構造的かつ透明性のある方法で編集、公表し、優良事例を開発しなければならない; 
(c) paragraph 5 is replaced by the following:  (c) 第5項を以下のように置き換える: 
‘5. ENISA shall facilitate the establishment and take-up of European and international standards for risk management and for the security of ICT products, ICT services, ICT processes and managed security services.’;  '5. ENISAは、リスク管理及びICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティ・サービスのセキュリティに関する欧州及び国際的な基準の確立及び導入を促進するものとする; 
(5) in Article 46, paragraphs 1 and 2 are replaced by the following:  (5) 第46条第1項及び第2項を以下のように改める:
‘1.   The European cybersecurity certification framework shall be established in order to improve the conditions for the functioning of the internal market by increasing the level of cybersecurity within the Union and enabling a harmonised approach at Union level to European cybersecurity certification schemes, with a view to creating a digital single market for ICT products, ICT services, ICT processes and managed security services.’;  1.欧州サイバーセキュリティ認証枠組みは、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスのデジタル単一市場の創設を目的として、連合内のサイバーセキュリティのレベルを高め、欧州サイバーセキュリティ認証スキームに対する連合レベルでの調和したアプローチを可能にすることによって内部市場の機能に関する条件を改善するために、設立するものとする'; 
2. The European cybersecurity certification framework shall provide for a mechanism to establish European cybersecurity certification schemes. It shall attest that the ICT products, ICT services and ICT processes that have been evaluated in accordance with such schemes comply with specified security requirements for the purpose of protecting the availability, authenticity, integrity or confidentiality of stored or transmitted or processed data or the functions or services offered by, or accessible via, those products, services and processes throughout their life cycle. In addition, it shall attest that managed security services that have been evaluated in accordance with such schemes comply with specified security requirements for the purpose of protecting the availability, authenticity, integrity and confidentiality of data, which are accessed, processed, stored or transmitted in relation to the provision of those services, and that those services are provided continuously with the requisite competence, expertise and experience by staff with a very high level of relevant technical knowledge and professional integrity.’;   2. 欧州サイバーセキュリティ認証の枠組みは、欧州サイバーセキュリティ認証スキームを確立するためのメカニズムを提供するものとする。欧州サイバーセキュリティ認証の枠組みは、欧州サイバーセキュリティ認証制度を確立するためのメカニズムを提供し、当該制度に従って評価されたICT製品、ICTサービス及びICTプロセスが、保存又は送信若しくは処理されたデータ又は当該製品、サービス及びプロセスによって提供又はアクセスされる機能若しくはサービスの可用性、真正性、完全性若しくは機密性をそのライフサイクルを通じて守ることを目的とした所定のセキュリティ要件に適合することを保証しなければならない。さらに、当該制度に従って評価されたマネージド・セキュリティサービスが、当該サービスの提供に関連してアクセス、処理、保存又は伝送されるデータの可用性、真正性、完全性及び機密性の保護を目的とする所定のセキュリティ要件に準拠していること、並びに当該サービスが、極めて高いレベルの関連技術知識及び専門的誠実性を有するスタッフにより、必要な能力、専門知識及び経験とともに継続的に提供されていることを証明しなければならない」;  
(6) in Article 47, paragraphs 2 and 3 are replaced by the following:  (6) 第47条第2項及び第3項を以下のように改める:
‘2.   The Union rolling work programme shall in particular include a list of ICT products, ICT services and ICT processes or categories thereof, and managed security services, that are capable of benefiting from being included in the scope of a European cybersecurity certification scheme.  2.連合ローリング作業計画は、特に、欧州のサイバーセキュリティ認証スキームの範囲に含めることで利益を得ることができるICT製品、ICTサービス、ICTプロセスまたはそのカテゴリ、およびマネージド・セキュリティサービスのリストを含むものとする。
3. Inclusion of specific ICT products, ICT services and ICT processes or categories thereof, or of managed security services, in the Union rolling work programme shall be justified on the basis of one or more of the following grounds:  3. 特定の ICT 製品、ICT サービス、ICT プロセスまたはそのカテゴリ、あるいは管理されたセキュリ ティサービスを連合のローリング作業計画に含めることは、以下の 1 つ以上の根拠に基づいて正当化されるものとする: 
(a) the availability and the development of national cybersecurity certification schemes covering a specific category of ICT products, ICT services, or ICT processes or managed security services and, in particular, as regards the risk of fragmentation;  (a) ICT 製品、ICT サービス、ICT プロセス又はマネージド・セキュリティサービスの特定のカテゴリーを対象とし、特に断片化のリスクに関して、各国のサイバーセキュリティ認証スキームが利用可能であり、発展している; 
(b) relevant Union or Member State law or policy;  (b) 関連する連合国又は加盟国の法律又は政策; 
(c) market demand;  (c) 市場の需要; 
(d) developments in the cyber threat landscape;  (d) サイバー脅威の状況における進展; 
(e) request for the preparation of a specific candidate scheme by the ECCG.’;  (e) ECCGによる特定の候補スキームの作成に対する要求』; 
(7) in Article 49, paragraph 7 is replaced by the following:   (7) 第49条第7項を以下のように改める:  
‘7.   The Commission, based on the candidate scheme prepared by ENISA, may adopt implementing acts providing for a European cybersecurity certification scheme for ICT products, ICT services, ICT processes and managed security services which meets the requirements set out in Articles 51, 52 and 54. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 66(2).’;  '7.   欧州委員会は、ENISAが作成した候補スキームに基づいて、第51条、第52条および第54条に定める要件を満たすICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスに対する欧州サイバーセキュリティ認証スキームを定める実施法を採択できる。これらの実施法は、第66条第2項にいう審査手続に従って採択されなければならない; 
(8) Article 51 is amended as follows:  (8) 第 51 条を以下のように改める: 
(a) the title is replaced by the following:  (a)表題を以下のように改める: 
Security objectives of European cybersecurity certification schemes for ICT products, ICT services and ICT processes  ICT製品、ICTサービス及びICTプロセスに対する欧州のサイバーセキュリティ認証制度のセキュリティ目標 
(b) the introductory sentence is replaced by the following:  (b) 導入文を以下のように置き換える: 
‘A European cybersecurity certification scheme for ICT products, ICT services or ICT processes shall be designed to achieve, as applicable, at least the following security objectives:’  ICT製品、ICTサービスまたはICTプロセスに関する欧州のサイバーセキュリティ認証制度は、該当する場合、少なくとも次のセキュリティ目標を達成するように設計されなければならない」
(9)  The following Article is inserted:   (9)次の条文を挿入する:  
‘Article 51a  第 51a 条 
Security objectives of European cybersecurity certification schemes for managed security services  マネージド・セキュリティサービスにおける欧州のサイバーセキュリティ認証制度のセキュリティ目標 
‘A European cybersecurity certification scheme for managed security services shall be designed to achieve, as applicable, at least the following security objectives:  マネージド・セキュリティサービスの欧州サイバーセキュリティ認証スキームは、該当する場合、少なくとも以下のセキュリティ目的を達成するように設計されなければならない: 
(a) ensure that the managed security services are provided with the requisite competence, expertise and experience, including that the staff in charge of providing these services has a very high level of technical knowledge and competence in the specific field, sufficient and appropriate experience, and the highest degree of professional integrity;   (a) マネージド・セキュリティサービスが、必要な能力、専門知識及び経験(これらのサービスを提供する担当スタッフが、特定の分野における非常に高いレベルの技術的知識及び能力、十分かつ適切な経験、並びに最高度の専門的誠実さを有することを含む)をもって提供されることを保証する;  
(b) ensure that the provider has appropriate internal procedures in place to ensure that the managed security services are provided at a very high level of quality at all times ;  (b) マネージド・セキュリティサービスが常に非常に高いレベルの品質で提供されることを保証するために、プロバイダが適切な内部手続を有していることを保証する; 
(c) protect data accessed, stored, transmitted or otherwise processed in relation to the provision of managed security services against accidental or unauthorised access, storage,  disclosure, destruction, other processing, or loss or alteration or lack of availability;  (c) マネージド・セキュリティサービスの提供に関連してアクセス、保存、送信またはその他の処理が行われるデータを、偶発的または不正なアクセス、保存、開示、破壊、その他の処理、または損失、改ざん、可用性の欠如から保護する; 
(d) ensure that the availability and access to data, services and functions is restored in a timely manner in the event of a physical or technical incident;  (d) 物理的または技術的な事故が発生した場合、データ、サービスおよび機能への可用性およびアクセスが適時に回復されることを保証すること; 
(e) ensure that authorised persons, programs or machines are able only to access the data, services or functions to which their access rights refer;  (e) 権限を有する者、プログラム又は機械が、そのアクセス権が参照するデータ、サービス又は機能のみにアクセスできることを保証すること; 
(f) record, and enable to assess, which data, services or functions have been accessed, used or otherwise processed, at what times and by whom;  (f) どのデータ、サービス又は機能が、何時、誰によって、アクセス、使用又はその他の処理をされたかを記録し、評価できるようにすること; 
(g) ensure that the ICT products, ICT services and ICT processes [and the hardware] deployed in the provision of the managed security services are secure by default and by design, do not contain known vulnerabilities and include the latest security updates;’;  (g) マネージド・セキュリティサービスの提供において展開されるICT製品、ICTサービス、ICTプロセス(およびハードウェア)が、デフォルトおよび設計上安全であり、既知の脆弱性を含まず、最新のセキュリティ更新を含むことを保証すること」; 
(10)   Article 52 is amended as follows:  (10) 第 52 条は、以下のとおり改める: 
 (a)  paragraph 1 is replaced by the following:   (a) 第1項を以下のように置き換える: 
‘1.   A European cybersecurity certification scheme may specify one or more of the following assurance levels for ICT products, ICT services, ICT processes and managed security services: ‘basic’, ‘substantial’ or ‘high’. The assurance level shall be commensurate with the level of the risk associated with the intended use of the ICT product, ICT service, ICT process or managed security service, in terms of the probability and impact of an incident.’;  1.   欧州サイバーセキュリティ認証制度は、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスについて、以下の保証レベルのうち1つ以上を指定することができる: 基本」、「実質」または「高」。保証レベルは、インシデントの確率及び影響の観点から、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの意図された使用に関連するリスクのレベルに見合ったものでなければならない'; : 
(b) paragraph 3 is replaced by the following:  (b) 第3項を次のように置き換える
‘3.   The security requirements corresponding to each assurance level shall be provided in the relevant European cybersecurity certification scheme, including the corresponding security functionalities and the corresponding rigour and depth of the evaluation that the ICT product, ICT service, ICT process or managed security service is to undergo.’; (c) paragraphs 5, 6 and 7 are replaced by the following:  3.   各保証レベルに対応するセキュリティ要件は、対応するセキュリティ機能、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが受けるべき評価の厳しさと深さを含め、関連する欧州サイバーセキュリティ認証スキームに提供されなければならない」;(c)第5、6および7項は、以下に置き換えられる: 
‘5.   A European cybersecurity certificate or EU statement of conformity that refers to assurance level ‘basic’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate or that EU statement of conformity is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known basic risks of incidents and cyberattacks. The evaluation activities to be undertaken shall include at least a review of technical documentation. Where such a review is not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.  5.   保証レベル「基本」に言及する欧州サイバーセキュリティ認証またはEU適合性宣言は、当該認証またはEU適合性宣言が発行されるICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、インシデントおよびサイバー攻撃の既知の基本リスクを最小限に抑えることを意図したレベルで評価されたことを保証するものとする。実施される評価活動には、少なくとも技術文書のレビューが含まれるものとする。このようなレビューが適切でない場合、同等の効果を持つ代替評価活動が実施されるものとする。
6. A European cybersecurity certificate that refers to assurance level ‘substantial’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known cybersecurity risks, and the risk of incidents and cyberattacks carried out by actors with limited skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities and testing to demonstrate that the ICT products, ICT services, ICT processes or managed security services correctly implement the necessary security functionalities. Where any such evaluation activities are not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.  6. 保証レベル「実質的」に言及する欧州サイバーセキュリティ証明書は、証明書が発行された ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、既知のサイバーセキュリティリスク、および限られたスキルやリソースを持つ行為者によって行われる事件やサイバー攻撃のリスクを最小限にすることを意図したレベルで評価されていることを保証するものとする。実施される評価活動は、少なくとも次のものを含むものとする:公に知られた脆弱性がないことを証明するためのレビュー、及びICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが必要なセキュリティ機能性を正しく実装していることを証明するためのテスト。このような評価活動が適切でない場合、同等の効果を持つ代替の評価活動が実施されるものとする。
7. A European cybersecurity certificate that refers to assurance level ‘high’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the risk of stateof-the-art cyberattacks carried out by actors with significant skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities; testing to demonstrate that the ICT products, ICT services, ICT processes or managed security services correctly implement the necessary security functionalities at the state of the art; and an assessment of their resistance to skilled attackers, using penetration testing. Where any such evaluation activities are not appropriate, substitute activities with equivalent effect shall be undertaken.’;  7. 保証レベル「高」に言及する欧州のサイバーセキュリティ証明書は、証明書が発行された ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、かつ、相当なスキルやリソースを持つ行為者が行う最先端のサイバー攻撃のリスクを最小化することを意図したレベルで評価されていることを保証するものとする。実施される評価活動は、少なくとも次のものを含むものとする:公に知られた脆弱性がないことを証明するためのレビュー、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが、必要なセキュリティ機能性を最先端の状態で正しく実装していることを証明するためのテスト、及び侵入テストを使用した熟練攻撃者に対する耐性の評価。このような評価活動が適切でない場合は、同等の効果を持つ代替活動を実施しなければならない」; 
(11) in Article 53, paragraphs 1, 2 and 3 are replaced by the following:   (11) 第 53 条第 1 項、第 2 項及び第 3 項を以下のように改める:  
‘1.   A European cybersecurity certification scheme may allow for the conformity self-assessment under the sole responsibility of the manufacturer or provider of ICT products, ICT services, ICT processes or managed security services. Conformity self-assessment shall be permitted only in relation to ICT products, ICT services, ICT processes and managed security services that present a low risk corresponding to assurance level ‘basic’.  1.   欧州のサイバーセキュリティ認証スキームは、ICT 製品、ICT サービス、ICT プロセス、または管理されたセキュリティサービスの製造者または提供者の唯一の責任において、適合性の自己評価を許可することができる。適合性自己評価は、保証レベル「基本」に対応する低リスクの ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスに関連してのみ許可されるものとする。
2. The manufacturer or provider of ICT products, ICT services, ICT processes or managed security services may issue an EU statement of conformity stating that the fulfilment of the requirements set out in the scheme has been demonstrated. By issuing such a statement, the manufacturer or provider of ICT products, ICT services, ICT processes or managed security services shall assume responsibility for the compliance of the ICT product, ICT service, ICT process or managed security service with the requirements set out in that scheme.  2. ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者またはプロバイダは、スキームに規定された要求事項を満たしていることが実証されたことを示すEU適合宣言書を発行できる。このような声明を発行することにより、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者または提供者は、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが当該スキームに定められた要求事項に適合することに対する責任を負うものとする。
3. The manufacturer or provider of ICT products, ICT services, ICT processes or managed security services shall make the EU statement of conformity, technical documentation, and all other relevant information relating to the conformity of the ICT products, ICT services or managed security services with the scheme available to the national cybersecurity certification authority referred to in Article 58 for the period provided for in the corresponding European cybersecurity certification scheme. A copy of the EU statement of conformity shall be submitted to the national cybersecurity certification authority and to ENISA.’;  3. ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者または提供者は、ICT製品、ICTサービスまたはマネージド・セキュリティサービスのスキームへの適合に関連するEU適合宣言、技術文書およびその他のすべての関連情報を、対応する欧州サイバーセキュリティ認証スキームに規定される期間、第58条に言及する国家サイバーセキュリティ認証機関が利用できるようにしなければならない。EU適合性宣言のコピーは、国家サイバーセキュリティ認証機関およびENISAに提出されるものとする'; 
(12) in Article 54, paragraph 1 is amended as follows:  (12) 第 54 条第 1 項を以下のように改める: 
(a) point (a) is replaced by the following:  (a) (a)の箇所を以下のように置き換える: 
‘(a) the subject matter and scope of the certification scheme, including the type or categories of ICT products, ICT services, ICT processes and managed security services covered;’;  (a)対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスの種類又はカテゴリーを含む、認証スキームの主題及び範囲; 
(b) point (j) is replaced by the following:  (b) (j)項を以下のように置き換える: 
‘(j) rules for monitoring compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of the European cybersecurity certificates or the EU statements of conformity, including mechanisms to demonstrate continued compliance with the specified cybersecurity requirements;’;  (j)ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが欧州サイバーセキュリティ認証書又はEU適合性宣言書の要求事項に準拠していることを監視するための規則(特定サイバーセキュリティ要求事項に継続して準拠していることを実証するための仕組みを含む)」; 
(c) point (l) is replaced by the following:  (c) ポイント(l)を以下のように置き換える: 
‘(l) rules concerning the consequences for ICT products, ICT services,  '(l)ICT製品、ICTサービスに対する影響に関する規則、 
ICT processes and managed security services that have been certified  認証を取得したICTプロセスおよびマネージド・セキュリティサービス 
or for which an EU statement of conformity has been issued, but which do not comply with the requirements of the scheme;’;  またはEU適合性宣言が発行されているが、スキームの要求事項に適合していないもの;'; 
(d) point (o) is replaced by the following:  (d) ポイント(o)を以下のように置き換える: 
‘(o) the identification of national or international cybersecurity certification schemes covering the same type or categories of ICT products, ICT services, ICT processes and managed security services, security requirements, evaluation criteria and methods, and assurance levels;’;  (o)ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービス、セキュリティ要件、評価基準及び方法並びに保証レベルの同じ種類又はカテゴリーを対象とする国内又は国際的なサイバーセキュリティ認証スキームの識別'; 
(e) point (q) is replaced by the following:  (e) ポイント(q)を以下のように置き換える: 
‘(q) the period of the availability of the EU statement of conformity, technical documentation, and all other relevant information to be made available by the manufacturer or provider of ICT products, ICT services, ICT or managed security services processes;’;  (q)ICT製品、ICTサービス、ICT又はマネージド・セキュリティサービスプロセスの製造者又は提供者が利用可能とするEU適合性宣言、技術文書及びその他すべての関連情報の利用可能期間''; 
(13) Article 56 is amended as follows:  (13) 第56条を以下のとおり改める: 
(a) paragraph 1 is replaced by the following:  (a) 第1項を以下のように置き換える: 
‘1.   ICT products, ICT services, ICT processes and managed security services that have been certified under a European cybersecurity certification scheme adopted pursuant to Article 49 shall be presumed to comply with the requirements of such scheme’;.  1.   第49条に従って採択された欧州サイバーセキュリティ認証スキームの下で認証されたICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスは、当該スキームの要件に適合していると推定される」;。
(b) paragraph 3 is amended as follows:  (b) 第3項を以下のように改める: 
(i) the first subparagraph is replaced by the following:  (i) 第 1 項を以下のように置き換える: 
‘The Commission shall regularly assess the efficiency and use of the adopted European cybersecurity certification schemes and whether a specific European cybersecurity certification scheme is to be made mandatory through relevant Union law to ensure an adequate level of cybersecurity of ICT products, ICT services, ICT processes and managed security services in the Union and improve the functioning of the internal market. The first such assessment shall be carried out by 31 December 2023, and subsequent assessments shall be carried out at least every two years thereafter. Based on the outcome of those assessments, the Commission shall identify the ICT products, ICT services, ICT processes and managed security services covered by an existing certification scheme which are to be covered by a mandatory certification scheme.’;  欧州委員会は、採用された欧州サイバーセキュリティ認証制度の効率と利用を定期的に評価し、欧州連合におけるICT製品、ICTサービス、ICTプロセス、管理セキュリティサービスの適切なレベルのサイバーセキュリティを確保し、内部市場の機能を向上させるために、特定の欧州サイバーセキュリティ認証制度を関連連合法を通じて義務化するかどうかを決定する。最初の当該評価は2023年12月31日までに実施され、その後の評価は少なくとも2年ごとに実施されるものとする。これらの評価の結果に基づき、欧州委員会は、既存の認証制度でカバーされているICT製品、ICTサービス、ICTプロセスおよび管理されたセキュリティサービスのうち、必須の認証制度の対象となるべきものを特定する; 
(ii) the third subparagraph is amended as follows:  (ii) 第 3 項を以下のように改める: 
(aa) point (a) is replaced by the following:  (aa) ポイント(a)を以下のように置き換える: 
‘(a) take into account the impact of the measures on the manufacturers or providers of such ICT products, ICT services, ICT processes or managed security services and on the users in terms of the cost of those measures and the societal or economic benefits stemming from the anticipated enhanced level of security for the targeted ICT products, ICT services, ICT processes or managed security services;’;  (a)当該ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者及び利用者に対して、当該措置のコスト及び対象となるICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの予想されるセキュリティレベルの強化から生じる社会的又は経済的利益の観点から、当該措置が及ぼす影響を考慮する; 
(bb) point (d) is replaced by the following:  (bb) ポイント(d)を以下のように置き換える: 
‘(d) take into account any implementation deadlines, transitional measures and periods, in particular with regard to the possible impact of the measure on the manufacturers or providers of ICT products, ICT services, ICT processes or managed security services, including SMEs;’;  (d)特に、中小企業を含むICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又はプロバイダに対する当該措置の起こり得る影響に関して、あらゆる実施期限、経過措置及び期間を考慮すること」; 
(c) paragraphs 7 and 8 are replaced by the following:  (c) 第7項、第8項を以下のように置き換える: 
‘7.   The natural or legal person who submits ICT products, ICT services, ICT processes or managed security services for certification shall make available to the national cybersecurity certification authority referred to in Article 58, where that authority is the body issuing the European cybersecurity certificate, or to the conformity assessment body referred to in Article 60 all information necessary to conduct the certification.  7.   ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスを認証のために提出する自然人または法人は、第58条に言及された国内のサイバーセキュリティ認証機関(当該機関が欧州サイバーセキュリティ証明書を発行する機関である場合)または第60条に言及された適合評価機関が認証を行うために必要なすべての情報を利用可能にするものとする。
8.   The holder of a European cybersecurity certificate shall inform the authority or body referred to in paragraph 7 of any subsequently detected vulnerabilities or irregularities concerning the security of the certified ICT product, ICT service, ICT process or managed security services that may have an impact on its compliance with the requirements related to the certification. That authority or body shall forward that information without undue delay to the national cybersecurity certification authority concerned.’  8.   欧州サイバーセキュリティ認証の保有者は、認証に関連する要求事項への準拠に影響を及ぼす可能性のある、認証されたICT製品、ICTサービス、ICTプロセスまたは管理されたセキュリティサービスのセキュリティに関する脆弱性または不正を、第7項に記載の当局または団体にその後検出した場合、通知するものとする。当該当局または団体は、当該情報を当該国のサイバーセキュリティ認証機関に過度の遅滞なく転送しなければならない」。
(14) in Article 57, paragraphs 1 and 2 are replaced by the following:  (14) 第 57 条第 1 項及び第 2 項を以下のように改める: 
‘1.   Without prejudice to paragraph 3 of this Article, national cybersecurity certification schemes, and the related procedures for the ICT products, ICT services, ICT processes and managed security services that are covered by a European cybersecurity certification scheme shall cease to produce effects from the date established in the implementing act adopted pursuant to Article 49(7). National cybersecurity certification schemes and the related procedures for the ICT products, ICT services, ICT processes and managed security services that are not covered by a European cybersecurity certification scheme shall continue to exist.  1.   本条第3項を害することなく、欧州サイバーセキュリティ認証スキームの対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに関する国家サイバーセキュリティ認証スキーム及び関連手続きは、第49条第7項に従って採択された実施法に定められた日付から効力を失うものとする。欧州のサイバーセキュリティ認証スキームの対象とならないICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスに関する国内のサイバーセキュリティ認証スキーム及び関連する手続きは、引き続き存在するものとする。
2.   Member States shall not introduce new national cybersecurity certification schemes for ICT products, ICT services, ICT processes and managed security services already covered by a European cybersecurity certification scheme that is in force.’;  2.   加盟国は、既に施行されている欧州のサイバーセキュリティ認証スキームの対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスについて、新たな国内サイバーセキュリティ認証スキームを導入しないものとする; 
(15) Article 58 is amended as follows:  (15) 第58条を以下のように改める: 
(a) paragraph 7 is amended as follows:  (a) 第7項を以下のように置き換える: 
(i) points (a) and (b) are replaced by the following:  (i) (a)及び(b)の点は、以下のように置き換えられる: 
 ‘(a) supervise and enforce rules included in European cybersecurity certification schemes pursuant to point (j) of Article 54(1) for the monitoring of the compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of the European cybersecurity certificates that have been issued in their respective territories, in cooperation with other relevant market surveillance authorities;   '(a)他の関連する市場監視当局と協力して、ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスが、それぞれの地域で発行された欧州サイバーセキュリティ証明書の要件に準拠しているかを監視するために、第54条第1項の(j)点に従って欧州サイバーセキュリティ認証制度に含まれる規則を監督し、執行する; 
(b) monitor compliance with and enforce the obligations of the manufacturers or providers of ICT products, ICT services, ICT processes or managed security services that are established in their respective territories and that carry out conformity self-assessment, and shall, in particular, monitor compliance with and enforce the obligations of such manufacturers or providers set out in Article 53(2) and (3) and in the corresponding European cybersecurity certification scheme;’; (ii)  point (h) is replaced by the following:  (b) それぞれの地域において設立され、適合性自己評価を実施するICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造業者又はプロバイダの義務の遵守を監視し、執行し、特に、第53条(2)及び(3)に定める当該製造業者又はプロバイダの義務及び対応する欧州サイバーセキュリティ認証制度における義務の遵守を監視し、執行しなければならない』、(ii)点(h)は、以下のものに置き換えられる: 
‘(h) cooperate with other national cybersecurity certification authorities or other public authorities, including by sharing information on the possible non-compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of this Regulation or with the requirements of specific European cybersecurity certification schemes; and’;  (h)ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが本規則の要求事項又は特定の欧州サイバーセキュリティ認証制度の要求事項に適合していない可能性に関する情報の共有を含め、他の国のサイバーセキュリティ認証当局又は他の公的当局と協力する; 
(b) paragraph 9 is replaced by the following:  (b) 第9項を以下のように置き換える: 
‘9.   National cybersecurity certification authorities shall cooperate with each other and with the Commission, in particular, by exchanging information, experience and good practices as regards cybersecurity certification and technical issues concerning the cybersecurity of ICT products, ICT services, ICT and managed security services processes.’;  9.   各国のサイバーセキュリティ認証機関は、特に、サイバーセキュリティ認証及びICT製品、ICTサービス、ICT及びマネージド・セキュリティサービスのプロセスのサイバーセキュリティに関する技術的課題に関する情報、経験及び優良事例の交換を通じて、相互に及び欧州委員会と協力するものとする; 
(16) in Article 59 (3), points (b) and (c) are replaced by the following:  (16) 第 59 条(3)(b)及び(c)を以下のように改める: 
 ‘(b) the procedures for supervising and enforcing the rules for monitoring the compliance of ICT products, ICT services, ICT processes and managed security services with European cybersecurity certificates pursuant to Article 58(7), point (a);   (b)第58条第7項(a)に基づく欧州サイバーセキュリティ証明書へのICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスの適合性を監視するための規則の監督及び執行のための手続; 
(c) the procedures for monitoring and enforcing the obligations of manufacturers or providers of ICT products, ICT services, ICT processes or managed security services pursuant to Article 58(7), point (b);’;  (c) 第58条(7)の(b)に基づくICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者の義務を監視し執行するための手続; 
(17) in Article 67, paragraphs 2 and 3 are replaced by the following:  (17) 第67条第2項及び第3項を以下のように改める: 
‘2.   The evaluation shall also assess the impact, effectiveness and efficiency of the provisions of Title III of this Regulation with regard to the objectives of ensuring an adequate level of cybersecurity of ICT products, ICT services, ICT processes and managed security services in the Union and improving the functioning of the internal market.  '2.   また、評価は、連合におけるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティ・サービスのサイバーセキュリティの適切なレベルを確保し、内部市場の機能を改善するという目的に関して、本規則のタイトル3の規定の影響、効果及び効率性を評価するものとする。
3.   The evaluation shall assess whether essential cybersecurity requirements for access to the internal market are necessary in order to prevent ICT products, ICT services, ICT processes and managed security services which do not meet basic cybersecurity requirements from entering the Union market.’.  3.   評価は、基本的なサイバーセキュリティ要件を満たさないICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが連合市場に参入することを防止するために、内部市場へのアクセスに不可欠なサイバーセキュリティ要件が必要であるかどうかを評価するものとする'. 
Article 2  第2条 
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.  本規則は、欧州連合官報に掲載された日の翌日から20日目に発効するものとする。
This Regulation shall be binding in its entirety and directly applicable in all Member States.  本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。

 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

 

 

|

« 欧州委員会 EUサイバー連帯法の提案 (2023.04.18) | Main | 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州委員会 EUサイバー連帯法の提案 (2023.04.18) | Main | 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18) »