欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)
こんにちは、丸山満彦です。
昨年の仕事がまだ終わっていないです。。。
EUのサイバーセキュリティ戦略によるものなのですが、欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置が規定されました。。。CERT-EU等の位置付けもより明確になりますね。。。
すなわち、EUの機関、団体、事務所、機関から指名されたメンバーからなる機関間サイバーセキュリティ委員会(Interinstitutional Cybersecurity Board; IICB)設置され、EUの機関、団体、事務所、機関のためのサイバーセキュリティ・サービスとなりますね。。。そして、ENISAとの協力もより明確になりますね。。
規則はこちら...
● EUR-Lex
・[HTML]
・[PDF]
CERT-EUのブログ...
● CERT-EU - Blog
・2023.01.08 Harder Better Faster Stronger
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.03.24 欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案
・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認
・2021.06.26 欧州委員会 合同サイバーユニットを提案
その他...
・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク
・2023.02.17 欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表
・2022.04.01 欧州検査院 特別報告書:EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない
・2022.02.24 ENISA CSIRT成熟度フレームワークの改訂
・2022.02.15 ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目
仮対訳...
| 2023/2841 | 2023/2841 |
| 18.12.2023 | 18.12.2023 |
| REGULATION (EU, Euratom) 2023/2841 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | 欧州議会および欧州理事会規則(EU, Euratom) 2023/2841 |
| of 13 December 2023 | 2023年12月13日付 |
| laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union | 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置を定める。 |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | 欧州議会および欧州連合理事会 |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 298 thereof, | 欧州連合の機能に関する条約、特にその第298条に留意する、 |
| Having regard to the Treaty establishing the European Atomic Energy Community, and in particular Article 106a thereof, | 欧州原子力共同体設立条約、特にその第106a条に留意する、 |
| Having regard to the proposal from the European Commission, | 欧州委員会の提案を考慮すること、 |
| After transmission of the draft legislative act to the national parliaments, | 立法草案が各国議会に送付された後、 |
| Acting in accordance with the ordinary legislative procedure (1), | 通常の立法手続き(1)に従って行動する、 |
| Whereas: | 以下のとおりである: |
| (1) In the digital age, information and communication technology is a cornerstone of an open, efficient and independent European administration. Evolving technology and the increased complexity and interconnectedness of digital systems amplify cybersecurity risks, making Union entities more vulnerable to cyber threats and incidents, which poses a threat to their business continuity and capacity to secure their data. While the increased use of cloud services, the ubiquitous use of information and communication technology (ICT), the high level of digitalisation, remote work and evolving technology and connectivity are core features of all activities of Union entities, digital resilience is not yet sufficiently built in. | (1) デジタル時代において、情報通信技術は、開かれた、効率的で独立した欧州行政の礎である。技術の進化とデジタルシステムの複雑化および相互接続性の増大は、サイバーセキュリティのリスクを増大させ、欧州連合の事業体をサイバー脅威やインシデントに対してより脆弱にし、事業継続性やデータの安全性を脅かす要因となっている。クラウドサービスの使用の増加、情報通信技術(ICT)のユビキタスな使用、高度なデジタル化、リモートワーク、進化するテクノロジーとコネクティビティは、連邦事業体のあらゆる活動の中核的な特徴であるが、デジタルレジリエンスはまだ十分に組み込まれていない。 |
| (2) The cyber threat landscape faced by Union entities is in constant evolution. The tactics, techniques and procedures employed by threat actors are constantly evolving, while the prominent motives for such attacks change little, from stealing valuable undisclosed information to making money, manipulating public opinion or undermining digital infrastructure. The pace at which threat actors conduct their cyberattacks keeps increasing, while their campaigns are increasingly sophisticated and automated, targeting exposed attack surfaces that keep expanding and quickly exploiting vulnerabilities. | (2) 組合事業体が直面するサイバー脅威の状況は常に進化している。脅威行為者が採用する戦術、技術、手順は常に進化しているが、そのような攻撃の顕著な動機は、貴重な未公開情報の窃取から、金儲け、世論操作、デジタルインフラの弱体化まで、ほとんど変わらない。脅威行為者がサイバー攻撃を行うペースは増加の一途をたどり、キャンペーンはますます洗練され自動化され、拡大し続ける攻撃対象領域を狙い、脆弱性を迅速に悪用している。 |
| (3) Union entities’ ICT environments have interdependencies and integrated data flows, and their users collaborate closely. That interconnection means that any disruption, even when initially confined to a single Union entity, can have cascading effects more broadly, potentially resulting in far-reaching and long-lasting negative impacts on other Union entities. In addition, certain Union entities’ ICT environments are connected with Member States’ ICT environments, causing an incident in a Union entity to pose a cybersecurity risk to the Member States’ ICT environments and vice versa. The sharing of incident-specific information may facilitate the detection of similar cyber threats or incidents affecting Member States. | (3) 組合事業体のICT環境には相互依存と統合されたデータの流れがあり、そのユーザーは緊密に連携している。このような相互接続は、たとえ当初は単一の連合事業体に限定された混乱であっても、より広範に連鎖的な影響を及ぼし、他の連合事業体に広範囲かつ長期にわたる悪影響をもたらす可能性があることを意味する。さらに、特定の連合事業体のICT環境は加盟国のICT環境とつながっているため、連合事業体におけるインシデントが加盟国のICT環境にサイバーセキュリティ・リスクをもたらし、その逆もまたしかりである。インシデント固有の情報を共有することで、加盟国に影響を及ぼす同様のサイバー脅威やインシデントの検知が容易になるかもしれない。 |
| (4) Union entities are attractive targets that face highly skilled and well-resourced threat actors as well as other threats. At the same time, the level and maturity of cyber resilience and the ability to detect and respond to malicious cyber activities vary significantly across those entities. It is thus necessary for the functioning of the Union entities that they achieve a high common level of cybersecurity through the implementation of cybersecurity measures commensurate with identified cybersecurity risks, information exchange and collaboration. | (4) 組合の事業体は、他の脅威と同様に、高度な技能と十分な資源を持つ脅威行為者に直面する魅力的な標的である。同時に、サイバーレジリエンスのレベルや成熟度、悪意のあるサイバー活動を検知し対応する能力は、これらの事業体によって大きく異なる。したがって、特定されたサイバーセキュリティリスクに見合ったサイバーセキュリティ対策の実施、情報交換、協力を通じて、高い共通レベルのサイバーセキュリティを達成することが、連合事業体の機能にとって必要である。 |
| (5) Directive (EU) 2022/2555 of the European Parliament and of the Council (2) aims to further improve the cyber resilience and incident response capacities of public and private entities, competent authorities and bodies as well as the Union as a whole. It is therefore necessary to ensure that Union entities follow suit by providing for rules that are consistent with Directive (EU) 2022/2555 and mirror its level of ambition. | (5) 欧州議会および理事会指令(EU) 2022/2555(2)は、公共および民間の事業体、認可当局および団体、ならびに連邦全体のサイバーレジリエンスとインシデント対応能力をさらに改善することを目的としている。したがって、指令(EU) 2022/2555と整合性があり、その野心的なレベルを反映した規則をプロバイダが提供することによって、EUの事業体がこれに追随するようにすることが必要である。 |
| (6) To reach a high common level of cybersecurity, it is necessary that each Union entity establish an internal cybersecurity risk-management, governance and control framework (the ‘Framework’), which ensures an effective and prudent management of all cybersecurity risks, and takes account of business continuity and crisis management. The Framework should establish cybersecurity policies, including objectives and priorities, for the security of network and information systems encompassing the entirety of the unclassified ICT environment. The Framework should be based on an all-hazards approach which aims to protect network and information systems and the physical environment of those systems from events such as theft, fire, flooding, telecommunication or power failures, or unauthorised physical access and damage to, and interference with, a Union entity’s information and information-processing facilities, which could compromise the availability, authenticity, integrity or confidentiality of data stored, transmitted, processed or accessible via network and information systems. | (6) サイバーセキュリティの高い共通レベルに到達するためには、各連合事業体が、すべてのサイバーセキュリティリスクの効果的かつ慎重なマネジメントを確保し、事業継続と危機管理を考慮した、内部のサイバーセキュリティリスクマネジメント、ガバナンス、統制の枠組み(「フレームワーク」)を確立することが必要である。フレームワークは、非機密ICT環境全体を包含するネットワークと情報システムのセキュリティについて、目的と優先順位を含むサイバーセキュリティポリシーを確立すべきである。このフレームワークは、盗難、火災、洪水、通信または停電、無許可の物理的アクセス、連合事業体の情報および情報処理設備への損傷および妨害など、ネットワークと情報システムを通じて保存、送信、処理またはアクセス可能なデータの可用性、本人認証、完全性または機密性を損なう可能性のある事象から、ネットワークと情報システムおよびこれらのシステムの物理的環境を保護することを目的とするオールハザード・アプローチに基づくべきである。 |
| (7) To manage the cybersecurity risks identified under the Framework, each Union entity should take appropriate and proportionate technical, operational and organisational measures. Those measures should address the domains and cybersecurity risk-management measures provided for in this Regulation to strengthen the cybersecurity of each Union entity. | (7) フレームワークの下で識別されたサイバーセキュリティ・リスクをマネジメントするために、各連合事業体は、適切かつ相応の技術的、運用的及び組織的措置を講じるべきである。それらの措置は、各連合事業体のサイバーセキュリティを強化するために、本規則に規定されるドメイン及びサイバーセキュリティリスクマネジメント措置に対処するものとする。 |
| (8) The assets and cybersecurity risks identified in the Framework as well as conclusions derived from regular cybersecurity maturity assessments should be reflected in a cybersecurity plan established by each Union entity. The cybersecurity plan should include the adopted cybersecurity risk-management measures. | (8) フレームワークにおいて識別された資産及びサイバーセキュリティリスク並びに定期的なサイバーセキュリティ成熟度評価から得られた結論は、各連合事業体が策定するサイバーセキュリティ計画に反映されなければならない。サイバーセキュリティ計画には、採用されたサイバーセキュリティリスクマネジメント対策を含めるべきである。 |
| (9) As ensuring cybersecurity is a continuous process, the suitability and effectiveness of the measures taken pursuant to this Regulation should be regularly revised in light of the changing cybersecurity risks, assets and cybersecurity maturity of the Union entities. The Framework should be reviewed on a regular basis and at least every four years, while the cybersecurity plan should be revised every two years, or more frequently where necessary, following the cybersecurity maturity assessments or any substantial review of the Framework. | (9) サイバーセキュリティの確保は継続的なプロセスであるため、本規則に従って講じられる措置の適切性及び有効性は、変化するサイバーセキュリティリスク、資産及び連合事業体のサイバーセキュリティ成熟度に照らして、定期的に見直されるべきである。一方、サイバーセキュリティ計画は、サイバーセキュリティ成熟度評価又はフレームワークの実質的な見直しの後、2年ごと又は必要に応じてより頻繁に見直されるべきである。 |
| (10) The cybersecurity risk-management measures put in place by Union entities should include policies aiming, where possible, to render the source code transparent, taking into account safeguards for the rights of third parties or Union entities. Those policies should be proportionate to the cybersecurity risk and are intended to facilitate the analysis of cyber threats, while not creating obligations to disclose or rights to access third-party code beyond the applicable contractual terms. | (10) 組合事業体が実施するサイバーセキュリティリスク管理措置は、サードパーティ又は組合事業体の権利の保護に配慮しつつ、可能な場合には、ソースコードを透明化することを目的とする方針を含むべきである。これらの方針は、サイバーセキュリティリスクに見合ったものであるべきであり、サイバー脅威の分析を容易にすることを意図しているが、一方で、適用される契約条件を超えて開示義務やサードパーティ・コードにアクセスする権利を生じさせるものであってはならない。 |
| (11) Open-source cybersecurity tools and applications can contribute to a higher degree of openness. Open standards facilitate interoperability between security tools, benefitting the security of stakeholders. Open-source cybersecurity tools and applications can leverage the wider developer community, enabling diversification of suppliers. Open source can lead to a more transparent verification process of cybersecurity related tools and a community-driven process of discovering vulnerabilities. Union entities should therefore be able to promote the use of open-source software and open standards by pursuing policies relating to the use of open data and open source as part of security through transparency. | (11) オープンソースのサイバーセキュリティツールとアプリケーションは、より高度なオープン性に貢献することができる。オープン標準は、セキュリティツール間の相互運用性を促進し、利害関係者のセキュリティに利益をもたらす。オープンソースのサイバーセキュリティツールとアプリケーションは、より広範な開発者コミュニティを活用することができ、サプライヤの多様化を可能にする。オープンソースは、サイバーセキュリティ関連ツールの検証プロセスの透明性を高め、コミュニティ主導の脆弱性発見プロセスを実現する。したがって、EU事業体は、透明性を通じたセキュリティの一環として、オープンデータとオープンソースの利用に関連する政策を追求することにより、オープンソースソフトウェアとオープン標準の利用を促進できるようにすべきである。 |
| (12) The differences between Union entities require flexibility in the implementation of this Regulation. The measures for a high common level of cybersecurity provided for in this Regulation should not include any obligations directly interfering with the exercise of the missions of Union entities or encroaching on their institutional autonomy. Therefore, those entities should establish their own Frameworks and should adopt their own cybersecurity risk-management measures and cybersecurity plans. When implementing such measures, due account should be taken of existing synergies between Union entities, with the aim of proper management of resources and cost optimisation. Due account should also be taken that the measures do not negatively affect efficient information exchange and cooperation among Union entities and between Union entities and Member State counterparts. | (12) EU事業体間の差異により、本規則の実施には柔軟性が求められる。この規則に規定されているサイバーセキュリティの高い共通レベルのための措置は、連邦事業体の任務の遂行を直接妨げたり、その機関自治を侵害したりするような義務を含むべきではない。したがって、これらの事業体は独自の枠組みを確立し、独自のサイバーセキュリティリスクマネジメント対策およびサイバーセキュリティ計画を採用すべきである。このような対策を実施する際には、資源の適切な管理とコストの最適化を目的として、連邦機関間の既存の相乗効果を十分に考慮すべきである。また、当該措置が、効率的な情報交換や、連合事業体間、連合事業体と加盟国との間の協力に悪影響を及ぼさないよう、十分な配慮がなされるべきである。 |
| (13) In the interest of optimising the use of resources, this Regulation should provide for the possibility for two or more Union entities with similar structures to cooperate in carrying out the cybersecurity maturity assessments for their respective entities. | (13) リソースの利用を最適化するという観点から、本規則は、類似の構造を有する2つ以上のEU事業体が、それぞれの事業体のサイバーセキュリティ成熟度評価の実施において協力する可能性を規定すべきである。 |
| (14) In order to avoid imposing a disproportionate financial and administrative burden on Union entities, the cybersecurity risk-management requirements should be proportionate to the cybersecurity risk posed to the network and information systems concerned, taking into account the state of the art of such measures. Each Union entity should aim to allocate an adequate percentage of its ICT budget to improve its level of cybersecurity. In the longer term an indicative target in the order of at least 10 % should be pursued. The cybersecurity maturity assessment should evaluate whether the Union entity’s cybersecurity spending is proportionate to the cybersecurity risks that it faces. Without prejudice to the rules relating to the Union’s annual budget under the Treaties, in its proposal for the first annual budget to be adopted after the entry into force of this Regulation the Commission should take into account the obligations arising from this Regulation when assessing the budgeting and staffing needs of the Union entities as resulting from their estimates of expenditures. | (14) 組合事業体に不釣り合いな財政的・管理的負担を課すことを避けるため、サイバーセキュリティリスクマネジメントの要件は、当該措置の最新状況を考慮した上で、当該ネットワークと情報システムにもたらされるサイバーセキュリティリスクに見合ったものでなければならない。各事業体は、ICT予算の適切な割合をサイバーセキュリティレベルの改善に充てることを目指すべきである。長期的には、少なくとも10%程度の指標となる目標を追求すべきである。サイバーセキュリティ成熟度アセスメントは、当該事業体のサイバーセキュリティ支出が、当該事業体が直面するサイバーセキュリティリスクに比例しているかどうかを評価すべきである。条約に基づく欧州連合の年次予算に関する規則を害することなく、欧州委員会は、この規則の発効後に採択される最初の年次予算に関する提案において、欧州連合事業体の支出見積もりから得られる予算編成および人員配置の必要性を評価する際に、この規則から生じる義務を考慮すべきである。 |
| (15) A high common level of cybersecurity requires cybersecurity to come under the oversight of the highest level of management of each Union entity. The Union entity’s highest level of management should be responsible for the implementation of this Regulation, including for the establishment of the Framework, the taking of the cybersecurity risk-management measures and the approval of the cybersecurity plan. Addressing the cybersecurity culture, namely the daily practice of cybersecurity, is an integral part of the Framework and the corresponding cybersecurity risk-management measures in all Union entities. | (15) 共通レベルの高いサイバーセキュリティを実現するためには、サイバーセキュリティを各連合事業体の最高レベルの管理者の監督下に置くことが必要である。連邦事業体の最高レベルの経営陣は、フレームワークの構築、サイバーセキュリティリスクマネジメント対策の実施、サイバーセキュリティ計画の承認を含め、本規則の実施に責任を負うべきである。サイバーセキュリティ文化、すなわちサイバーセキュリティの日常的な実践に取り組むことは、すべての連合事業体におけるフレームワークとそれに対応するサイバーセキュリティリスクマネジメント対策の不可欠な部分である。 |
| (16) The security of network and information systems handling EU classified information (EUCI) is essential. Union entities that handle EUCI are required to apply the comprehensive regulatory frameworks in place for protecting such information, including specific governance, policies and risk-management procedures. It is necessary for network and information systems handling EUCI to comply with more stringent security standards than unclassified network and information systems. Therefore, network and information systems handling EUCI are more resilient to cyber threats and incidents. Consequently, while recognising the need for a common framework in this regard, this Regulation should not apply to network and information systems handling EUCI. However, if explicitly requested to do so by a Union entity, the Computer Emergency Response Team for the EU institutions, bodies and agencies (CERT-EU) should be able to provide assistance to that Union entity in relation to incidents in classified ICT environments. | (16) EU機密情報(EUCI)を扱うネットワークと情報システムのセキュリティは不可欠である。EUCIを取り扱う事業体は、特定のガバナンス、ポリシー、リスクマネジメント手順を含む、そのような情報を保護するための包括的な規制の枠組みを適用することが求められる。EUCIを扱うネットワークと情報システムは、機密扱いでないネットワークと情報システムよりも厳しいセキュリティ標準に準拠する必要がある。したがって、EUCIをハンドリングするネットワークと情報システムは、サイバー脅威やインシデントに対してよりレジリエンスが高い。したがって、この点に関する共通の枠組みの必要性を認識しつつも、本規則はEUCIを扱うネットワークと情報システムには適用すべきではない。ただし、EU事業体から明示的に要請があった場合、EU機関・団体・機関向けコンピュータ緊急対応チーム(CERT-EU)は、機密ICT環境におけるインシデントに関して、当該EU事業体に支援を提供することができるものとする。 |
| (17) Union entities should assess cybersecurity risks related to relationships with suppliers and service providers, including providers of data storage and processing services or managed security services, and take appropriate measures to address them. Cybersecurity measures should be further specified in guidelines or recommendations issued by CERT-EU. When establishing measures and guidelines, due account should be taken of the state of the art and, where applicable, relevant European and international standards, as well as relevant Union law and policies, including cybersecurity risk assessments and recommendations issued by the Cooperation Group established pursuant to Article 14 of Directive (EU) 2022/2555, such as the EU coordinated risk assessment of the cybersecurity of 5G networks and the EU toolbox on 5G cybersecurity. In addition, taking into account the cyber threat landscape and the importance of building up cyber resilience for the Union entities, the certification of relevant ICT products, ICT services and ICT processes could be required under specific European cybersecurity certification schemes adopted pursuant to Article 49 of Regulation (EU) 2019/881 of the European Parliament and of the Council (3). | (17) EU 事業体は、データ保管・処理サービスやマネージド・セキュリティサービス・プロバイダのプロバイダを含む、供給業者やサービス・プロバイダとの関係に関するサイバーセキュリティ・リスクを評価し、それらに対処するための適切な措置を講じるべきである。サイバーセキュリティ対策は、CERT-EU が発行するガイドラインや勧告にさらに明記されるべきである。対策やガイドラインを策定する際には、5Gネットワークのサイバーセキュリティに関するEU協調リスクアセスメントや5Gサイバーセキュリティに関するEUツールボックスなど、指令(EU)2022/2555の第14条に従って設立された協力グループによって発行されたサイバーセキュリティリスクアセスメントや勧告を含む、最新の技術状況や、適用可能な場合には、関連する欧州基準や国際基準、ならびに関連するEU法や政策を十分に考慮すべきである。さらに、サイバー脅威の状況とEU事業体のサイバーレジリエンス構築の重要性を考慮し、欧州議会および理事会規則(EU)2019/881の第49条に従って採択された特定の欧州サイバーセキュリティ認証制度に基づき、関連ICT製品、ICTサービス、ICTプロセスの認証が要求される可能性がある(3)。 |
| (18) In May 2011, the Secretaries-General of the Union institutions and bodies decided to establish a pre-configuration team for CERT-EU, supervised by an inter-institutional Steering Board. In July 2012, the Secretaries-General confirmed the practical arrangements and agreed to maintain CERT-EU as a permanent entity to continue to help improve the overall level of information technology security of the Union’s institutions, bodies and agencies as an example of visible inter-institutional cooperation in cybersecurity. In September 2012, CERT-EU was established as a Commission Taskforce with an interinstitutional mandate. In December 2017, the Union institutions and bodies concluded an Interinstitutional arrangement on the organisation and operation of CERT-EU (4). This Regulation should provide for a comprehensive set of rules on the organisation, functioning and operation of CERT-EU. The provisions of this Regulation prevail over the provisions of the Interinstitutional arrangement on the organisation and operation of CERT-EU that was concluded in December 2017. | (18) 2011 年 5 月、欧州連合機関および団体の事務総長は、機関間の運営委員会が監督する CERT-EU の事前設定チームを設置することを決定した。2012年7月、事務総長らは実務的な取り決めを確認し、サイバーセキュリティにおける目に見える機関間協力の一例として、EUの機関・団体・機関の情報技術セキュリティの全体的なレベルの改善を引き続き支援するため、CERT-EUを恒久的な事業体として維持することに合意した。2012年9月、CERT-EUは、機関間の権限を持つ欧州委員会のタスクフォースとして設立された。2017年12月、欧州連合の機関および団体は、CERT-EUの組織と運営に関する機関間取り決めを締結した(4)。本規則は、CERT-EU の組織、機能、運用に関する包括的な規則をプロバイダするものである。本規則の規定は、2017年12月に締結されたCERT-EUの組織と運営に関する制度間取決めの規定に優先する。 |
| (19) CERT-EU should be renamed Cybersecurity Service for the Union institutions, bodies, offices and agencies, but it should keep the short name CERT-EU because of name recognition. | (19) CERT-EUは、EUの機構、団体、事務所および機関のためのサイバーセキュリティサービスと改称されるべきであるが、知名度の点からCERT-EUという略称を維持すべきである。 |
| (20) In addition to giving CERT-EU more tasks and an expanded role, this Regulation establishes the Interinstitutional Cybersecurity Board (IICB) in order to facilitate a high common level of cybersecurity among Union entities. The IICB should have an exclusive role in monitoring and supporting the implementation of this Regulation by the Union entities and in supervising the implementation of general priorities and objectives of, and providing strategic direction to, CERT-EU. The IICB should therefore ensure representation of the Union institutions and should include representatives of bodies, offices and agencies of the Union through the EU Agencies Network (EUAN). The organisation and functioning of the IICB should be further regulated by means of internal rules of procedure, which may include further specification of regular meetings of the IICB, including annual gatherings of the political level where representatives of the highest level of management of each member of the IICB would allow the IICB to have strategic discussion and provide strategic guidance to the IICB. Furthermore, the IICB should be able to establish an executive committee to assist in its work and to delegate some of its tasks and powers to it, in particular in terms of tasks that require specific expertise of its members, for instance the approval of the service catalogue and any subsequent updates to it, arrangements for service level agreements, assessments of documents and reports submitted by the Union entities to the IICB pursuant to this Regulation or tasks related to the preparation of decisions on compliance measures issued by the IICB and to monitoring their implementation. The IICB should lay down the rules of procedure of the executive committee, including its tasks and powers. | (20) CERT-EUにより多くの任務と拡大された役割を与えることに加え、本規則は、連邦事業体間のサイバーセキュリティの高い共通レベルを促進するために、機関間サイバーセキュリティ委員会(IICB)を設立する。IICBは、EU事業体による本規則の実施を監視・支援し、CERT-EUの一般的な優先事項および目的の実施を監督し、CERT-EUに戦略的方向性を提供するという排他的な役割を担うべきである。したがって、IICB は、EU 機構の代表者を確保すべきであり、EU 機関ネットワーク(EUAN)を通 じて、EU の団体、事務所および機関の代表者を含むべきである。IICB の組織と機能は、内部手続規則によってさらに規定されるべきであり、これには、IICB の各メンバーの最高経営責任者の代表者が IICB に戦略的な議論を行い、IICB に戦略的ガイダンスを提供することを可能にする政治レベルの年次会合を含む、IICB の定期会合のさらなる規定が含まれる可能性がある。さらに、IICBは、その業務を支援する執行委員会を設置し、特に、サービスカタログの承認およびその後の更新、サービスレベル協定の取り決め、本規則に従ってEU事業体がIICBに提出する文書および報告書の評価、またはIICBが発行する遵守措置に関する決定の準備およびその実施の監視に関する業務など、メンバーの特定の専門知識を必要とする業務については、執行委員会に業務および権限の一部を委譲できるようにすべきである。IICBは、その任務及び権限を含む執行委員会の手続規則を定めるべきである。 |
| (21) The IICB aims to support Union entities in elevating their respective cybersecurity postures through the implementation of this Regulation. In order to support Union entities, the IICB should provide guidance to the Head of CERT-EU, adopt a multiannual strategy on raising the level of cybersecurity in the Union entities, establish the methodology for and other aspects of voluntary peer reviews, and facilitate the establishment of an informal group of local cybersecurity officers, supported by the European Union Agency for Cybersecurity (ENISA), with the aim of exchanging best practices and information in relation to the implementation of this Regulation. | (21) IICBは、本規則の実施を通じて、EU事業体のサイバーセキュリティ態勢の強化を支援することを目的とする。欧州連合事業体を支援するため、IICB は、CERT-EU の責任者にガイダンスを提供し、欧州連合 事業体のサイバーセキュリティレベルの向上に関する多年次戦略を採択し、自主的なピアレ ビューの方法論およびその他の側面を確立し、欧州連合サイバーセキュリティ機関(ENISA) の支援を受け、本規則の実施に関連するベストプラクティスおよび情報を交換することを目的とし て、現地のサイバーセキュリティ担当者の非公式グループの設立を促進すべきである。 |
| (22) In order to achieve a high level of cybersecurity in all Union entities, the interests of the bodies, offices and agencies of the Union that run their own ICT environment should be represented on the IICB by three representatives designated by the EUAN. The security of personal data processing, and therefore also the cybersecurity thereof, is a cornerstone of data protection. In light of the synergies between data protection and cybersecurity, the European Data Protection Supervisor should be represented on the IICB in its capacity as a Union entity subject to this Regulation, with specific expertise in the area of data protection, including security of electronic communications networks. Considering the importance of innovation and competitiveness in cybersecurity, the European Cybersecurity Industrial, Technology and Research Competence Centre should be represented on the IICB. In view of ENISA’s role as a centre of expertise in cybersecurity, and the support that ENISA provides, and in view of the importance of cybersecurity of Union space infrastructure and services, ENISA and the European Union Agency for the Space Programme should be represented on the IICB. In light of the role assigned to CERT-EU under this Regulation, the Head of CERT-EU should be invited by the Chair of the IICB to all of the IICB’s meetings, except when the IICB discusses matters relating directly to the Head of CERT-EU. | (22) すべての欧州連合事業体において高水準のサイバーセキュリティを達成するため、独自のICT環境を運営する欧州連合の団体、官庁、機関の利益は、EUANが指名する3名の代表者によってIICBに代表されるべきである。個人データ処理のセキュリティ、ひいてはサイバーセキュリティは、データ保護の要である。データ保護とサイバーセキュリティの相乗効果に鑑み、欧州データ保護監督機関は、本規則の事業主体として、電子コミュニケーションネットワークのセキュリティを含むデータ保護分野に特化した専門知識を有する代表者として、IICBに参加すべきである。サイバーセキュリティにおけるイノベーションと競争力の重要性を考慮すると、欧州サイバーセキュリティ産業・技術・研究能力センターを IICB の代表者とすべきである。サイバーセキュリティの専門知識センターとしてのENISAの役割と、ENISAが提供する支援に鑑み、また、欧州連合の宇宙インフラとサービスのサイバーセキュリティの重要性に鑑み、ENISAと欧州連合宇宙計画庁はIICBに代表されるべきである。本規則に基づき CERT-EU に割り当てられた役割に鑑み、CERT-EU の責任者は、IICB が CERT-EU の責任者に直接関係する事項を議論する場合を除き、IICB のすべての会議に IICB 議長から招待されるべきである。 |
| (23) The IICB should monitor compliance with this Regulation as well as the implementation of guidelines and recommendations, and calls for action. The IICB should be supported on technical matters by technical advisory groups composed as the IICB sees fit. Those technical advisory groups should work in close cooperation with CERT-EU, the Union entities and other stakeholders as necessary. | (23)IICB は、本規則の遵守ならびにガイドラインおよび勧告の実施、および行動の要請を監視す べきである。IICB は、IICB が適切と考えるように構成された技術諮問グループによって、技術的事項に関して支 援されるべきである。これらの技術諮問グループは、必要に応じて、CERT-EU、EU 事業体および他の利害関係者と緊密に協 力して活動すべきである。 |
| (24) Where the IICB finds that a Union entity has not effectively implemented this Regulation or the guidelines, recommendations or calls for action issued pursuant thereto, the IICB should be able, without prejudice to the internal procedures of the Union entity concerned, to proceed with compliance measures. The IICB should apply compliance measures progressively – in other words, the IICB should first adopt the least severe measure, namely a reasoned opinion, and only if necessary increasingly severe measures, culminating in the most severe measure, namely a recommendation of a temporary suspension of data flows to the Union entity concerned. Such a recommendation should be applied only in exceptional cases of long-term, deliberate, repetitive or serious infringements of this Regulation by the Union entity concerned. | (24) IICB は、ある連合事業体が本規則、またはこれに従って発行されたガイドライン、勧告、 行動要請を効果的に実施していないと認める場合、当該連合事業体の内部手続を損なうことなく、 遵守措置を進めることができるものとする。換言すれば、IICBは、まず最も厳しい措置、すなわち理由付き意見を採用し、必要な場合にのみ次第に厳しい措置を採用し、最終的に最も厳しい措置、すなわち当該EU事業体に対するデータフローの一時停止を勧告すべきである。このような勧告は、当該事業体による本規則の長期的、意図的、反復的または重大な違反の例外的な場合にのみ適用されるべきである。 |
| (25) The reasoned opinion represents the least severe compliance measure addressing observed gaps in the implementation of this Regulation. The IICB should be able to follow up a reasoned opinion with guidance to assist the Union entity in ensuring that its Framework, cybersecurity risk-management measures, cybersecurity plan and reporting comply with this Regulation, and then by a warning to address identified shortcomings of the Union entity within a specified period. If the shortcomings identified in the warning have not been sufficiently addressed, the IICB should be able to issue a reasoned notification. | (25) 理由付き意見は、本規則の実施において観察されるギャップに対処する、最も緩やかな遵守措置である。IICB は、当該事業体のフレームワーク、サイバーセキュリティリスクマネジメント対策、サイバーセキュリティ 計画及び報告が本規則に適合していることを確保するために当該事業体を支援するためのガイダンスをもって、理由付 意見に続くことができるものとし、その後、特定された期間内に当該事業体の特定された欠点に対処す るための警告を発することができるものとする。警告で指摘された欠点が十分に対処されていない場合、IICBは理由ある通知を発行できるようにすべきである。 |
| (26) The IICB should be able to recommend that an audit of a Union entity be carried out. The Union entity should be able to use its internal audit function for that purpose. The IICB should also be able to request that an audit be performed by a third-party audit service, including from a mutually agreed private-sector service provider. | (26) IICBは、組合事業体に対する監査の実施を勧告することができるべきである。組合事業体は、そのために内部監査機能を利用することができるべきである。また、IICBは、相互に合意した民間サービスプロバイダを含むサードパーティによる監査の実施を要請することができるべきである。 |
| (27) In exceptional cases of long-term, deliberate, repetitive or serious infringements of this Regulation by a Union entity, the IICB should be able to recommend, as a last resort, to all Member States and Union entities, a temporary suspension of data flows to the Union entity, to be effective until the Union entity has brought the infringement to an end. Such a recommendation should be communicated by means of appropriate and secure communication channels. | (27) IICB は、加盟国及び加盟事業体に対して、例外的に、長期的、意図的、反復的、又は重大な本規則の違反がある場合には、最後の手段として、当該加盟事業体が違反を終息させるまで有効な、当該加盟事業体に対するデータ・フローの一時的な停止を勧告することができるものとする。このような勧告は、適切かつ安全なコミュニケーション手段を用いて伝達されるべきである。 |
| (28) To ensure the correct implementation of this Regulation, the IICB should, if it considers that a persistent infringement of this Regulation by a Union entity has been caused directly by the actions or omissions of a member of its staff, including at the highest level of management, request the Union entity concerned to take appropriate action, including requesting it to consider taking action of a disciplinary nature, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Union and the Conditions of Employment of Other Servants of the Union, laid down in Council Regulation (EEC, Euratom, ECSC) No 259/68 (5) (the ‘Staff Regulations’) and any other applicable rules and procedures. | (28) 本規則の正しい実施を確保するため、IICB は、ある同盟事業体による本規則の継続的な違反が、最高レベルの管理職を含むその職員の作為又は不作為によって直接引き起こされたと考えられる場合、当該同盟事業体に対し、適切な措置をとるよう要請すべきである、 これには、理事会規則(EEC、Euratom、ECSC)No 259/68 (5)(「職員規則」)およびその他の適用可能な規則および手続きに定められている、欧州連合の職員の職員規則およびその他の職員の雇用条件に従って、懲戒処分を検討するよう要請することも含まれる。 |
| (29) CERT-EU should contribute to the security of the ICT environment of all Union entities. When considering whether to provide technical advice or input on relevant policy matters upon the request of a Union entity, CERT-EU should ensure that this is no obstacle to carrying out the other tasks conferred on it pursuant to this Regulation. CERT-EU should act on the part of Union entities as the equivalent of the coordinator designated for the purposes of coordinated vulnerability disclosure pursuant to Article 12(1) of Directive (EU) 2022/2555. | (29) CERT-EU は、すべての連合事業体の ICT 環境のセキュリティに貢献すべきである。連合事業体の要請に応じて、関連する政策事項に関する技術的助言またはインプットを提供す るかどうかを検討する場合、CERT-EU は、本規則に従って付与された他の任務の遂行に支障がないことを確認す べきである。CERT-EU は、指令(EU)2022/2555 の第 12 条(1)に従い、調整された脆弱性開示の目的で指定された調整者に相当 するものとして、連邦事業体の側で行動すべきである。 |
| (30) CERT-EU should support the implementation of measures for a high common level of cybersecurity by means of proposals for guidelines and recommendations to the IICB or by issuing calls for action. Such guidelines and recommendations should be approved by the IICB. When needed, CERT-EU should issue calls for action describing urgent security measures which Union entities are urged to take within a set timeframe. The IICB should instruct CERT-EU to issue, withdraw or modify a proposal for guidelines or for a recommendation, or a call for action. | (30)CERT-EU は、IICB に対するガイドラインおよび勧告の提案、または行動の呼びかけの発 行により、サイバーセキュリティの高い共通レベルのための対策の実施を支援すべきである。このようなガイドラインや勧告は、IICB によって承認されるべきである。必要に応じて、CERT-EU は、EU 事業体が一定の期限内に実施するよう促される緊急のセキュリ ティ対策を記載した行動要請を発行すべきである。IICB は、CERT-EU に対し、ガイドライン、勧告、行動要請の提案の発行、撤回、修正を指示す べきである。 |
| (31) CERT-EU should also fulfil the role provided for it in Directive (EU) 2022/2555 concerning cooperation and information exchange with the computer security incident response teams (CSIRTs) network established pursuant to Article 15 of that Directive. Moreover, in line with Commission Recommendation (EU) 2017/1584 (6), CERT-EU should cooperate and coordinate a response with the relevant stakeholders. In order to contribute to a high level of cybersecurity across the Union, CERT-EU should share incident-specific information with Member State counterparts. CERT-EU should also collaborate with other public as well as private counterparts, including the North Atlantic Treaty Organization, subject to prior approval by the IICB. | (31)CERT-EU は、指令(EU)2022/2555 の第 15 条に従って設立されたコンピュータセキュリテ ィ・インシデント対応チーム(CSIRT)ネットワークとの協力および情報交換に関する指令(EU) 2022/2555 に規定された役割も果たすべきである。さらに、欧州委員会勧告(EU)2017/1584(6)に従い、CERT-EU は関連する利害関係者と協力し、対応を調整すべきである。加盟国全体の高水準のサイバーセキュリティに貢献するため、CERT-EU は加盟国のカウンターパートとインシデント固有の情報を共有すべきである。また、CERT-EU は、IICB の事前承認を条件として、北大西洋条約機構を含む、他の公的・私的カウンターパートとも協力すべきである。 |
| (32) In supporting operational cybersecurity, CERT-EU should make use of the available expertise of ENISA through structured cooperation as provided for in Regulation (EU) 2019/881. Where appropriate, dedicated arrangements between the two entities should be established to define the practical implementation of such cooperation and to avoid the duplication of activities. CERT-EU should cooperate with ENISA on cyber threat analysis and share its threat landscape report with ENISA on a regular basis. | (32) 運用サイバーセキュリティを支援する際、CERT-EU は、規則(EU)2019/881 に規定される構造的協力を通じて、 ENISA の利用可能な専門知識を利用すべきである。適切な場合には、そのような協力の実際的な実施を定義し、活動の重複を回避するために、両事業体間の専門的な取り決めが確立されるべきである。CERT-EU は、サイバー脅威分析に関して ENISA と協力し、その脅威状況報告書を定期的に ENISA と共有すべきである。 |
| (33) CERT-EU should be able to cooperate and exchange information with relevant cybersecurity communities within the Union and its Member States to foster operational cooperation and to enable the existing networks in realising their full potential in protecting the Union. | (33)CERT-EU は、運用協力を促進し、既存のネットワークが連合を保護する上でその潜在 能力を十分に発揮できるようにするために、連合および加盟国内の関連するサイバーセ キュリティ・コミュニティと協力し、情報交換できるようにすべきである。 |
| (34) As the services and tasks of CERT-EU are in the interest of Union entities, each Union entity with ICT expenditure should contribute a fair share to those services and tasks. Those contributions are without prejudice to the budgetary autonomy of the Union entities. | (34) CERT-EU のサービスおよび業務は、連邦事業体の利益に資するものであるため、ICT 支 出を有する各連邦事業体は、これらのサービスおよび業務に対して公平な負担を行うべきである。これらの拠出は、連合事業体の予算自主権を損なうものではない。 |
| (35) Many cyberattacks are part of wider campaigns that target groups of Union entities or communities of interest that include Union entities. To enable proactive detection, incident response or mitigating measures and recovery from incidents, Union entities should be able to notify CERT-EU of incidents, cyber threats, vulnerabilities and near misses and share appropriate technical details that enable detection or mitigation of, as well as response to, similar incidents, cyber threats, vulnerabilities and near misses in other Union entities. Following the same approach as in Directive (EU) 2022/2555, Union entities should be required to submit an early warning to CERT-EU within 24 hours of becoming aware of a significant incident. Such information exchange should enable CERT-EU to disseminate the information to other Union entities, as well as to appropriate counterparts, to help protect the Union entities’ ICT environments and the Union entities’ counterparts’ ICT environments against similar incidents. | (35) 多くのサイバー攻撃は、連邦事業体のグループまたは連邦事業体を含む利益共同体を標的にした、より広範なキャンペーンの一部である。インシデントの事前検知、インシデント対応または軽減措置、およびインシデントからの回復を 可能にするために、連合事業体は、インシデント、サイバー脅威、脆弱性およびニアミスについて CERT-EU に通知し、他の連合事業体における同様のインシデント、サイバー脅威、脆弱性およびニアミスの検知ま たは軽減、および対応を可能にする適切な技術的詳細を共有することができるべきである。指令(EU)2022/2555 と同じアプローチに従い、EU 事業体は、重大インシデントを認識してから 24 時間以内に CERT-EU に早期警告を提出することが義務付けられるべきである。このような情報交換により、CERT-EU は、他の連合事業体および適切な対応機関に情報を広 報し、連合事業体の ICT 環境および連合事業体の対応機関の ICT 環境を同様のインシデントか ら保護できるようにすべきである。 |
| (36) This Regulation lays down a multiple-stage approach to the reporting of significant incidents in order to strike the right balance between, on the one hand, swift reporting that helps mitigate the potential spread of significant incidents and allows Union entities to seek assistance and, on the other, in-depth reporting that draws valuable lessons from individual incidents and improves over time the cyber resilience of individual Union entities and contributes to increasing their overall cybersecurity posture. In that regard, this Regulation should include the reporting of incidents that, on the basis of an initial assessment carried out by the Union entity concerned, could cause severe operational disruption to the functioning of, or financial loss to, the Union entity concerned, or affect other natural or legal persons by causing considerable material or non-material damage. Such initial assessment should take into account, inter alia, the network and information systems affected, in particular their importance for the functioning of the Union entity, the severity and technical characteristics of a cyber threat and any underlying vulnerabilities that are being exploited as well as the Union entity’s experience with similar incidents. Indicators such as the extent to which the functioning of the Union entity is affected, the duration of an incident or the number of affected natural or legal persons could play an important role in identifying whether the operational disruption is severe. | (36) 本規則は、一方では、重要なインシデントの潜在的な広がりを緩和し、連合事業体が支援を求めることを可能にする迅速な報告、他方では、個々のインシデントから貴重な教訓を引き出し、個々の連合事業体のサイバーレジリエンスを長期的に改善し、全体的なサイバーセキュリティ態勢の強化に貢献する詳細な報告との適切なバランスをとるために、重要なインシデントの報告に対する多段階のアプローチを定めている。この点に関して、本規則は、関係する連合事業体によって実施された初期評価に基づき、当該連合事業体の機能に深刻な業務上の混乱、もしくは財務上の損失を引き起こす可能性があるインシデント、または相当な物質的もしくは非物質的損害を引き起こすことにより他の自然人もしくは法人に影響を及ぼす可能性があるインシデントの報告を含むべきである。このような初期評価は、特に、影響を受けるネットワークと情報システム、特に当該連合事業体の機能にとってのその重要性、サイバー脅威の重大性と技術的特性、及び悪用されている脆弱性、並びに類似のインシデントに関する当該連合事業体の経験を考慮に入れるべきである。連邦事業体の機能が影響を受ける程度、インシデントの期間、影響を受ける自然人または法人の数などの識別は、業務上の混乱が深刻であるかどうかを識別する上で重要な役割を果たす可能性がある。 |
| (37) As the infrastructure and network and information systems of the relevant Union entity and the Member State where that Union entity is located are interconnected, it is crucial for that Member State to be informed without undue delay of a significant incident within that Union entity. To that end, the Union entity affected should inform any relevant Member State counterparts designated or established pursuant to Articles 8 and 10 of Directive (EU) 2022/2555 of the occurrence of a significant incident about which it is reporting to CERT-EU. Where CERT-EU becomes aware of a significant incident occurring within a Member State, it should notify any relevant counterpart in that Member State. | (37) 関連する連邦事業体と当該連邦事業体が所在する加盟国のインフラストラクチャーとネットワークと情報システムは相互に接続されているため、当該加盟国は、当該連邦事業体内で重大なインシデントが発生した場合、過度に遅れることなく通知を受けることが極めて重要である。そのため、影響を受ける事業体は、指令(EU)2022/2555 の第 8 条および第 10 条に従って指定または設 置された関連加盟国の対応機関に、CERT-EU に報告する重大インシデントの発生を通知しなければならない。CERT-EU が加盟国内で発生した重大インシデントに気付いた場合、CERT-EU は、当該加盟国 の関連するカウンターパートに通知しなければならない。 |
| (38) A mechanism to ensure effective exchange of information, coordination, and cooperation of the Union entities in the case of major incidents should be implemented, including a clear identification of the roles and responsibilities of the Union entities involved. The Commission representative in the IICB should, subject to the cyber crisis management plan, be the point of contact to facilitate the IICB’s sharing of relevant information in relation to major incidents with the European cyber crisis liaison organisation network (EU-CyCLONe), as a contribution to the shared situational awareness. The role of the Commission representative in the IICB as the point of contact should be without prejudice to the Commission’s separate and distinct role in EU-CyCLONe pursuant to Article 16(2) of Directive (EU) 2022/2555. | (38) 重大インシデントの場合、関係する EU 事業体の役割と責任の明確な特定を含め、EU 事業体の効果的な情報交換、調整、協力を確保するためのメカニズムが実施されるべきである。IICBにおける欧州委員会の代表者は、サイバー危機管理計画に従って、状況認識の共有に寄与するため、IICBが欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)と重大インシデントに関連する関連情報を共有することを促進するための窓口となるべきである。IICBにおける欧州委員会の代表者の窓口としての役割は、指令(EU) 2022/2555の第16条(2)に従い、EU-CyCLONeにおける欧州委員会の別個の役割を損なうものであってはならない。 |
| (39) Regulation (EU) 2018/1725 of the European Parliament and of the Council (7) applies to any processing of personal data pursuant to this Regulation. The processing of personal data could take place in relation to measures adopted in the context of cybersecurity risk management, vulnerability and incident handling, information sharing about incidents, cyber threats and vulnerabilities, and incident response coordination and cooperation. Such measures could require the processing of certain categories of personal data, such as IP addresses, uniform resources locators (URLs), domain names, email addresses, organisational roles of the data subject, time stamps, email subjects or file names. All measures taken pursuant to this Regulation should comply with the data protection and privacy framework, and the Union entities, CERT-EU and, where relevant, the IICB, should take all relevant technical and organisational safeguards to ensure such compliance in an accountable manner. | (39)欧州議会および理事会規則(EU)2018/1725(7)は、本規則に基づく個人データの処理に適用される。個人データの処理は、サイバーセキュリティのリスクマネジメント、脆弱性およびインシデントハンドリング、インシデント、サイバー脅威および脆弱性に関する情報共有、インシデント対応の調整および協力の文脈で採用される措置に関連して行われる可能性がある。このような措置は、IPアドレス、ユニフォーム・リソース・ロケータ(URL)、ドメイン名、電子メールアドレス、データ主体の組織的役割、タイムスタンプ、電子メールの主体またはファイル名など、特定のカテゴリーの個人データの処理を必要とする可能性がある。本規則に従って講じられるすべての措置は、データ・プライバシーの枠組みに準拠すべきであ り、EU 事業体、CERT-EU、および関連する場合には IICB は、説明可能な方法でかかる準拠を確保するため に、すべての関連する技術的および組織的な保護措置を講じるべきである。 |
| (40) This Regulation establishes the legal basis for the processing of personal data by Union entities, CERT-EU and, where relevant, the IICB, for the purpose of performing their tasks and fulfilling their obligations under this Regulation, in accordance with Article 5(1), point (b), of Regulation (EU) 2018/1725. CERT-EU may act as processor or controller depending on the task it performs pursuant to Regulation (EU) 2018/1725. | (40) 本規則は、規則(EU)2018/1725 の第 5 条(1)項(b)に従い、本規則に基づく業務の遂行と義務の履行を目的とし て、EU 事業体、CERT-EU、および関連する場合には IICB が個人データを処理する法的根拠を定める。CERT-EUは、規則(EU)2018/1725に従って実行する業務に応じて、処理者または管理者として行動することができる。 |
| (41) In certain cases, for the purpose of complying with their obligations under this Regulation to ensure a high level of cybersecurity and in particular in the context of vulnerability and incident handling, it may be necessary for Union entities and CERT-EU to process special categories of personal data as referred to in Article 10(1) of Regulation (EU) 2018/1725. This Regulation establishes the legal basis for the processing of special categories of personal data by Union entities and CERT-EU in accordance with Article 10(2), point (g), of Regulation (EU) 2018/1725. The processing of special categories of personal data under this Regulation should be strictly proportionate to the aim pursued. Subject to the conditions set out in Article 10(2), point (g), of that Regulation, the Union entities and CERT-EU should be able to process such data only to the extent necessary and where explicitly provided for in this Regulation. When processing special categories of personal data, the Union entities and CERT-EU should respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subjects. | (41) 特定の場合において、高水準のサイバーセキュリティを確保するために、特に脆弱性およびインシデントハンドリングの文脈において、本規則に基づく義務を遵守する目的で、EU事業体およびCERT-EUが規則(EU)2018/1725の第10条(1)に言及される特別カテゴリーの個人データを処理することが必要になることがある。本規則は、規則(EU)2018/1725 の第 10 条(2)項(g)に従い、欧州連合事業体および CERT-EU による特別カテゴリーの個人データ処理の法的根拠を定めるものである。本規則に基づく特別カテゴリーの個人データの処理は、追求される目的に厳密に比例するものでなければならない。同規則の第 10 条(2)項(g)号に定める条件に従い、EU 事業体および CERT-EU は、必要な範囲で、かつ本規則に明示的に規定されている場合に限り、かかるデータ を処理することができるものとする。特別カテゴリーの個人データを処理する場合、欧州連合事業体および CERT-EU は、データ保護の権利の本質を尊重し、データ主体の基本的権利および利益を保護するための適切かつ具体的な措置を提供すべき である。 |
| (42) Pursuant to Article 33 of Regulation (EU) 2018/1725, Union entities and CERT-EU should, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure an appropriate level of security of personal data, such as the provision of restricted access rights on a need-to-know basis, the application of audit trail principles, the adoption of chain of custody, the storage of data at rest in a controlled and auditable environment, standardised operational procedures and privacy preserving measures such as pseudonymisation or encryption. Those measures should not be implemented in a manner affecting the purposes of incident handling and integrity of evidence. Where a Union entity or CERT-EU transfers personal data related to an incident, including special categories of personal data, to a counterpart or partner for the purposes of this Regulation, such transfers should comply with Regulation (EU) 2018/1725. Where special categories of personal data are transferred to a third party, the Union entities and CERT-EU should ensure that the third party applies measures concerning the protection of personal data at a level equivalent to Regulation (EU) 2018/1725. | (42) 規則(EU)2018/1725 第 33 条に従い、EU 事業体および CERT-EU は、最新技術、実施コスト、処理の性質、範囲、背景、目的、ならびに自然 人の権利および自由に対する様々な可能性および重大性のリスクを考慮し、個人データの適切なレ ベルのセキュリティを確保するための適切な技術的および組織的措置を実施すべきである、 例えば、知る必要性に基づく制限されたアクセス権の提供、監査証跡原則の適用、CoCの採用、管理され監査可能な環境下での静止データの保管、標準化された運用手順、仮名化や暗号化などのプライバシー保護措置などである。これらの措置は、インシデントハンドリングおよび証拠の完全性の目的に影響する形で実施されるべきではない。欧州連合事業体または CERT-EU が、特別カテゴリーの個人データを含むインシデントに関連する個 人データを、本規則の目的のために相手方またはパートナーに移転する場合、かかる移転は規則(EU) 2018/1725 に準拠すべきである。特別カテゴリーの個人データが第三者に移転される場合、EU 事業体および CERT-EU は、当該第三者が規則(EU)2018/1725 と同等のレベルの個人データ保護に関する措置を適用することを確保しなければならない。 |
| (43) Personal data processed for the purposes of this Regulation should be retained only for as long as necessary in accordance with Regulation (EU) 2018/1725. Union entities and, where applicable, CERT-EU acting as a controller, should set retention periods which are limited to what is necessary to achieve the specified purposes. In particular in relation to personal data collected for incident handling, Union entities and CERT-EU should differentiate between personal data that are collected for the detection of a cyber threat in their ICT environments to prevent an incident and personal data that are collected for the mitigation of, response to and recovery from an incident. For the detection of a cyber threat, it is important to take into account the time that a threat actor can remain undetected in a system. For the mitigation of, response to and recovery from an incident, it is important to consider whether the personal data are necessary to trace and handle a recurrent incident or an incident of similar nature for which a correlation could be demonstrated. | (43) 本規則の目的のために処理された個人データは、規則(EU)2018/1725 に従い、必要な期間の み保持されるべきである。EU事業体および該当する場合、管理者として行動するCERT-EUは、指定された目的を達 成するために必要な期間に限定された保持期間を設定すべきである。特にインシデントハンドリングのために収集される個人データに関連して、EU 事業体および CERT-EU は、インシデントを防止するために、ICT 環境におけるサイバー脅威の検知のために収集される個人データと、インシデントの軽減、対応、およびインシデントからの回復のために収集される個 人データを区別すべきである。サイバー脅威の検知については、脅威行為者がシステム内で検知されずにいられる時間を考慮することが重要である。インシデントの低減、インシデントへの対応及びインシデントからの回復のためには、個人データが、再発するインシデント又は相関関係が実証され得る類似の性質のインシデントを追跡し、取り扱うために必要であるかどうかを考慮することが重要である。 |
| (44) The handling of information by Union entities and CERT-EU should comply with the applicable rules on information security. The inclusion of human resources security as a cybersecurity risk-management measure should also comply with the applicable rules. | (44) 組合事業体および CERT-EU による情報の取り扱いは、情報セキュリティに関する適 用規則を遵守すべきである。サイバーセキュリティリスクマネジメント対策として人的資源セキュリ ティを含めることも、適用される規則に準拠すべきである。 |
| (45) For the purpose of sharing information, visible markings are used to indicate that sharing boundaries are to be applied by the recipients of information on the basis of, in particular, non-disclosure agreements, or informal non-disclosure agreements such as the traffic light protocol or other clear indications by the source. The traffic light protocol is to be understood as a means to provide information about any limitations with regard to the further spreading of information. It is used in almost all CSIRTs and in some information analysis and sharing centres. | (45) 情報共有の目的のために、特に秘密保持契約、信号機のプロトコルなどの非公式な秘密 保持契約、または情報源によるその他の明確な表示に基づいて、情報の取得者が共有の境界 を適用することを示すために、目に見えるマークが使用される。トラフィックライト・プロトコルは、情報のさらなる拡散に関する制限に関する情報を提供する手段として理解される。トラフィックライト・プロトコルは、ほとんどすべての CSIRT やいくつかの情報分析・共有センターで使用されている。 |
| (46) This Regulation should be evaluated on a regular basis in light of future negotiations of multiannual financial frameworks, allowing for further decisions to be made with respect to the functioning and institutional role of CERT-EU, including the possible establishment of CERT-EU as a Union office. | (46) 本規則は、将来の多年度財政枠組みの交渉に照らして定期的に評価されるべきであり、CERT-EU の連合事務所としての設立の可能性を含め、CERT-EU の機能と機構的役割に関してさらなる決定がなされることを可能にする。 |
| (47) The IICB, with the assistance of CERT-EU, should review and evaluate the implementation of this Regulation and should report its findings to the Commission. Building on this input, the Commission should report to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. That report, with the input of the IICB, should evaluate the appropriateness of including network and information systems handling EUCI within the scope of this Regulation, in particular in the absence of information security rules common to Union entities. | (47) IICB は、CERT-EU の支援を受けて、本規則の実施を見直し、評価し、その結果を欧州委員会に報告す べきである。欧州委員会は、この意見を踏まえ、欧州議会、理事会、欧州経済社会委員会および地域委員会に報告すべきである。同報告書は、IICBの意見を踏まえ、EUCIを扱うネットワークと情報システムを同規則の適用範囲に含めることの妥当性を、特にEU事業体に共通する情報セキュリティ規則がない場合に評価すべきである。 |
| (48) In accordance with the principle of proportionality, it is necessary and appropriate for the achievement of the basic objective of achieving a high common level of cybersecurity within Union entities to lay down rules on cybersecurity for Union entities. This Regulation does not go beyond what is necessary in order to achieve the objective pursued, in accordance with Article 5(4) of the Treaty on European Union. | (48) 比例性の原則に従い、連合事業体のためのサイバーセキュリティに関する規則を定めることは、連合事業体内で高い共通レベルのサイバーセキュリティを達成するという基本目的の達成のために必要かつ適切である。本規則は、欧州連合条約第5条4項に従い、追求される目的を達成するために必要な範囲を超えるものではない。 |
| (49) This Regulation reflects the fact that Union entities differ in size and capacity, including in terms of financial and human resources. | (49) 本規則は、資金面や人的資源を含め、EU事業体の規模や能力がそれぞれ異なるという事実を反映している。 |
| (50) The European Data Protection Supervisor was consulted in accordance with Article 42(1) of Regulation (EU) 2018/1725 and delivered an opinion on 17 May 2022 (8), | (50) 欧州データ保護監督機関は、規則(EU) 2018/1725の第42条(1)に従って諮問を受け、2022年5月17日に意見を述べた(8)、 |
| HAVE ADOPTED THIS REGULATION: | は本規則を採択した: |
| CHAPTER I | 第1章 |
| GENERAL PROVISIONS | 一般規定 |
| Article 1 | 第1条 |
| Subject matter | 主題 |
| This Regulation lays down measures that aim to achieve a high common level of cybersecurity within Union entities with regard to: | 本規則は、以下の事項に関して、EU事業体内におけるサイバーセキュリティの高い共通レベルを達成することを目的とした措置を定める: |
| (a) the establishment by each Union entity of an internal cybersecurity risk-management, governance and control framework pursuant to Article 6; | (a) 各連合事業体は、第6条に基づき、内部サイバーセキュリティリスクマネジメント、ガバナンス及び管理の枠組みを構築する; |
| (b) cybersecurity risk management, reporting and information sharing; | (b) サイバーセキュリティリスクマネジメント、報告および情報共有; |
| (c) the organisation, functioning and operation of the Interinstitutional Cybersecurity Board established pursuant to Article 10, as well as the organisation, functioning and operation of the Cybersecurity Service for the Union institutions, bodies, offices and agencies (CERT-EU); | (c) 第10条に従って設立された機関間サイバーセキュリティ委員会の組織、機能および運営、ならびに連邦機関、団体、事務所および機関のためのサイバーセキュリティ・サービス(CERT-EU)の組織、機能および運営; |
| (d) the monitoring of the implementation of this Regulation. | (d) 本規則の実施を監視すること。 |
| Article 2 | 第2条 |
| Scope | 適用範囲 |
| 1. This Regulation applies to Union entities, to the Interinstitutional Cybersecurity Board established pursuant to Article 10 and to CERT-EU. | 1. 本規則は、連邦事業体、第 10 条に従って設立された機関間サイバーセキュリティ委員会、および CERT-EU に適用される。 |
| 2. This Regulation applies without prejudice to the institutional autonomy pursuant to the Treaties. | 2. 本規則は、条約に基づく機構の自治を損なうことなく適用される。 |
| 3. With the exception of Article 13(8), this Regulation does not apply to network and information systems handling EU classified information (EUCI). | 3. 第13条8項を除き、本規則はEU機密情報(EUCI)を取り扱うネットワークと情報システムには適用されない。 |
| Article 3 | 第3条 |
| Definitions | 定義 |
| For the purposes of this Regulation, the following definitions apply: | この規則の目的上、以下の定義が適用される: |
| (1) ‘Union entities’ means the Union institutions, bodies, offices and agencies set up by or pursuant to the Treaty on European Union, the Treaty on the Functioning of European Union (TFEU) or the Treaty establishing the European Atomic Energy Community; | (1) 「EU事業体」とは、欧州連合条約、欧州連合の機能に関する条約(TFEU)または欧州原子力共同体設立条約によって、またはそれらに基づいて設立されたEU機構、団体、事務所および機関をいう; |
| (2) ‘network and information system’ means a network and information system as defined in Article 6, point (1), of Directive (EU) 2022/2555; | (2) 「ネットワークと情報システム」とは、指令(EU)2022/2555の第6条(1)に定義されるネットワークと情報システムをいう; |
| (3) ‘security of network and information systems’ means security of network and information systems as defined in Article 6, point (2), of Directive (EU) 2022/2555; | (3) 「ネットワークと情報システムのセキュリティ」とは、指令(EU)2022/2555の第6条(2)に定義されるネットワークと情報システムのセキュリティを意味する; |
| (4) ‘cybersecurity’ means cybersecurity as defined in Article 2, point (1), of Regulation (EU) 2019/881; | (4) 「サイバーセキュリティ」とは、規則(EU)2019/881の第2条(1)に定義されるサイバーセキュリティをいう; |
| (5) ‘highest level of management’ means a manager, management body or coordination and oversight body that is responsible for the functioning of a Union entity, at the most senior administrative level, with a mandate to adopt or authorise decisions in line with the high-level governance arrangements of that Union entity, without prejudice to the formal responsibilities of other levels of management for compliance and cybersecurity risk management in their respective areas of responsibility; | (5)「最高レベルの管理」とは、それぞれの責任分野におけるコンプライアンス及びサイバーセキュリティリスク管理に関する他のレベルの管理者の正式な責任を損なうことなく、当該連邦事業体のハイレベルガバナンスの取決めに沿った決定を採択又は承認する権限を有する、最上位の管理レベルで、当該連邦事業体の機能に責任を有する管理者、管理団体又は調整及び監視機関をいう; |
| (6) ‘near miss’ means a near miss as defined in Article 6, point (5), of Directive (EU) 2022/2555; | (6) 「ニアミス」とは、指令(EU)2022/2555 の第 6 条の(5)に定義されるニアミスを意味する; |
| (7) ‘incident’ means an incident as defined in Article 6, point (6), of Directive (EU) 2022/2555; | (7) 「インシデント」とは、指令(EU)2022/2555の第6条(6)に定義されるインシデントをいう; |
| (8) ‘major incident’ means an incident which causes a level of disruption that exceeds a Union entity’s and CERT-EU’s capacity to respond to it or which has a significant impact on at least two Union entities; | (8) 「大規模インシデント」とは、EU 事業体および CERT-EU の対応能力を超えるレベルの混乱を 引き起こすインシデント、または少なくとも 2 つの EU 事業体に重大な影響を及ぼすインシデントをいう; |
| (9) ‘large-scale cybersecurity incident’ means a large-scale cybersecurity incident as defined in Article 6, point (7), of Directive (EU) 2022/2555; | (9) 「大規模サイバーセキュリティインシデント」とは、指令(EU)2022/2555 の第 6 条の(7)に定義される大規模サイ バーセキュリティインシデントを意味する; |
| (10) ‘incident handling’ means incident handling as defined in Article 6, point (8), of Directive (EU) 2022/2555; | (10) 「インシデントハンドリング」とは、指令(EU)2022/2555の第6条(8)に定義されるインシデントハンドリングを意味する; |
| (11) ‘cyber threat’ means a cyber threat as defined in Article 2, point (8), of Regulation (EU) 2019/881; | (11) 「サイバー脅威」とは、規則(EU)2019/881の第2条(8)に定義されるサイバー脅威をいう; |
| (12) ‘significant cyber threat’ means a significant cyber threat as defined in Article 6, point (11), of Directive (EU) 2022/2555; | (12) 「重要なサイバー脅威」とは、指令(EU)2022/2555の第6条(11)に定義される重要なサイバー脅威をいう; |
| (13) ‘vulnerability’ means a vulnerability as defined in Article 6, point (15), of Directive (EU) 2022/2555; | (13) 「脆弱性」とは、指令(EU)2022/2555の第6条(15)に定義される脆弱性を意味する; |
| (14) ‘cybersecurity risk’ means a risk as defined in Article 6, point (9), of Directive (EU) 2022/2555; | (14) 「サイバーセキュリティリスク」とは、指令(EU)2022/2555の第6条(9)に定義されるリスクをいう; |
| (15) ‘cloud computing service’ means a cloud computing service as defined in Article 6, point (30), of Directive (EU) 2022/2555. | (15) 「クラウドコンピューティング・サービス」とは、指令(EU)2022/2555の第6条(30)に定義されるクラウドコンピューティング・サービスを意味する。 |
| Article 4 | 第4条 |
| Processing of personal data | 個人データの処理 |
| 1. The processing of personal data under this Regulation by CERT-EU, the Interinstitutional Cybersecurity Board established pursuant to Article 10 and Union entities shall be carried out in accordance with Regulation (EU) 2018/1725. | 1. CERT-EU、第 10 条に従って設立された機関間サイバーセキュリティ委員会および連合事業体による本規則に基づく個人データの処理は、規則(EU)2018/1725 に従って実施されるものとする。 |
| 2. Where they perform tasks or fulfil obligations pursuant to this Regulation, CERT-EU, the Interinstitutional Cybersecurity Board established pursuant to Article 10 and Union entities shall process and exchange personal data only to the extent necessary and for the sole purpose of performing those tasks or fulfilling those obligations. | 2. CERT-EU 、第 10 条に従って設立された機関間サイバーセキュリティ委員会、および連合事業 体は、本規則に従って業務を遂行しまたは義務を履行する場合、必要な範囲内において、かつ、当該 業務の遂行または義務の履行のみを目的として、個人データを処理し、交換するものとする。 |
| 3. The processing of special categories of personal data as referred to in Article 10(1) of Regulation (EU) 2018/1725 shall be considered to be necessary for reasons of substantial public interest pursuant to Article 10(2), point (g), of that Regulation. Such data may be processed only to the extent necessary for the implementation of cybersecurity risk-management measures referred to in Articles 6 and 8, for the provision of services by CERT-EU pursuant to Article 13, for the sharing of incident-specific information pursuant to Article 17(3) and Article 18(3), for the sharing of information pursuant Article 20, for the reporting obligations pursuant to Article 21, for incident response coordination and cooperation pursuant to Article 22 and for the management of major incidents pursuant to Article 23 of this Regulation. The Union entities and CERT-EU, when acting as data controllers, shall apply technical measures to prevent the processing of special categories of personal data for other purposes and shall provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subjects. | 3. 規則(EU)2018/1725の第10条(1)で言及されている特別カテゴリーの個人データの処理は、同規則の第10条(2)のポイント(g)に従い、実質的な公共の利益の理由のために必要であるとみなされるものとする。当該データは、第 6 条および第 8 条に言及されるサイバーセキュリティリスクマネジメント対策の実施、第 13 条に従った CERT-EU によるサービスの提供、第 17 条(3)および第 18 条(3)に従ったインシデント固有情報の共有、第 20 条に従った情報の共有、第 21 条に従った報告義務、第 22 条に従ったインシデント対応の調整および協力、ならびに本規則第 23 条に従った重大インシデントのマネジメントのために必要な範囲でのみ処理することができる。EU 事業体および CERT-EU は、データ管理者として行動する場合、他の目的のための特別なカ テゴリーの個人データの処理を防止する技術仕様を適用し、データ主体の基本的権利および 利益を保護するための適切かつ具体的な措置を規定するものとする。 |
| CHAPTER II | 第2章 |
| MEASURES FOR A HIGH COMMON LEVEL OF CYBERSECURITY | 共通レベルの高いサイバーセキュリティのための措置 |
| Article 5 | 第5条 |
| Implementation of measures | 措置の実施 |
| 1. By 8 September 2024, the Interinstitutional Cybersecurity Board established pursuant to Article 10 shall, after consulting the European Union Agency for Cybersecurity (ENISA) and after receiving guidance from CERT-EU, issue guidelines to Union entities for the purpose of carrying out an initial cybersecurity review and establishing an internal cybersecurity risk-management, governance and control framework pursuant to Article 6, carrying out cybersecurity maturity assessments pursuant to Article 7, taking cybersecurity risk-management measures pursuant to Article 8, and adopting the cybersecurity plan pursuant to Article 9. | 1. 2024年9月8日までに、第10条に従って設立された機関間サイバーセキュリティ委員会は、欧州連合サイバーセキュリティ機関(ENISA)と協議し、CERT-EUからガイダンスを受けた後、連合事業体に対して、サイバーセキュリティの初期レビューを実施し、第6条に従って内部サイバーセキュリティリスクマネジメント、ガバナンスおよびコントロールの枠組みを確立し、第7条に従ってサイバーセキュリティ成熟度アセスメントを実施し、第8条に従ってサイバーセキュリティリスクマネジメント措置を講じ、第9条に従ってサイバーセキュリティ計画を採択するためのガイドラインを発行する。 |
| 2. When implementing Articles 6 to 9, Union entities shall take into account the guidelines referred to in paragraph 1 of this Article, as well as relevant guidelines and recommendations adopted pursuant to Articles 11 and 14. | 2. 第6条から第9条までを実施する場合、事業体は、本条第1項のガイドライン、並びに第11条及び第14条に従って採択された関連するガイドライン及び勧告を考慮するものとする。 |
| Article 6 | 第6条 |
| Cybersecurity risk-management, governance and control framework | サイバーセキュリティのリスクマネジメント、ガバナンスおよび管理の枠組み |
| 1. By 8 April 2025, each Union entity shall, after carrying out an initial cybersecurity review, such as an audit, establish an internal cybersecurity risk-management, governance and control framework (the ‘Framework’). The establishment of the Framework shall be overseen by and under the responsibility of the Union entity’s highest level of management. | 1. 2025年4月8日までに、各組合事業体は、監査等の初期サイバーセキュリティレビューを実施した後、内部サイバーセキュリティリスクマネジメント、ガバナンス及び管理の枠組み(以下「枠組み」)を構築しなければならない。フレームワークの構築は、当該連邦事業体の最高レベルの経営陣が監督し、その責任の下で行われるものとする。 |
| 2. The Framework shall cover the entirety of the unclassified ICT environment of the Union entity concerned, including any on-premises ICT environment, operational technology network, outsourced assets and services in cloud computing environments or hosted by third parties, mobile devices, corporate networks, business networks not connected to the internet and any devices connected to those environments (ICT environment). The Framework shall be based on an all-hazards approach. | 2. フレームワークは、オンプレミスICT環境、運用技術ネットワーク、クラウドコンピューティング環境または第三者によってホストされているアウトソーシング資産およびサービス、モバイル機器、企業ネットワーク、インターネットに接続されていないビジネスネットワーク、およびこれらの環境に接続されているあらゆる機器(ICT環境)を含む、当該連合事業体の機密化されていないICT環境全体を対象とするものとする。フレームワークは、オール・ハザード・アプローチに基づくものとする。 |
| 3. The Framework shall ensure a high level of cybersecurity. The Framework shall establish internal cybersecurity policies, including objectives and priorities, for the security of network and information systems, and the roles and responsibilities of the Union entity’s staff tasked with ensuring the effective implementation of this Regulation. The Framework shall also include mechanisms to measure the effectiveness of the implementation. | 3. フレームワークは、高水準のサイバーセキュリティを確保しなければならない。フレームワークは、ネットワークと情報システムのセキュリティに関する目的と優先順位を含む内部のサイバーセキュリティ方針、および本規則の効果的な実施を確保することを任務とする連合事業体の職員の役割と責任を定めるものとする。また、フレームワークには、実施の有効性を測定するためのメカニズムも含まれなければならない。 |
| 4. The Framework shall be reviewed on a regular basis, in light of the changing cybersecurity risks, and at least every four years. Where appropriate and following a request from the Interinstitutional Cybersecurity Board established pursuant to Article 10, a Union entity’s Framework may be updated on the basis of guidance from CERT-EU on incidents identified or possible gaps observed in the implementation of this Regulation. | 4. フレームワークは、サイバーセキュリティリスクの変化を踏まえ、定期的に、少なくとも4年ごとに見直すものとする。適切な場合、および第 10 条に従って設立された機関間サイバーセキュリティ委員会からの要請に従っ て、本規則の実施において確認されたインシデントまたは観察されたギャップの可能性に関する CERT-EU からのガイダンスに基づき、EU 事業体のフレームワークを更新することができる。 |
| 5. The highest level of management of each Union entity shall be responsible for the implementation of this Regulation and shall oversee the compliance of its organisation with the obligations related to the Framework. | 5. 各連合事業体の最高レベルの管理者は、本規則の実施に責任を負い、その組織がフレームワークに関連する義務を遵守していることを監督するものとする。 |
| 6. Where appropriate and without prejudice to its responsibility for the implementation of this Regulation, the highest level of management of each Union entity may delegate specific obligations under this Regulation to senior officials within the meaning of Article 29(2) of the Staff Regulations or other officials at equivalent level, within the Union entity concerned. Regardless of any such delegation, the highest level of management may be held liable for infringements of this Regulation by the Union entity concerned. | 6. 適切な場合には、かつ、この規則の実施に関する責任を損なうことなく、各組合機関の最高レベルの管理職は、この規則に基づく特定の義務を、職員規則第29条第2項の意味における上級職員又は当該組合機関内の同等のレベルの他の職員に委任することができる。そのような委任にかかわらず、最高レベルの管理者は、当該連合事業体による本規則の違反について責任を負うことができる。 |
| 7. Each Union entity shall have effective mechanisms in place to ensure that an adequate percentage of the ICT budget is spent on cybersecurity. Due account shall be taken of the Framework when establishing that percentage. | 7. 各連合事業体は、ICT 予算の適切な割合がサイバーセキュリティに費やされることを確保するための効果的なメカニズムを有するものとする。その割合を定める際には、フレームワークを十分に考慮しなければならない。 |
| 8. Each Union entity shall appoint a local cybersecurity officer or an equivalent function who shall act as its single point of contact regarding all aspects of cybersecurity. The local cybersecurity officer shall facilitate the implementation of this Regulation and report directly to the highest level of management on a regular basis on the state of the implementation. Without prejudice to the local cybersecurity officer being the single point of contact in each Union entity, a Union entity may delegate certain tasks of the local cybersecurity officer with regard to the implementation of this Regulation to CERT-EU on the basis of a service level agreement concluded between that Union entity and CERT-EU, or those tasks may be shared by several Union entities. Where those tasks are delegated to CERT-EU, the Interinstitutional Cybersecurity Board established pursuant to Article 10 shall decide whether the provision of that service is to be part of the baseline services of CERT-EU, taking into account the human and financial resources of the Union entity concerned. Each Union entity shall, without undue delay, notify CERT-EU of the local cybersecurity officer appointed and any subsequent change thereto. | 8. 各組合事業体は、サイバーセキュリティのあらゆる側面に関する唯一の窓口として機能する、地域のサイバーセキュリティ担当官または同等の機能を任命しなければならない。サイバーセキュリティ現地責任者は、本規則の実施を促進し、その実施状況について定期的に最高レベルの経営陣に直接報告するものとする。各地域のサイバーセキュリティ担当官が各連合事業体における唯一の窓口であることを損なうことなく、連合事業体は、当該連合事業体と CERT-EU との間で締結されたサービスレベル契約に基づき、本規則の実施に関する各地域のサイバーセキュリティ担当官の特定の業務を CERT-EU に委任することができ、または当該業務を複数の連合事業体で分担することができる。これらの業務が CERT-EU に委任される場合、第 10 条に従って設立された機関間サイ バーセキュリティ委員会は、当該連合事業体の人的および財政的資源を考慮し、当該サービスの 提供を CERT-EU の基本サービスの一部とするかどうかを決定するものとする。各連合事業体は、任命された現地サイバーセキュリティ担当者およびその後の変更について、過度な遅滞なく CERT-EU に通知するものとする。 |
| CERT-EU shall establish and keep updated a list of appointed local cybersecurity officers. | CERT-EU は、任命された現地サイバーセキュリティ担当者のリストを作成し、更新するものとす る。 |
| 9. The senior officials within the meaning of Article 29(2) of the Staff Regulations or other officials at equivalent level of each Union entity, as well as all relevant members of staff tasked with implementing the cybersecurity risk-management measures and with fulfilling obligations laid down in this Regulation, shall follow specific training on a regular basis with a view to gaining sufficient knowledge and skills in order to apprehend and assess cybersecurity risk- and management practices and their impact on the operations of the Union entity. | 9. 各連合事業体の職員規則第 29 条(2)項に規定される上級職員またはこれに相当するレベルの職員、ならびにサイ バーセキュリティリスクマネジメント対策の実施および本規則に規定される義務の履行を任務とするすべての関 連職員は、サイバーセキュリティリスクおよびマネジメント慣行、ならびにそれらが連合事業体の 業務に及ぼす影響を把握し評価するために、十分な知識と技能を習得することを目的として、定期 的に特定の研修を受けるものとする。 |
| Article 7 | 第7条 |
| Cybersecurity maturity assessments | サイバーセキュリティ成熟度評価 |
| 1. By 8 July 2025 and at least every two years thereafter, each Union entity shall carry out a cybersecurity maturity assessment incorporating all the elements of its ICT environment. | 1. 2025年7月8日までに、及びその後少なくとも2年ごとに、各連合事業体は、そのICT環境のすべての要素を組み込んだサイバーセキュリティ成熟度評価を実施しなければならない。 |
| 2. The cybersecurity maturity assessments shall, where appropriate, be carried out with the assistance of a specialised third party. | 2. サイバーセキュリティ成熟度評価は、適切な場合には、専門のサードパーティーの支援を受けて実施されなければならない。 |
| 3. Union entities with similar structures may cooperate in carrying out cybersecurity maturity assessments for their respective entities. | 3. 類似の構造を有する事業体は、それぞれの事業体のサイバーセキュリティ成熟度評価の実施において協力することができる。 |
| 4. On the basis of a request of the Interinstitutional Cybersecurity Board established pursuant to Article 10 and with the explicit consent of the Union entity concerned, the results of a cybersecurity maturity assessment may be discussed within that Board or within the informal group of local cybersecurity officers with a view to learning from experience and sharing best practices. | 4. 第 10 条に従って設立された機関間サイバーセキュリティ委員会の要請に基づき、かつ当該事業体の明示的な同意がある場合、サイバーセキュリティ成熟度評価の結果は、経験から学び、ベストプラクティスを共有することを目的として、同委員会内または地域のサイバーセキュリティ担当者の非公式グループ内で議論することができる。 |
| Article 8 | 第8条 |
| Cybersecurity risk-management measures | サイバーセキュリティリスクマネジメント措置 |
| 1. Without undue delay and in any event by 8 September 2025, each Union entity shall, under the oversight of its highest level of management, take appropriate and proportionate technical, operational and organisational measures to manage the cybersecurity risks identified under the Framework, and to prevent or minimise the impact of incidents. Taking into account the state of the art and, where applicable, relevant European and international standards, those measures shall ensure a level of security of network and information systems across the entirety of the ICT environment commensurate to the cybersecurity risks posed. When assessing the proportionality of those measures, due account shall be taken of the degree of the Union entity’s exposure to cybersecurity risks, its size and the likelihood of occurrence of incidents and their severity, including their societal, economic and interinstitutional impact. | 1. 各組合事業体は、不当に遅延することなく、いかなる場合においても2025年9月8日までに、最高レベルの経営陣の監督の下、フレームワークの下で特定されたサイバーセキュリティ・リスクを管理し、インシデントの影響を防止または最小化するために、適切かつ相応の技術的、運用上および組織上の措置を講じなければならない。最新の技術水準及び該当する場合には関連する欧州及び国際標準を考慮し、それらの対策は、もたらされるサイバーセキュリティリスクに見合った、ICT環境全体にわたるネットワークと情報システムのセキュリティレベルを確保するものとする。これらの措置の比例性をアセスメントする際には、サイバーセキュリティリスクへの当該連合事業体のエクスポージャーの程度、その規模、インシデント発生の可能性及びその重大性(社会的、経済的及び制度間の影響を含む)を十分に考慮しなければならない。 |
| 2. Union entities shall address at least the following domains in the implementation of the cybersecurity risk-management measures: | 2. 事業体は、サイバーセキュリティリスクマネジメントの実施において、少なくとも以下の領域に取り組むものとする: |
| (a) cybersecurity policy, including measures needed to reach objectives and priorities referred to in Article 6 and paragraph 3 of this Article; | (a) サイバーセキュリティ政策(第6条及び本条第3項にいう目的及び優先事項を達成するために必要な措置を含む; |
| (b) policies on cybersecurity risk analysis and information system security; | (b) サイバーセキュリティリスク分析及び情報システムセキュリティに関する政策; |
| (c) policy objectives regarding the use of cloud computing services; | (c) クラウドコンピューティング・サービスの利用に関する政策目標; |
| (d) cybersecurity audit, where appropriate, which may include a cybersecurity risk, vulnerability and cyber threat assessment, and penetration testing carried out by a trusted private provider on a regular basis; | (d) サイバーセキュリティ監査(適切な場合、サイバーセキュリティリスク、脆弱性及びサイバー脅威のアセスメント、並びに信頼できる民間プロバイダが定期的に実施する侵入テストを含む); |
| (e) implementation of recommendations resulting from cybersecurity audits referred to in point (d) through cybersecurity and policy updates; | (e) (d)のサイバーセキュリティ監査から得られた勧告を、サイバーセキュリティ及び方針の更新を通じて実施すること; |
| (f) organisation of cybersecurity, including establishment of roles and responsibilities; | (f) 役割と責任の確立を含むサイバーセキュリティの組織化; |
| (g) asset management, including ICT asset inventory and ICT network cartography; | (g) ICT資産目録及びICTネットワーク地図を含む資産管理; |
| (h) human resources security and access control; | (h) 人材のセキュリティ及びアクセス制御; |
| (i) operations security; | (i) 運用セキュリティ |
| (j) communications security; | (j) コミュニケーション・セキュリティ |
| (k) system acquisition, development and maintenance, including policies on vulnerability handling and disclosure; | (k) 脆弱性の取扱い及び開示に関する方針を含む、システムの取得、開発及び保守; |
| (l) where possible, policies on the transparency of the source code; | (l) 可能であれば、ソースコードの透明性に関する方針; |
| (m) supply chain security, including security-related aspects concerning the relationships between each Union entity and its direct suppliers or service providers; | (m) サプライチェーンセキュリティ(各組合事業体とその直接の供給業者またはサービスプロバイダーとの関係に関するセキュリティ関連の側面を含む; |
| (n) incident handling and cooperation with CERT-EU, such as the maintenance of security monitoring and logging; | (n) インシデントハンドリング及び CERT-EU との協力(セキュリティ監視及びロギングの保守等); |
| (o) business continuity management, such as backup management and disaster recovery, and crisis management; and | (o) バックアップ管理、災害復旧、危機管理などの事業継続管理。 |
| (p) promotion and development of cybersecurity education, skills, awareness-raising, exercise and training programmes. | (p) サイバーセキュリティ教育、技能、意識向上、演習およびトレーニングプログラムの推進および開発。 |
| For the purposes of the first subparagraph, point (m), Union entities shall take into account the vulnerabilities specific to each direct supplier and service provider and the overall quality of products and cybersecurity practices of their suppliers and service providers, including their secure development procedures. | 第 1 号の(m)の目的のために,EU 事業体は,各直接供給者及びサービスプロバイダに固有の脆弱性,並びに安全な開発手順を含む供給者及びサービスプロバイダの製品及びサイバーセキュリティ慣行の全般的な品質を考慮しなければならない。 |
| 3. Union entities shall take at least the following specific cybersecurity risk-management measures: | 3. 事業体は、少なくとも以下の具体的なサイバーセキュリティリスクマネジメント措置を講じなければならない: |
| (a) technical arrangements to enable and sustain teleworking; | (a) テレワークを可能にし、維持するための技術的取り決め; |
| (b) concrete steps for moving towards zero-trust principles; | (b) ゼロトラスト原則に向けた具体的なステップ |
| (c) the use of multifactor authentication as a norm across network and information systems; | (c) ネットワークと情報システム全体で、多要素認証を標準として使用する; |
| (d) the use of cryptography and encryption, in particular end-to-end encryption, as well as secure digital signing; | (d) 暗号と暗号化、特にエンドツーエンドの暗号化と安全なデジタル署名の使用; |
| (e) where appropriate, secured voice, video and text communications, and secured emergency communications systems within the Union entity; | (e) 必要に応じて、安全な音声、ビデオ及びテキストコミュニケーション、並びに安全な緊急通信システムを、組合事業体内で使用すること; |
| (f) proactive measures for detection and removal of malware and spyware; | (f) マルウェアおよびスパイウェアの検知・除去のための事前対策; |
| (g) the establishment of software supply chain security through criteria for secure software development and evaluation; | (g) 安全なソフトウェアの開発と評価のための基準を通じて、ソフトウェアのサプライチェーンセキュリティを確立すること; |
| (h) the establishment and adoption of training programmes on cybersecurity commensurate to the prescribed tasks and expected capabilities for the highest level of management and members of staff of the Union entity tasked with ensuring the effective implementation of this Regulation; | (h) 本規則の効果的な実施を確保することを任務とする連合事業体の最高レベルの管理者及び職員のために、所定の任務及び期待される能力に見合ったサイバーセキュリティに関する研修プログラムを確立し、採用すること; |
| (i) regular cybersecurity training of staff members; | (i) 職員に対する定期的なサイバーセキュリティ研修; |
| (j) where relevant, participation in interconnectivity risk analyses between the Union entities; | (j) 関連する場合、連合事業体間の相互接続リスク分析に参加すること; |
| (k) the enhancement of procurement rules to facilitate a high common level of cybersecurity through: | (k) 高水準のサイバーセキュリティの共通化を促進するための調達規則の強化: |
| (i) the removal of contractual barriers that limit information sharing from ICT service providers about incidents, vulnerabilities and cyber threats with CERT-EU; | (i) インシデント、脆弱性、サイバー脅威に関するICTサービスプロバイダからのCERT-EUとの情報共有を制限する契約上の障壁の撤廃; |
| (ii) contractual obligations to report incidents, vulnerabilities and cyber threats as well as to have appropriate incident response and monitoring mechanisms in place. | (ii) インシデント、脆弱性、サイバー脅威を報告し、適切なインシデント対応と監視の仕組みを導入する契約上の義務。 |
| Article 9 | 第9条 |
| Cybersecurity plans | サイバーセキュリティ計画 |
| 1. Following the conclusion of the cybersecurity maturity assessment carried out pursuant to Article 7 and taking into account the assets and cybersecurity risks identified in the Framework as well as the cybersecurity risk-management measures taken pursuant to Article 8, the highest level of management of each Union entity shall approve a cybersecurity plan without undue delay and in any event by 8 January 2026. The cybersecurity plan shall aim at increasing the overall cybersecurity of the Union entity and shall thereby contribute to the enhancement of a high common level of cybersecurity within the Union entities. The cybersecurity plan shall include at least the cybersecurity risk-management measures taken pursuant to Article 8. The cybersecurity plan shall be revised every two years, or more frequently where necessary, following the cybersecurity maturity assessments carried out pursuant to Article 7 or any substantial review of the Framework. | 1. 第7条に基づき実施されたサイバーセキュリティ成熟度評価の終了後、フレームワークにおいて特定された資産及びサイバーセキュリティリスク並びに第8条に基づき実施されたサイバーセキュリティリスク管理措置を考慮し、各連合事業体の最高レベルのマネジメントは、過度の遅滞なく、いかなる場合においても2026年1月8日までに、サイバーセキュリティ計画を承認しなければならない。サイバーセキュリティ計画は、当該連合事業体のサイバーセキュリティ全体を向上させることを目的とし、それにより、連合事業体内のサイバーセキュリティの高い共通レベルの強化に寄与するものとする。サイバーセキュリティ計画には、少なくとも第8条に基づき講じられるサイバーセキュリティリスクマネジメント対策を含めなければならない。サイバーセキュリティ計画は、第7条に基づき実施されるサイバーセキュリティ成熟度評価又はフレームワークの実質的な見直しの後、2年ごとに、又は必要に応じてより頻繁に改訂されなければならない。 |
| 2. The cybersecurity plan shall include the Union entity’s cyber crisis management plan for major incidents. | 2. サイバーセキュリティ計画は、重大インシデントに対する連合事業体のサイバー危機管理計画を含むものとする。 |
| 3. The Union entity shall submit the completed cybersecurity plan to the Interinstitutional Cybersecurity Board established pursuant to Article 10. | 3. 事業体は、完成したサイバーセキュリティ計画を第10条に従って設置された機関間サイバーセキュリティ委員会に提出するものとする。 |
| CHAPTER III | 第3章 |
| INTERINSTITUTIONAL CYBERSECURITY BOARD | サイバーセキュリティ委員会 |
| Article 10 | 第10条 |
| Interinstitutional Cybersecurity Board | サイバーセキュリティ委員会 |
| 1. An Interinstitutional Cybersecurity Board (IICB) is hereby established. | 1. 機関間サイバーセキュリティ委員会(IICB)をここに設置する。 |
| 2. The IICB shall be responsible for: | 2. IICBは以下の責務を負う: |
| (a) monitoring and supporting the implementation of this Regulation by the Union entities; | (a) 組合事業体による本規則の実施を監視し、支援する; |
| (b) supervising the implementation of general priorities and objectives by CERT-EU and providing strategic direction to CERT-EU. | (b) CERT-EU による一般的な優先事項および目的の実施を監督し、CERT-EU に戦略的方向性を提供する。 |
| 3. The IICB shall consist of: | 3. IICB は、以下のメンバーで構成される: |
| (a) one representative designated by each of the following: | (a) 以下の各々によって指名された代表者 1 名: |
| (i) the European Parliament; | (i) 欧州議会 |
| (ii) the European Council; | (ii) 欧州理事会 |
| (iii) the Council of the European Union; | (iii) 欧州連合理事会 |
| (iv) the Commission; | (iv) 欧州委員会 |
| (v) the Court of Justice of the European Union; | (v) 欧州連合司法裁判所 |
| (vi) the European Central Bank; | (vi) 欧州中央銀行 |
| (vii) the Court of Auditors; | (vii) 監査裁判所 |
| (viii) the European External Action Service; | (viii) 欧州対外活動庁 |
| (ix) the European Economic and Social Committee; | (ix) 欧州経済社会委員会 |
| (x) the European Committee of the Regions; | (x) 欧州地域委員会 |
| (xi) the European Investment Bank; | (xi) 欧州投資銀行 |
| (xii) the European Cybersecurity Industrial, Technology and Research Competence Centre; | (xii) 欧州サイバーセキュリティ産業・技術・研究能力センター |
| (xiii) ENISA; | (xiii) ENISA |
| (xiv) the European Data Protection Supervisor (EDPS); | (xiv) 欧州データ保護監督機関(EDPS); |
| (xv) the European Union Agency for the Space Programme. | (xv) 欧州連合宇宙計画機関 |
| (b) three representatives designated by the EU Agencies Network (EUAN) on the basis of a proposal by its ICT Advisory Committee to represent the interests of the bodies, offices and agencies of the Union that run their own ICT environment, other than those referred to in point (a). | (b) ICT諮問委員会の提案に基づき、EU機関ネットワーク(EUAN)が指名する代表者3名で、(a)で言及された代表者以外の、独自のICT環境を運営するEUの団体、事務所、機関の利益を代表する。 |
| The Union entities represented on the IICB shall aim to achieve gender balance among the designated representatives. | IICBに代表される連合の事業体は,指名された代表者間のジェンダーバランスの達成を目指すものとする。 |
| 4. Members of the IICB may be assisted by an alternate. Other representatives of the Union entities referred to in paragraph 3 or of other Union entities may be invited by the Chair to attend IICB meetings without voting power. | 4. IICB のメンバーは,補欠の者を補佐することができる。第 3 項で言及された組合事業体又は他の組合事業体の他の代表者は,議長によって,投票 権を持たないで IICB 会議に出席するよう招請されることができる。 |
| 5. The Head of CERT-EU and the Chairs of the Cooperation Group, the CSIRTs network and EU-CyCLONe established, respectively, pursuant to Articles 14, 15 and 16 of Directive (EU) 2022/2555, or their alternates, may participate in IICB meetings as observers. In exceptional cases, the IICB may, in accordance with its internal rules of procedure, decide otherwise. | 5. CERT-EU の長、指令(EU)2022/2555 の第 14 条、第 15 条、第 16 条に従ってそれぞれ設立された協力グルー プ、CSIRTs ネットワーク、EU-CyCLONe の議長、またはその代理は、オブザーバーとして IICB 会議に参加することができる。例外的な場合、IICBはその内部手続規則に従い、別段の決定をすることができる。 |
| 6. The IICB shall adopt its internal rules of procedure. | 6. IICBは、その内部手続規則を採択するものとする。 |
| 7. The IICB shall designate a Chair in accordance with its internal rules of procedure, from among its members for a period of three years. The Chair’s alternate shall become a full member of the IICB for the same duration. | 7. IICB は、その内部手続規則に従い、メンバーの中から議長を指名するものとし、その任期は 3 年とする。議長の補欠は、同期間、IICB の正会員となる。 |
| 8. The IICB shall meet at least three times a year at the initiative of its Chair, at the request of CERT-EU or at the request of any of its members. | 8. IICB は、議長の主導により、CERT-EU の要請により、または加盟国の要請により、少なくとも年 3 回会合するものとする。 |
| 9. Each member of the IICB shall have one vote. The IICB’s decisions shall be taken by simple majority except where otherwise provided for in this Regulation. The Chair of the IICB shall not have a vote except in the event of a tied vote, in which case the Chair may cast a deciding vote. | 9. IICB の各メンバーは、1 票の投票権を有する。IICB の決定は、本規則に別段の定めがある場合を除き、単純多数決により行われるものとする。IICBの議長は、可否同数の場合を除き、投票権を持たない。 |
| 10. The IICB may act by means of a simplified written procedure initiated in accordance with its internal rules of procedure. Under that procedure, the relevant decision shall be deemed to be approved within the timeframe set by the Chair, except where a member objects. | 10. IICBは、その内部手続規則に従い、簡略化された書面手続によって行動することができる。この手続きでは、加盟国が異議を唱えた場合を除き、議長が定めた期限内に関連する決定が 承認されたものとみなされる。 |
| 11. The secretariat of the IICB shall be provided by the Commission and shall be accountable to the Chair of the IICB. | 11. IICBの事務局は委員会がプロバイダを務め、IICB議長に対して責任を負うものとする。 |
| 12. The representatives nominated by the EUAN shall relay the IICB’s decisions to the members of the EUAN. Any member of the EUAN shall be entitled to raise with those representatives or the Chair of the IICB any matter which it considers should be brought to the IICB’s attention. | 12. EUANが指名した代表者は、IICBの決定をEUANのメンバーに伝える。EUANのいかなる加盟国も、IICBに注意を喚起すべきと考える事項があれば、代表者またはIICB議長に提起する権利を有する。 |
| 13. The IICB may establish an executive committee to assist it in its work, and delegate some of its tasks and powers to it. The IICB shall lay down the rules of procedure of the executive committee, including its tasks and powers, and the terms of office of its members. | 13. IICBは、その業務を補佐する執行委員会を設置し、業務と権限の一部を委任することができる。IICBは、執行委員会の任務と権限、委員の任期を含む執行委員会の手続規則を定めるものとする。 |
| 14. By 8 January 2025 and on an annual basis thereafter, the IICB shall submit a report to the European Parliament and to the Council detailing progress made with the implementation of this Regulation and specifying in particular the extent of cooperation of CERT-EU with Member State counterparts in each of the Member States. The report shall constitute an input to the biennial report on the state of cybersecurity in the Union adopted pursuant to Article 18 of Directive (EU) 2022/2555. | 14. IICB は、2025 年 1 月 8 日までに、およびその後毎年、欧州議会および理事会に対し、本規則の実施 の進捗状況を詳述し、特に各加盟国における CERT-EU と加盟国のカウンターパートとの協力の程度を明記 した報告書を提出するものとする。この報告書は、指令(EU)2022/2555 の第 18 条に従って採択される、欧州連合におけるサイバーセキュリティの状況に関する 2 年ごとの報告書へのインプットを構成するものとする。 |
| Article 11 | 第11条 |
| Tasks of the IICB | IICBの任務 |
| When exercising its responsibilities, the IICB shall, in particular: | IICBは、その責務を行使する際、特に以下のことを行う: |
| (a) provide guidance to the Head of CERT-EU; | (a) CERT-EU の責任者にガイダンスを提供する; |
| (b) effectively monitor and supervise the implementation of this Regulation and support the Union entities in strengthening their cybersecurity, including, where appropriate, requesting ad-hoc reports from Union entities and CERT-EU; | (b) 本規則の実施を効果的に監視・監督し、適切な場合には、欧州連合事業体および CERT-EU に臨時報告を求めることを含め、欧州連合事業体のサイバーセキュリティ強化を支援する; |
| (c) following a strategic discussion, adopt a multiannual strategy on raising the level of cybersecurity in the Union entities, asses that strategy on a regular basis and in any event every five years and, where necessary, amend that strategy; | (c) 戦略的な議論を経て、連合事業体におけるサイバーセキュリティのレベル向上に関する複数年戦略を採択し、当該戦略を定期的に、いかなる場合でも5年ごとに評価し、必要に応じて当該戦略を修正する; |
| (d) establish the methodology and organisational aspects for the conduct of voluntary peer reviews by Union entities, with a view to learning from shared experiences, strengthening mutual trust, achieving a high common level of cybersecurity, as well as enhancing Union entities’ cybersecurity capabilities, ensuring that such peer reviews are conducted by cybersecurity experts designated by a Union entity different from the Union entity being reviewed and that the methodology is based on Article 19 of Directive (EU) 2022/2555 and is, where appropriate, adapted to the Union entities; | (d) 共通の経験から学び、相互信頼を強化し、サイバーセキュリティの高い共通レベルを達成するとともに、連合事業体のサイバーセキュリティ能力を強化することを目的として、連合事業体による自発的なピアレビューを実施するための方法論及び組織的側面を確立し、当該ピアレビューが、レビューを受ける連合事業体とは異なる連合事業体によって指定されたサイバーセキュリティの専門家によって実施されること、及び当該方法論が指令(EU)2022/2555の第19条に基づき、適切な場合には連合事業体に適合したものであることを確保する; |
| (e) approve, on the basis of a proposal by the Head of CERT-EU, CERT-EU’s annual work programme and monitor its implementation; | (e) CERT-EU の責任者の提案に基づいて、CERT-EU の年間作業計画を承認し、その実施 を監視する; |
| (f) approve, on the basis of a proposal by the Head of CERT-EU, CERT-EU’s service catalogue and any updates thereof; | (f) CERT-EU 長の提案に基づき、CERT-EU のサービスカタログおよびその更新を承認する; |
| (g) approve, on the basis of a proposal by the Head of CERT-EU, the annual financial planning of revenue and expenditure, including staffing, for CERT-EU activities; | (g) CERT-EU 部長の提案に基づき、CERT-EU 活動のための人員配置を含む収支の年次財務計 画を承認する; |
| (h) approve, on the basis of a proposal by the Head of CERT-EU, the arrangements for service level agreements; | (h) CERT-EU 責任者の提案に基づき、サービスレベル協定の取り決めを承認する; |
| (i) examine and approve the annual report drawn up by the Head of CERT-EU covering the activities of, and management of funds by, CERT-EU; | (i) CERT-EU の活動、および CERT-EU による資金管理を網羅する、CERT-EU 長が作成した 年次報告書を審査し、承認する; |
| (j) approve and monitor key performance indicators (KPIs) for CERT-EU established on the basis of a proposal by the Head of CERT-EU; | (j) CERT-EU 長による提案に基づいて設定された CERT-EU の主要業績評価指標(KPI)を承 認し、監視する; |
| (k) approve cooperation arrangements, service level agreements or contracts between CERT-EU and other entities pursuant to Article 18; | (k) 第 18 条に従い、CERT-EU と他の事業体との間の協力取り決め、サービスレベル合意または 契約を承認する; |
| (l) adopt guidelines and recommendations on the basis of a proposal by CERT-EU in accordance with Article 14 and instruct CERT-EU to issue, withdraw or modify a proposal for guidelines or recommendations, or a call for action; | (l) 第 14 条に従い、CERT-EU の提案に基づきガイドラインおよび勧告を採択し、CERT-EU に対し、ガイドラインまたは勧告の提案、または行動の呼びかけを発行、撤回、または修正するよう指示する; |
| (m) establish technical advisory groups with specific tasks to assist the IICB’s work, approve their terms of reference and designate their respective Chairs; | (m) IICB の作業を支援するために、特定の任務を持つ技術諮問グループを設置し、その職務権限 を承認し、それぞれの議長を指名する; |
| (n) receive and assess documents and reports submitted by the Union entities under this Regulation, such as cybersecurity maturity assessments; | (n) サイバーセキュリティ成熟度評価など、本規則に基づきEU事業体から提出された文書および報告書を受領し、評価する; |
| (o) facilitate the establishment of an informal group of local cybersecurity officers of Union entities, supported by ENISA, with the aim of exchanging best practices and information in relation to the implementation of this Regulation; | (o) 本規則の実施に関するベストプラクティス及び情報の交換を目的として、ENISAの支援を受け、欧州連合事業体のサイバーセキュリティ担当者の非公式グループの設立を促進する; |
| (p) taking into account the information on the identified cybersecurity risks and lessons learnt provided by CERT-EU, monitor the adequacy of interconnectivity arrangements among the Union entities’ ICT environments and advise on possible improvements; | (p) CERT-EUが提供する特定されたサイバーセキュリティリスクおよび教訓に関する情報を考慮し、EU事業体のICT環境間の相互接続の取り決めの妥当性を監視し、改善の可能性について助言する; |
| (q) establish a cyber crisis management plan with a view to supporting, at an operational level, the coordinated management of major incidents affecting Union entities and to contributing to the regular exchange of relevant information, in particular with regard to the impacts and severity of, and the possible ways of mitigating the effects of, major incidents; | (q) 組合事業体に影響を及ぼす重大インシデントの調整された管理を運用レベルで支援し、特に重大インシデントの影響と重大性、およびその影響を低減する可能な方法に関して、関連情報の定期的な交換に貢献することを目的として、サイバー危機管理計画を策定する; |
| (r) coordinate the adoption of individual Union entities’ cyber crisis management plans referred to in Article 9(2); | (r) 第9条(2)に言及される個々の連合事業体のサイバー危機管理計画の採択を調整する; |
| (s) adopt recommendations relating to supply chain security referred to in Article 8(2), first subparagraph, point (m), taking into account the results of Union level coordinated security risk assessments of critical supply chains referred to in Article 22 of Directive (EU) 2022/2555 to support Union entities in adopting effective and proportionate cybersecurity risk-management measures. | (s) 指令(EU) 2022/2555の第22条で言及されている、重要なサプライチェーンに関する連邦レベルの協調的なセキュリティリスク評価の結果を考慮し、第8条第2項第1号(m)で言及されているサプライチェーンセキュリティに関する勧告を採択し、効果的かつ適切なサイバーセキュリティリスクマネジメント措置を採用する連邦事業体を支援する。 |
| Article 12 | 第12条 |
| Compliance | 遵守事項 |
| 1. The IICB shall, pursuant to Article 10(2) and Article 11, effectively monitor the implementation of this Regulation and of adopted guidelines, recommendations and calls for action by the Union entities. The IICB may request information or documentation necessary for that purpose from the Union entities. For the purpose of adopting compliance measures under this Article, where the Union entity concerned is directly represented on the IICB, that Union entity shall not have voting rights. | 1. IICB は、第 10 条(2)及び第 11 条に従い、本規則、並びに採択されたガイドライン、勧告及び事業体による行動要請の実施を効果的に監視する。IICBは、そのために必要な情報または文書を連合事業体に要求することができる。本条に基づく遵守措置の採択のため、当該事業体がIICBに直接代表者として参加している場合、当該事業体は議決権を有しないものとする。 |
| 2. Where the IICB finds that a Union entity has not effectively implemented this Regulation or guidelines, recommendations or calls for action issued pursuant thereto, it may, without prejudice to the internal procedures of the Union entity concerned, and after giving an opportunity to the Union entity concerned to present its observations: | 2. IICB は,ある組合事業体がこの規則又はこれに従って発せられた指針,勧告若しくは行動要請を効果的に実施していないと認める場合には,当該組合事業体の内部手続を損なうことなく,かつ,当該組合事業体に意見を述べる機会を与えた上で,次のことを行うことができる: |
| (a) communicate a reasoned opinion to the Union entity concerned with observed gaps in the implementation of this Regulation; | (a) 当該事業体に対し、この規則の実施において観察されるギャップについて、根拠ある意見を伝える; |
| (b) provide, after consulting CERT-EU, guidelines to the Union entity concerned to ensure that its Framework, cybersecurity risk-management measures, cybersecurity plan and reporting comply with this Regulation within a specified period; | (b) CERT-EU と協議した後、当該事業体に対し、そのフレームワーク、サイバーセ キュリティリスクマネジメント対策、サイバーセキュリティ計画及び報告が、指定された期 間内に本規則に適合することを確保するためのガイドラインを提供する; |
| (c) issue a warning to address identified shortcomings within a specified period, including recommendations to amend measures adopted by the Union entity concerned pursuant to this Regulation; | (c) 当該事業体が本規則に従って採用した措置を修正するための勧告を含む、特定された欠点に対処するための警告を指定期間内に発する; |
| (d) issue a reasoned notification to the Union entity concerned, in the event that shortcomings identified in a warning issued pursuant to point (c) were not sufficiently addressed within the specified period; | (d) (c)に従って発出された警告において特定された欠点が、指定された期間内に十分に対処されなかった場合、当該EU事業体に対し、理由を付した通知を発出する; |
| (e) issue: | (e) 次のものを発行する: |
| (i) a recommendation for an audit to be carried out; or | (i) 監査の実施を勧告する。 |
| (ii) a request that an audit be performed by a third-party audit service; | (ii) サードパーティによる監査の実施要請を行う; |
| (f) if applicable, inform the Court of Auditors, within the remit of its mandate, of the alleged non-compliance; | (f) 該当する場合、監査役会の権限の範囲内で、申し立てられた不遵守を監査役会に通知する; |
| (g) issue a recommendation that all Member States and Union entities implement a temporary suspension of data flows to the Union entity concerned. | (g) すべての加盟国および事業体に対し、当該事業体へのデータフローの一時停止を実施するよう勧告する。 |
| For the purposes of the first subparagraph, point (c), the audience of a warning shall be restricted appropriately, where necessary in view of the cybersecurity risk. | 第1号(c)の目的のため、サイバーセキュリティのリスクを考慮して必要な場合には、警告の対象者を適切に制限するものとする。 |
| Warnings and recommendations issued pursuant to the first subparagraph shall be directed to the highest level of management of the Union entity concerned. | 第 1 項に従って発せられる警告および勧告は、当該事業体の最高レベルの管理者に向けられるものとする。 |
| 3. Where the IICB has adopted measures under paragraph 2, first subparagraph, points (a) to (g), the Union entity concerned shall provide details of the measures and actions taken to address the alleged shortcomings identified by the IICB. The Union entity shall submit those details within a reasonable period to be agreed with the IICB. | 3. IICB が第 2 項第 1 号の(a)から(g)に基づく措置を採択した場合、当該事業体は、IICB が指摘した 欠陥に対処するために講じた措置及び措置の詳細を提供しなければならない。当該EU事業体は,IICBと合意する合理的な期間内にその詳細を提出しなければならない。 |
| 4. Where the IICB considers that there is persistent infringement of this Regulation by a Union entity resulting directly from actions or omissions of an official or other servant of the Union, including at the highest level of management, the IICB shall request that the Union entity concerned take appropriate action, including requesting it to consider taking action of a disciplinary nature, in accordance with the rules and procedures laid down in the Staff Regulations and any other applicable rules and procedures. To that end, the IICB shall transfer the necessary information to the Union entity concerned. | 4. IICB は,最高レベルの管理職を含む組合の職員その他の使用人の作為又は不作為に直接起因する, 組合事業体による本規則の継続的な違反があると考える場合,当該組合事業体に対し,職員規則 及びその他適用される規則及び手続に定める規則及び手続に従い,懲戒的な措置をとることを検討す るよう要請することを含め,適切な措置をとるよう要請する。そのために、IICB は、必要な情報を当該組合事業体に伝達するものとする。 |
| 5. Where Union entities notify that they are unable to meet the deadlines set out in Article 6(1) and Article 8(1), the IICB may, in duly substantiated cases, taking into account the size of the Union entity, authorise the extension of those deadlines. | 5. 組合事業体が第6条(1)及び第8条(1)に定める期限を遵守することができない旨を通知した場合,IICBは,組合事業体の規模を考慮し,正当に立証された場合には,これらの期限の延長を認めることができる。 |
| CHAPTER IV | 第4章 |
| CERT-EU | CERT-EU |
| Article 13 | 第13条 |
| CERT-EU mission and tasks | CERT-EU の使命および任務 |
| 1. CERT-EU’s mission shall be to contribute to the security of the unclassified ICT environment of Union entities by advising them on cybersecurity, by helping them to prevent, detect, handle, mitigate, respond to and recover from incidents and by acting as their cybersecurity information exchange and incident response coordination hub. | 1. CERT-EU の使命は、サイバーセキュリティに関する助言、インシデントの予防、検知、対処、 軽減、対応、回復の支援、およびサイバーセキュリティ情報交換とインシデント対応の調整ハブとしての 機能を通じて、EU 事業体の非機密 ICT 環境のセキュリティに貢献することである。 |
| 2. CERT-EU shall collect, manage, analyse and share information with the Union entities on cyber threats, vulnerabilities and incidents in unclassified ICT infrastructure. It shall coordinate responses to incidents at interinstitutional and Union entity level, including by providing or coordinating the provision of specialised operational assistance. | 2. CERT-EU は、未分類の ICT インフラにおけるサイバー脅威、脆弱性、インシデントに関する情 報を収集、管理、分析し、連合事業体と共有する。CERT-EU は、専門的な業務支援をプロバイダとして提供または調整することを含め、インシデ ントへの対応を機関間および連合事業体レベルで調整するものとする。 |
| 3. CERT-EU shall carry out the following tasks to assist the Union entities: | 3. CERT-EU は、連合事業体を支援するために、以下の業務を実施するものとする: |
| (a) support them with the implementation of this Regulation and contribute to the coordination of the implementation of this Regulation through the measures listed in Article 14(1) or through ad-hoc reports requested by the IICB; | (a) 第 14 条(1)に記載された措置または IICB が要請するアドホックな報告を通じて、本規則の実施 を支援し、本規則の実施の調整に貢献する; |
| (b) offer standard CSIRT services for Union entities by means of a package of cybersecurity services described in its service catalogue (baseline services); | (b) サービスカタログに記載されたサイバーセキュリティサービスパッケージ(ベースラインサービス)により,連合事業体に対して標準的な CSIRT サービスを提供する; |
| (c) maintain a network of peers and partners to support the services as outlined in Articles 17 and 18; | (c) 第 17 条及び第 18 条に概説されるサービスを支援するために、同業者及びパートナー のネットワークを維持すること; |
| (d) bring to the attention of the IICB any problems relating to the implementation of this Regulation and the implementation of guidelines, recommendations and calls for action; | (d) 本規則の実施、ガイドライン、勧告、行動要請の実施に関する問題があれば、IICB の注意を喚起すること; |
| (e) on the basis of the information referred to in paragraph 2, contribute to the Union cyber situational awareness in close cooperation with ENISA; | (e) 第2項で言及された情報に基づいて、ENISAと緊密に協力して、欧州連合のサイバー状況認識に貢献する; |
| (f) coordinate the management of major incidents; | (f) 重大インシデントの管理を調整する; |
| (g) act on the part of Union entities as the equivalent of the coordinator designated for the purposes of coordinated vulnerability disclosure pursuant to Article 12(1) of Directive (EU) 2022/2555; | (g) 指令(EU)2022/2555の第12条(1)に従い、脆弱性開示のために指定されたコーディネータに相当するものとして、EU事業体の側で行動すること; |
| (h) provide, upon the request of a Union entity, proactive non-intrusive scanning of publicly accessible network and information systems of that Union entity. | (h) 組合事業体の要請に応じて、当該組合事業体の一般にアクセス可能なネットワークと情報システムのプロアクティブな非侵入型スキャンをプロバイダとして提供する。 |
| The information referred to in the first subparagraph, point (e), shall be shared with the IICB, the CSIRTs network and the European Union Intelligence and Situation Centre (EU INTCEN), where applicable and appropriate, and subject to appropriate confidentiality conditions. | 最初のサブパラグラフ(e)で言及される情報は、適切な場合、適切な機密保持条件に従い、IICB、CSIRTs ネットワーク及び欧州連合情報状況センター(EU INTCEN)と共有されるものとする。 |
| 4. CERT-EU may, in accordance with Article 17 or 18 as appropriate, cooperate with relevant cybersecurity communities within the Union and its Member States, including in the following areas: | 4. CERT-EU は、必要に応じて第 17 条または第 18 条に従い、以下の分野を含め、欧州連合および加盟 国内の関連するサイバーセキュリティコミュニティと協力することができる: |
| (a) preparedness, incident coordination, information exchange and crisis response at the technical level on cases linked to Union entities; | (a) 同盟事業体に関連する事案に関する技術レベルでの準備、インシデント調整、情報交換、危機 対応; |
| (b) operational cooperation regarding the CSIRTs network, including with regard to mutual assistance; | (b) 相互支援を含む、CSIRTs ネットワークに関する業務協力 |
| (c) cyber threat intelligence, including situational awareness; | (c) 状況認識を含むサイバー脅威情報 |
| (d) on any topic requiring CERT-EU’s technical cybersecurity expertise. | (d) CERT-EU のサイバーセキュリティに関する技術的な専門知識を必要とするトピックに関す ること。 |
| 5. Within its competence, CERT-EU shall engage in structured cooperation with ENISA on capacity building, operational cooperation and long-term strategic analyses of cyber threats in accordance with Regulation (EU) 2019/881. CERT-EU may cooperate and exchange information with Europol’s European Cybercrime Centre. | 5. CERT-EU は、その権限の範囲内で、規則(EU)2019/881 に従い、能力構築、業務協力、 およびサイバー脅威の長期的戦略分析に関して、ENISA と構造的協力を行うものとする。CERT-EU は、欧州刑事警察機構の欧州サイバー犯罪センターと協力し、情報交換することができる。 |
| 6. CERT-EU may provide the following services not described in its service catalogue (chargeable services): | 6. CERT-EU は、サービスカタログに記載されていない以下のサービス(有料サービス)を提供することができる: |
| (a) services that support the cybersecurity of Union entities’ ICT environment, other than those referred to in paragraph 3, on the basis of service level agreements and subject to available resources, in particular broad-spectrum network monitoring, including first-line 24/7 monitoring for high-severity cyber threats; | (a)サービスレベル合意に基づき、利用可能なリソースに基づき、第 3 項で言及されるもの以外の、EU 事業体の ICT 環境のサイバーセキュリティを支援するサービス、特に深刻度の高いサイバー脅威に対する 24 時間 365 日の第一線監視を含む広範なネットワーク監視; |
| (b) services that support cybersecurity operations or projects of Union entities, other than those to protect their ICT environment, on the basis of written agreements and with the prior approval of the IICB; | (b) IICB の事前の承認を得た上で,書面による合意に基づき,EU 事業体の ICT 環境保護以外のサイバーセキュリティ業務又はプロジェクトを支援するサービス; |
| (c) upon request, a proactive scanning of the network and information systems of the Union entity concerned to detect vulnerabilities with a potential significant impact; | (c) 要請に応じて,重大な影響を及ぼす可能性のある脆弱性を検知するために,当該連合事業体のネットワークと情報システムを事前にスキャンするサービス; |
| (d) services that support the security of their ICT environment to organisations other than the Union entities that cooperate closely with Union entities, for instance by having tasks or responsibilities conferred under Union law, on the basis of written agreements and with the prior approval of the IICB. | (d) 組合事業体と密接に協力する組合事業体以外の組織に対し,例えば,組合法に基づいて付与された任務又は責任を有することにより,ICT環境のセキュリティを支援するサービスを,書面による合意に基づき,かつ,IICBの事前の承認を得た上で提供すること。 |
| With regard to the first subparagraph, point (d), CERT-EU may, on an exceptional basis, enter into service level agreements with entities other than the Union entities with the prior approval of the IICB. | 第 1 号の(d)項に関して、CERT-EU は、例外的に、IICB の事前承認を得て、連合事業体以 外の事業体とサービスレベル契約を締結することができる。 |
| 7. CERT-EU shall organise and may participate in cybersecurity exercises or recommend participation in existing exercises, where applicable in close cooperation with ENISA, to test the level of cybersecurity of the Union entities. | 7. CERT-EU は、連合事業体のサイバーセキュリティレベルをテストするために、ENISA との緊密な協力の下、サイバーセキュリティ演習を実施し、場合によっては既存の演習に参加し、または参加を推奨することができる。 |
| 8. CERT-EU may provide assistance to Union entities regarding incidents in network and information systems handling EUCI where it is explicitly requested to do so by the Union entities concerned in accordance with their respective procedures. The provision of assistance by CERT-EU under this paragraph shall be without prejudice to applicable rules concerning the protection of classified information. | 8. CERT-EU は、EUCI をハンドリングするネットワークと情報システムにおけるインシデントに関し、関係す る連合事業体からそれぞれの手続きに従って明示的に要請された場合、連合事業体に支援を提供すること ができる。本項に基づく CERT-EU による支援の提供は、機密情報の保護に関する適用規則を損なうものでは ない。 |
| 9. CERT-EU shall inform Union entities about its incident handling procedures and processes. | 9. CERT-EU は、そのインシデントハンドリングの手順およびプロセスについて、連合事業体に報 告するものとする。 |
| 10. CERT-EU shall contribute, with a high level of confidentiality and reliability, via the appropriate cooperation mechanisms and reporting lines, relevant and anonymised information about major incidents and the manner in which they were handled. That information shall be included in the report referred to in Article 10(14). | 10. CERT-EU は、適切な協力メカニズムおよび報告ラインを通じて、重要インシデントおよびインシデントハンド リング方法に関する関連かつ匿名化された情報を、高い機密性と信頼性をもって提供するものとする。当該情報は、第 10 条(14)で言及される報告書に含まれるものとする。 |
| 11. CERT-EU shall, in cooperation with the EDPS, support the Union entities concerned when addressing incidents resulting in personal data breaches, without prejudice to the competence and tasks of the EDPS as a supervisory authority under Regulation (EU) 2018/1725. | 11. CERT-EU は、EDPS と協力して、規則(EU)2018/1725 に基づく監督当局としての EDPS の権限と任務を損なうことなく、個人データ漏えいをもたらすインシデントに対処する際、関係する連合事業体を支援するものとする。 |
| 12. CERT-EU may, if expressly requested by Union entities’ policy departments, provide technical advice or input on relevant policy matters. | 12. CERT-EU は、事業体の政策部門から明示的に要請された場合、関連する政策事項について技術 的助言またはインプットを提供することができる。 |
| Article 14 | 第14条 |
| Guidelines, recommendations and calls for action | ガイドライン、勧告および行動要請 |
| 1. CERT-EU shall support the implementation of this Regulation by issuing: | 1. CERT-EU は、以下を発行することにより、本規則の実施を支援するものとする: |
| (a) calls for action describing urgent security measures that Union entities are urged to take within a set timeframe; | (a)EU事業体が一定の期間内に実施することが望まれる緊急のセキュリティ対策を記述した行動要請を発行することにより、本規則の実施を支援する; |
| (b) proposals to the IICB for guidelines addressed to all or a subset of the Union entities; | (b) IICB に対する、連合事業体のすべてまたはサブセットに向けたガイドラインの提案; |
| (c) proposals to the IICB for recommendations addressed to individual Union entities. | (c) IICBに対し、個々のEU事業体に対する勧告を提案すること。 |
| With regard to the first subparagraph, point (a), the Union entity concerned shall, without undue delay after receiving the call for action, inform CERT-EU of how the urgent security measures were applied. | 第 1 号の(a)項に関して、関係する事業体は、行動の要請を受けた後、過度な遅滞なく、 緊急セキュリティ対策がどのように適用されたかを CERT-EU に通知するものとする。 |
| 2. Guidelines and recommendations may include: | 2. ガイドラインおよび勧告には、以下を含むことができる: |
| (a) common methodologies and a model for assessing the cybersecurity maturity of the Union entities, including the corresponding scales or KPIs, serving as reference in support of continuous cybersecurity improvement across the Union entities and facilitating the prioritisation of cybersecurity domains and measures taking into account entities’ cybersecurity posture; | (a) 連合事業体のサイバーセキュリティ成熟度を評価するための共通の方法論とモデル(対応する尺度やKPIを含む)は、連合事業体全体の継続的なサイバーセキュリティ改善を支援するための参考となり、事業体のサイバーセキュリティ態勢を考慮したサイバーセキュリティ領域と対策の優先順位付けを容易にする; |
| (b) arrangements for or improvements to cybersecurity risk management and the cybersecurity risk-management measures; | (b) サイバーセキュリティリスクマネジメント及びサイバーセキュリティリスクマネジメント対策のための取決め又は改善; |
| (c) arrangements for cybersecurity maturity assessments and cybersecurity plans; | (c) サイバーセキュリティ成熟度評価及びサイバーセキュリティ計画に関する取決め; |
| (d) where appropriate, the use of common technology, architecture, open source and associated best practices with the aim of achieving interoperability and common standards, including a coordinated approach to supply chain security; | (d) 適切な場合には、サプライチェーンセキュリティへの協調的アプローチを含む、相互運用性及び共通標準を達成することを目的とした、共通技術、アーキテクチャ、オープンソース及び関連するベストプラクティスの使用; |
| (e) where appropriate, information to facilitate the use of common procurement instruments for the purchasing of relevant cybersecurity services and products from third-party suppliers; | (e) 適切な場合には、関連するサイバーセキュリティサービス及び製品をサードパーティから購入するための共通の調達手段の利用を促進するための情報; |
| (f) information-sharing arrangements pursuant to Article 20. | (f) 第 20 条に基づく情報共有の取決め。 |
| Article 15 | 第15条 |
| Head of CERT-EU | CERT-EU の責任者 |
| 1. The Commission, after obtaining the approval of a majority of two thirds of the members of the IICB, shall appoint the Head of CERT-EU. The IICB shall be consulted at all stages of the appointment procedure, in particular with regard to drafting vacancy notices, examining applications and appointing selection boards in relation to the post. The selection procedure, including the final shortlist of candidates from which the Head of CERT-EU is to be appointed, shall ensure fair representation of each gender, taking into account the applications submitted. | 1. 欧州委員会は、IICB 委員の 3 分の 2 以上の賛成を得た後、CERT-EU の責任者を任命する。IICB は、特に空席通知のドラフト作成、申請書の審査、およびポストに関する選考委員会の任 命に関して、任命手続きのすべての段階で協議を受けるものとする。CERT-EU の責任者が任命される候補者の最終候補者リストを含む選考手順は、提出された申請 書を考慮し、各性別の公平な代表を確保するものとする。 |
| 2. The Head of CERT-EU shall be responsible for the proper functioning of CERT-EU and shall act within the remit of his or her role and under the direction of the IICB. The Head of CERT-EU shall report regularly to the Chair of the IICB and shall submit ad-hoc reports to the IICB upon its request. | 2. CERT-EU の責任者は、CERT-EU の適切な機能に責任を負うものとし、その役割の範囲内 で、IICB の指示のもとで行動するものとする。CERT-EU の責任者は、IICB 議長に定期的に報告するものとし、IICB の要請に応じて臨時報告書を IICB に提出するものとする。 |
| 3. The Head of CERT-EU shall assist the responsible authorising officer by delegation in drafting the annual activity report containing financial and management information, including the results of controls, drawn up in accordance with Article 74(9) of Regulation (EU, Euratom) 2018/1046 of the European Parliament and of the Council (9), and shall report regularly to the authorising officer by delegation on the implementation of measures in respect of which powers have been sub-delegated to the Head of CERT-EU. | 3. CERT-EU の責任者は、欧州議会および理事会規則(EU, Euratom)2018/1046(9)の第 74 条(9)に従って作成された、管理結果を含む財務および管理情報を含む年次活動報告書のドラフ トにおいて、委任による責任ある認可担当官を支援するものとし、CERT-EU の責任者に権限が再委任され た措置の実施について、委任による認可担当官に定期的に報告するものとする。 |
| 4. The Head of CERT-EU shall draw up, on an annual basis, a financial planning of administrative revenue and expenditure for its activities, a proposed annual work programme, a proposed service catalogue for CERT-EU, proposed revisions of the service catalogue, proposed arrangements for service level agreements and proposed KPIs for CERT-EU, to be approved by the IICB in accordance with Article 11. When revising the list of services in CERT-EU’s service catalogue, the Head of CERT-EU shall take into account the resources allocated to CERT-EU. | 4. CERT-EU の責任者は、第 11 条に従って IICB の承認を得るために、年次ベースで、その活動 のための管理収支の財務計画、年次作業計画案、CERT-EU のためのサービスカタログ案、サービス カタログの改定案、サービスレベル協定の取り決め案、および CERT-EU のための KPI 案 を作成するものとする。CERT-EU のサービスカタログのサービス一覧を改定する場合、CERT-EU の責任者は、CERT-EU に割り当てられた資源を考慮するものとする。 |
| 5. The Head of CERT-EU shall submit reports at least annually to the IICB and the Chair of the IICB on the activities and performance of CERT-EU during the reference period, including on the implementation of the budget, service level agreements and written agreements entered into, cooperation with counterparts and partners, and missions undertaken by staff, including the reports referred to in Article 11. Those reports shall include a work programme for the following period, financial planning of revenue and expenditure, including staffing, planned updates of CERT-EU’s service catalogue and an assessment of the expected impact that such updates may have with regard to financial and human resources. | 5. CERT-EU の責任者は、第 11 条で言及される報告書を含め、予算の実施、サービスレベル合意お よび締結された書面による合意、カウンターパートおよびパートナーとの協力、ならびに職員が引き 受けた任務を含め、基準期間中の CERT-EU の活動および実績について、少なくとも年 1 回、 IICB および IICB 議長に報告書を提出するものとする。これらの報告書には、次期の作業計画、人員配置を含む収支の財務計画、CERT-EU のサービ スカタログの計画された更新、およびかかる更新が財政的・人的資源に関して及ぼすと予想される影 響の評価が含まれるものとする。 |
| Article 16 | 第16条 |
| Financial and staffing matters | 財務および人員に関する事項 |
| 1. CERT-EU shall be integrated into the administrative structure of a directorate-general of the Commission in order to benefit from the Commission’s administrative, financial management and accounting support structures, while maintaining its status as an autonomous interinstitutional service provider for all Union entities. The Commission shall inform the IICB of the administrative location of CERT-EU and any changes thereto. The Commission shall review the administrative arrangements related to CERT-EU on a regular basis and in any event before the establishment of any multiannual financial framework pursuant to Article 312 TFEU, in order to allow for appropriate action to be taken. The review shall include the possibility of establishing CERT-EU as a Union office. | 1. CERT-EU は、すべての欧州連合事業体に対する自律的な機関間サービス・プロバイダとしての地位を 維持しつつ、欧州委員会の行政、財務管理および会計支援機構から恩恵を受けるために、欧州委員会 の総局の行政機構に統合されるものとする。欧州委員会は、CERT-EU の管理上の所在地およびその変更について IICB に通知するものとする。欧州委員会は、適切な措置が講じられるよう、定期的に、またいかなる場合にも、TFEU 第 312 条に基づく多年度財政枠組みが策定される前に、CERT-EU に関する管理上の取り決めを見直すものとする。この見直しには、CERT-EU を連合事務所として設置する可能性も含まれるものとする。 |
| 2. For the application of administrative and financial procedures, the Head of CERT-EU shall act under the authority of the Commission and under the supervision of the IICB. | 2. 行政手続きおよび財務手続きの適用に関して、CERT-EU の責任者は、欧州委員会の認可のもと、 IICB の監督のもとで行動するものとする。 |
| 3. CERT-EU’s tasks and activities, including services provided by CERT-EU pursuant to Article 13(3), (4), (5) and (7) and Article 14(1) to Union entities financed from the heading of the multiannual financial framework dedicated to European public administration, shall be funded by means of a distinct budget line of the Commission budget. The posts earmarked for CERT-EU shall be detailed in a footnote to the Commission establishment plan. | 3. CERT-EU の任務および活動は、欧州行政に特化した多年間財政枠組の予算で賄われ る公共事業体に対して、第 13 条(3)、(4)、(5)および(7)ならびに第 14 条(1)に基づき CERT-EU が提供するサービスを含め、欧州委員会予算の別個の予算枠によって賄われるものとする。CERT-EU に割り当てられたポストは、欧州委員会の設置計画の脚注に詳述されるものとする。 |
| 4. Union entities other than those referred to in paragraph 3 of this Article shall make an annual financial contribution to CERT-EU to cover the services provided by CERT-EU pursuant to that paragraph. The contributions shall be based on orientations given by the IICB and agreed between each Union entity and CERT-EU in service level agreements. The contributions shall represent a fair and proportionate share of the total costs of services provided. They shall be received by the distinct budget line referred to in paragraph 3 of this Article, as internal assigned revenue, as provided for in Article 21(3), point (c), of Regulation (EU, Euratom) 2018/1046. | 4. 本条第 3 項以外の事業体は、同項に従って CERT-EU が提供するサービスを賄うために、CERT-EU に年次財政拠出を行うものとする。拠出金は、IICB によって与えられ、サービスレベル合意において各連合事業体と CERT-EU との間で合意された方向性に基づくものとする。拠出金は、提供されるサービスの総費用の公正かつ比例的な代表者でなければならない。拠出金は、規則(EU、Euratom)2018/1046 の第 21 条(3)項(c)に規定される内部割当歳入として、本条第 3 項で言及される別個の予算枠によって受領されるものとする。 |
| 5. The costs of the services provided for in Article 13(6) shall be recovered from the Union entities receiving CERT-EU services. The revenues shall be assigned to the budget lines supporting the costs. | 5. 第 13 条(6)に規定されるサービスの費用は、CERT-EU サービスの提供を受ける事業体から回収されるも のとする。収益は、費用を支える予算枠に割り当てられるものとする。 |
| Article 17 | 第17条 |
| Cooperation of CERT-EU with Member State counterparts | CERT-EU の加盟国カウンターパートとの協力 |
| 1. CERT-EU shall, without undue delay, cooperate and exchange information with Member State counterparts, in particular the CSIRTs designated or established pursuant to Article 10 of Directive (EU) 2022/2555, or, where applicable, the competent authorities and single points of contact designated or established pursuant to Article 8 of that Directive, with regard to incidents, cyber threats, vulnerabilities, near misses, possible countermeasures as well as best practices and on all matters relevant for improving the protection of the ICT environments of Union entities, including by means of the CSIRTs network established pursuant to Article 15 of Directive (EU) 2022/2555. CERT-EU shall support the Commission in EU-CyCLONe established pursuant to Article 16 of Directive (EU) 2022/2555 on the coordinated management of large-scale cybersecurity incidents and crises. | 1. CERT-EU は、加盟国のカウンターパート、特に指令(EU)2022/2555 の第 10 条に基づき指定または設立された CSIRT、または該当する場合、同指令の第 8 条に基づき指定または設立された管轄当局および単一窓口と、過度な遅滞なく協力し、情報交換を行うものとする、 指令(EU)2022/2555 の第 15 条に従って設立された CSIRTs ネットワークを含め、インシデント、サイバー脅威、脆弱性、ニアミス、可能な対策、ベストプラクティス、および連合事業体の ICT 環境の保護改善に関連するすべての事項に関して。CERT-EU は、大規模サイバーセキュリティインシデントおよび危機の協調管理に関する指令 (EU)2022/2555 の第 16 条に従って設立された EU-CyCLONe において、欧州委員会を支援する。 |
| 2. Where CERT-EU becomes aware of a significant incident occurring within the territory of a Member State, it shall, without delay, notify any relevant counterpart in that Member State, in accordance with paragraph 1. | 2. CERT-EU が加盟国の領域内で発生した重大なインシデントに気付いた場合、CERT-EU は、第 1 項に従って、遅滞なく、当該加盟国の関連する対応機関に通知するものとする。 |
| 3. Provided that personal data are protected in accordance with applicable Union data protection law, CERT-EU shall, without undue delay, exchange relevant incident-specific information with Member State counterparts to facilitate detection of similar cyber threats or incidents, or to contribute to the analysis of an incident, without the authorisation of the Union entity affected. CERT-EU shall exchange incident-specific information which reveals the identity of the target of the incident only in the event of one of the following: | 3. 個人データが適用法である連邦データ保護法に従って保護されることを条件として、CERT-EU は、影響を受ける事業体の許可なく、類似のサイバー脅威またはインシデントの検知を促進するため、またはインシデントの分析に貢献するために、加盟国のカウンターパートと関連するインシデント固有情報を、過度な遅延なく交換するものとする。CERT-EU は、以下のいずれかの場合に限り、インシデントの標的の身元を明らかにするインシデ ント固有情報を交換するものとする: |
| (a) the Union entity affected consents; | (a) 影響を受ける EU 事業体が同意する; |
| (b) the Union entity affected does not consent as provided for in point (a) but the disclosure of the identity of the Union entity affected would increase the probability that incidents elsewhere would be avoided or mitigated; | (b) (a)に規定されるように、影響を受ける EU 事業体が同意しないが、影響を受ける EU 事業体の身元を開示することで、他の場所でのインシデントが回避または低減される可能性が高まる; |
| (c) the Union entity affected has already made public that it was affected. | (c) 影響を受けた組合事業体が,影響を受けたことを既に公表している。 |
| Decisions to exchange incident-specific information which reveals the identity of the target of the incident pursuant to the first subparagraph, point (b), shall be endorsed by the Head of CERT-EU. Prior to issuing such a decision, CERT-EU shall contact the Union entity affected in writing, explaining clearly how the disclosure of its identity would help to avoid or mitigate incidents elsewhere. The Head of CERT-EU shall provide the explanation and explicitly request the Union entity to state whether it consents within a set timeframe. The Head of CERT-EU shall also inform the Union entity that, in light of the explanation provided, he or she reserves the right to disclose the information even in the absence of consent. The Union entity affected shall be informed before the information is disclosed. | 第 1 号の(b)に従い、インシデントの標的の身元を明らかにするインシデント固有の情報を交換する 決定は、CERT-EU の責任者によって承認されるものとする。このような決定を下す前に、CERT-EU は、その身元を開示することが、他の場所でのインシデントの回避 または低減にどのように役立つかを明確に説明し、影響を受ける連合事業体に書面で連絡するものとする。CERT-EU の責任者は、説明を提供し、設定された期限内に同意するか否かを表明するよう、 当該連合事業体に明示的に要請するものとする。CERT-EU の責任者はまた、提供された説明に照らして、同意がない場合であっても情報を開示する 権利を留保することを、当該事業体に通知するものとする。影響を受ける事業体は、情報が開示される前に通知されるものとする。 |
| Article 18 | 第18条 |
| Cooperation of CERT-EU with other counterparts | CERT-EU と他のカウンターパートとの協力 |
| 1. CERT-EU may cooperate with counterparts in the Union other than those referred to in Article 17 which are subject to Union cybersecurity requirements, including industry sector-specific counterparts, on tools and methods, such as techniques, tactics, procedures and best practices, and on cyber threats and vulnerabilities. For all cooperation with such counterparts, CERT-EU shall seek prior approval from the IICB on a case-by-case basis. Where CERT-EU establishes cooperation with such counterparts, it shall inform any relevant Member State counterparts referred to in Article 17(1), in the Member State in which the counterpart is located. Where applicable and appropriate, such cooperation and the conditions thereof, including regarding cybersecurity, data protection and information handling, shall be established in specific confidentiality arrangements such as contracts or administrative arrangements. The confidentiality arrangements shall not require prior approval by the IICB, but the Chair of the IICB shall be informed. In the case of an urgent and imminent need to exchange cybersecurity information in the interests of Union entities or another party, CERT-EU may do so with an entity whose specific competence, capacity and expertise are justifiably required to assist with such an urgent and imminent need, even if CERT-EU does not have a confidentiality arrangement in place with that entity. In such cases, CERT-EU shall immediately inform the Chair of the IICB, and shall report to the IICB by means of regular reports or meetings. | 1. CERT-EU は、技術、戦術、手順、ベストプラクティスなどのツールおよび方法、ならびにサイバー 脅威および脆弱性に関して、産業分野別のカウンターパートを含む、第 17 条に言及されたカウンターパート 以外の、連合サイバーセキュリティ要件の対象となる連合内のカウンターパートと協力することができる。このようなカウンターパートとのすべての協力について、CERT-EU は、ケースバイケースで IICB の事前承認を求めるものとする。CERT-EU がかかるカウンターパートとの協力を確立する場合、CERT-EU は、カウンターパート が所在する加盟国において、第 17 条(1)に言及される関連加盟国カウンターパートに通知するものとす る。サイバーセキュリティ、データ保護及び情報の取扱いに関するものを含む、かかる協力及びその条件は、適用可能かつ適切な場合には、契約又は管理上の取決め等の特定の秘密保持の取決めにおいて定められるものとする。秘密保持に関する取決めは,IICBによる事前の承認を必要としないが,IICB議長に報告されるものとする。連合事業体または別の当事者の利益のために、サイバーセキュリティ情報を交換する緊急かつ差し迫っ た必要性がある場合、CERT-EU は、そのような緊急かつ差し迫った必要性を支援するために、特定の能力、能 力、および専門知識が正当に必要とされる事業体との間で、たとえ CERT-EU がその事業体と機密保持取 り決めを行っていなくても、そのような交換を行うことができる。このような場合、CERT-EU は、直ちに IICB 議長に通知し、定期報告または会議によって IICB に報告するものとする。 |
| 2. CERT-EU may cooperate with partners, such as commercial entities, including industry sector-specific entities, international organisations, non-Union national entities or individual experts, to gather information on general and specific cyber threats, near misses, vulnerabilities and possible countermeasures. For wider cooperation with such partners, CERT-EU shall seek prior approval from the IICB on a case-by-case basis. | 2. CERT-EU は、一般的および特定のサイバー脅威、ニアミス、脆弱性および可能な対策に関す る情報を収集するために、産業分野別事業体を含む営利事業体、国際機関、非同盟国内事業体または個 人専門家などのパートナーと協力することができる。このようなパートナーとのより広範な協力については、CERT-EU は、ケースバイケースで IICB の事前承認を求めるものとする。 |
| 3. CERT-EU may, with the consent of the Union entity affected by an incident and provided that a non-disclosure arrangement or contract is in place with the relevant counterpart or partner, provide information related to the specific incident to counterparts or partners referred to in paragraphs 1 and 2 solely for the purpose of contributing to its analysis. | 3. CERT-EU は、インシデントの影響を受ける連合事業体の同意があり、関連するカウンターパートまたはパート ナーとの間で非開示取り決めまたは契約が締結されていることを条件として、その分析に貢献する目的 のためだけに、特定のインシデントに関連する情報を、第 1 項および第 2 項で言及されるカウンターパートまたはパート ナーに提供することができる。 |
| CHAPTER V | 第5章 |
| COOPERATION AND REPORTING OBLIGATIONS | 協力及び報告の義務 |
| Article 19 | 第19条 |
| Information handling | 情報の取扱い |
| 1. Union entities and CERT-EU shall respect the obligation of professional secrecy in accordance with Article 339 TFEU or equivalent applicable frameworks. | 1. 欧州連合事業体および CERT-EU は、TFEU 第 339 条または同等の適用可能な枠組みに従い、業務上 の秘密保持義務を尊重するものとする。 |
| 2. Regulation (EC) No 1049/2001 of the European Parliament and of the Council (10) shall apply with regard to requests for public access to documents held by CERT-EU, including the obligation under that Regulation to consult other Union entities or, where relevant, Member States, whenever a request concerns their documents. | 2. 欧州議会および理事会規則(EC)第 1049/2001 号(10)は、CERT-EU が保有する文書への公 開要求に関して適用されるものとし、その要求がその文書に関係する場合は常に、他の連合事業体ま たは関連する場合には加盟国に相談する当該規則に基づく義務を含む。 |
| 3. The handling of information by Union entities and CERT-EU shall comply with the applicable rules on information security. | 3. EU 事業体および CERT-EU による情報の取り扱いは、情報セキュリティに関する適用規則を順守 するものとする。 |
| Article 20 | 第20条 |
| Cybersecurity information-sharing arrangements | サイバーセキュリティ情報共有の取り決め |
| 1. Union entities may, on a voluntary basis, notify CERT-EU of, and provide it with information on, incidents, cyber threats, near misses and vulnerabilities that affect them. CERT-EU shall ensure that efficient means of communication, with a high level of traceability, confidentiality and reliability, are available for the purpose of facilitating information sharing with the Union entities. When processing notifications, CERT-EU may prioritise the processing of mandatory notifications over voluntary notifications. Without prejudice to Article 12, voluntary notification shall not result in the imposition of any additional obligations upon the reporting Union entity to which it would not have been subject had it not submitted the notification. | 1. 事業体は、自発的に、CERT-EU に影響を及ぼすインシデント、サイバー脅威、ニアミス、脆弱性 に関する情報を通知し、CERT-EU に提供することができる。CERT-EU は、連合事業体との情報共有を促進するために、高水準のトレーサビリティ、機密性、 および信頼性を有する効率的なコミュニケーション手段が利用可能であることを確保するものとする。届出を処理する際、CERT-EU は、任意届出よりも義務的届出の処理を優先することができる。第 12 条を損なうことなく、自発的な届出は、報告する連合事業体に対して、届出を提出しな かった場合には課されなかったであろう追加義務を課す結果にはならないものとする。 |
| 2. To perform its mission and tasks conferred pursuant to Article 13, CERT-EU may request Union entities to provide it with information from their respective ICT system inventories, including information relating to cyber threats, near misses, vulnerabilities, indicators of compromise, cybersecurity alerts and recommendations regarding configuration of cybersecurity tools to detect incidents. The requested Union entity shall transmit the requested information, and any subsequent updates thereto, without undue delay. | 2. CERT-EU は、第 13 条に従って付与された使命および任務を遂行するために、サイバー脅威、 ニアミス、脆弱性、侵害の指標、サイバーセキュリティ警告、およびインシデントを検知するためのサイ バーセキュリティツールの設定に関する勧告に関する情報を含む、それぞれの ICT システムインベントリか らの情報を提供するよう、連合事業体に要請することができる。要求された事業体は,要求された情報及びその後の更新情報を,過度の遅滞なく送信しなければならない。 |
| 3. CERT-EU may exchange incident-specific information with Union entities which reveals the identity of the Union entity affected by the incident, provided that the Union entity affected consents. Where a Union entity withholds its consent, it shall provide CERT-EU with reasons substantiating that decision. | 3. CERT-EU は、インシデントの影響を受ける事業体の同意がある場合に限り、インシデントの影響を受 ける事業体の身元を明らかにするインシデント固有の情報を、当該事業体と交換することができる。連邦事業体が同意を留保する場合、その決定を実証する理由を CERT-EU に提供するものとする。 |
| 4. Union entities shall, upon request, share information with the European Parliament and the Council on the completion of cybersecurity plans. | 4. 事業体は、要請に応じて、サイバーセキュリティ計画の完了に関する情報を欧州議会および理事会 と共有するものとする。 |
| 5. The IICB or CERT-EU, as applicable, shall, upon request, share guidelines, recommendations and calls for action with the European Parliament and the Council. | 5. IICB または CERT-EU は、要請に応じて、欧州議会および理事会とガイドライン、勧告、 および行動の呼びかけを共有するものとする。 |
| 6. The sharing obligations laid down in this Article shall not extend to: | 6. 本条に定める共有義務は、以下のものには及ばないものとする: |
| (a) EUCI; | (a) EUCI; |
| (b) information the further distribution of which has been excluded by means of a visible marking, unless the sharing thereof with CERT-EU has been explicitly allowed. | (b) CERT-EU との共有が明示的に許可されている場合を除き、可視的なマーキングによってそれ以 上の配布が排除されている情報。 |
| Article 21 | 第21条 |
| Reporting obligations | 報告義務 |
| 1. An incident shall be considered to be significant if: | 1. インシデントは、以下の場合に重要であるとみなされる: |
| (a) it has caused or is capable of causing severe operational disruption to the functioning of, or financial loss to, the Union entity concerned; | (a) 当該事業体の機能に深刻な業務上の混乱を引き起こしたか、または引き起こす可能性がある; |
| (b) it has affected or is capable of affecting other natural or legal persons by causing considerable material or non-material damage. | (b) 物質的または非物質的な多大な損害を引き起こし、他の自然人または法人に影響を与えたか、または与える可能性がある場合。 |
| 2. Union entities shall submit to CERT-EU: | 2. 事業体は、CERT-EU に提出するものとする: |
| (a) without undue delay and in any event within 24 hours of becoming aware of the significant incident, an early warning, which, where applicable, shall indicate that the significant incident is suspected of being caused by unlawful or malicious acts or could have a cross-entity or a cross-border impact; | (a) 重要インシデントを認識してから、過度の遅延なく、いかなる場合においても 24 時間以内に、早期 警報を提出する。早期警告は、該当する場合、重要インシデントが不法行為または悪意ある行為に起因する 疑いがあること、あるいは事業体をまたがる、または国境を越えた影響を及ぼす可能性があることを 示すものとする; |
| (b) without undue delay and in any event within 72 hours of becoming aware of the significant incident, an incident notification, which, where applicable, shall update the information referred to in point (a) and indicate an initial assessment of the significant incident, including its severity and impact, as well as, where available, the indicators of compromise; | (b) 重要なインシデントを認識してから、過度に遅延することなく、かつ、いかなる場合であっても72時間以内に、インシデント通知を行う。インシデント通知は、該当する場合、(a)で言及された情報を更新し、重要なインシデントの初期評価(その重大性及び影響並びに入手可能な場合、侵害の指標を含む)を示すものとする; |
| (c) upon the request of CERT-EU, an intermediate report on relevant status updates; | (c) CERT-EU の要請に応じて、関連する状況の更新に関する中間報告; |
| (d) a final report not later than one month after the submission of the incident notification under point (b), including the following: | (d) (b)に基づくインシデント通知の提出後 1 ヶ月以内に、以下を含む最終報告書: |
| (i) a detailed description of the incident, including its severity and impact; | (i) 重大性と影響を含むインシデントの詳細な説明; |
| (ii) the type of threat or root cause that is likely to have triggered the incident; | (ii) インシデントの引き金となったと思われる脅威または根本原因の種類; |
| (iii) applied and ongoing mitigation measures; | (iii) 適用され、継続中の低減措置; |
| (iv) where applicable, the cross-border or cross-entity impact of the incident; | (iv) 該当する場合、インシデントの国境を越えた影響または事業体を越えた影響; |
| (e) in the event of an ongoing incident at the time of the submission of the final report referred to in point (d), a progress report at that time and a final report within one month of their handling of the incident. | (e) (d)の最終報告書を提出する時点で進行中のインシデントがある場合は、その時点での進捗報告書と、インシデントのハンドリングから1ヶ月以内に最終報告書を提出すること。 |
| 3. A Union entity shall, without undue delay and in any event within 24 hours of becoming aware of a significant incident, inform any relevant Member State counterparts referred to in Article 17(1) in the Member State where it is located that a significant incident has occurred. | 3. 事業体は、重要なインシデントを認識した場合、過度の遅滞なく、いかなる場合にも24時間以内に、その事業体が所在する加盟国の第17条(1)にいう関係加盟国の関係機関に、重要なインシデントが発生したことを通知しなければならない。 |
| 4. The Union entities shall notify, inter alia, any information enabling CERT-EU to determine any cross-entity impact, impact on the hosting Member State or cross-border impact following a significant incident. Without prejudice to Article 12, the mere act of notification shall not subject the Union entity to increased liability. | 4. 事業体は、特に、CERT-EU が重大インシデントの発生に伴う加盟国間の影響、ホスト国への影 響、または国境を越えた影響を判断することを可能にする情報を通知するものとする。第 12 条を損なうことなく、単なる通知行為は、当該事業体の責任を増大させるものではない。 |
| 5. Where applicable, Union entities shall communicate, without undue delay, to the users of the network and information systems affected, or of other components of the ICT environment, that are potentially affected by a significant incident or a significant cyber threat, and, where appropriate, need to take mitigating measures, any measures or remedies that they can take in response to that incident or that threat. Where appropriate, Union entities shall inform those users of the significant cyber threat itself. | 5. 該当する場合、連合事業体は、影響を受けるネットワークと情報システムの利用者、または重要なインシデントもしくは重要なサイバー脅威の影響を受ける可能性のあるICT環境の他の構成要素、および適切な場合、低減措置を講じる必要がある利用者に対し、当該インシデントまたは当該脅威に対応して講じることができる措置または救済策を、過度の遅滞なく伝達しなければならない。適切な場合、EU 事業体は、重要なサイバー脅威そのものをこれらの利用者に通知しなければならない。 |
| 6. Where a significant incident or significant cyber threat affects a network and information system, or a component of a Union entity’s ICT environment that is knowingly connected with another Union entity’s ICT environment, CERT-EU shall issue a relevant cybersecurity alert. | 6. 重要なインシデントまたはサイバー脅威が、ネットワークと情報システム、または他の連合事業体の ICT 環境と故意に接続されている連合事業体の ICT 環境の構成要素に影響を及ぼす場合、CERT-EU は、関連するサイバーセキュリティアラートを発行するものとする。 |
| 7. The Union entities, upon the request of CERT-EU, shall, without undue delay, provide CERT-EU with digital information created by the use of electronic devices involved in their respective incidents. CERT-EU may provide further details of the types of information that it requires for situational awareness and incident response. | 7. 連合事業体は、CERT-EU の要請に応じて、過度な遅滞なく、それぞれのインシデントに関与した 電子機器の使用により作成されたデジタル情報を CERT-EU に提供するものとする。CERT-EU は、状況認識およびインシデント対応に必要な情報の種類の詳細を提供することができる。 |
| 8. CERT-EU shall submit to the IICB, ENISA, the EU INTCEN and the CSIRTs network, every three months, a summary report including anonymised and aggregated data on significant incidents, incidents, cyber threats, near misses and vulnerabilities pursuant to Article 20 and significant incidents notified pursuant to paragraph 2 of this Article. The summary report shall constitute an input to the biennial report on the state of cybersecurity in the Union adopted pursuant to Article 18 of Directive (EU) 2022/2555. | 8. CERT-EU は、IICB、ENISA、EU INTCEN および CSIRTs ネットワークに対し、第 20 条に基づく重要なインシデント、インシデント、サイバー脅威、ニアミス および脆弱性、ならびに本条第 2 項に基づき通知された重要なインシデントに関する匿名化され集計されたデー タを含む概要報告書を、3 か月ごとに提出するものとする。要約報告書は、指令(EU)2022/2555の第18条に従って採択される、連合におけるサイバーセキュリティの状況に関する2年ごとの報告書へのインプットを構成するものとする。 |
| 9. By 8 July 2024, the IICB shall issue guidelines or recommendations further specifying the arrangements for, and format and content of, the reporting pursuant to this Article. When preparing such guidelines or recommendations, the IICB shall take into account any implementing acts adopted pursuant to Article 23(11) of Directive (EU) 2022/2555 specifying the type of information, the format and the procedure of notifications. CERT-EU shall disseminate the appropriate technical details to enable proactive detection, incident response or mitigating measures by Union entities. | 9. 2024年7月8日までに、IICBは、本条に基づく報告の取り決め、形式および内容をさらに明記したガイドラインまたは勧告を発行するものとする。当該ガイドラインまたは勧告を作成する際、IICB は、指令(EU)2022/2555 の第 23 条(11)に従い採択された、情報の種類、形式および通知の手順を規定する実施法を考慮するものとする。CERT-EU は、EU 事業体による事前検知、インシデント対応または軽減措置を可能にするために、適切な技術的 詳細を普及するものとする。 |
| 10. The reporting obligations laid down in this Article shall not extend to: | 10. 本条に規定される報告義務は、以下のものには適用されない: |
| (a) EUCI; | (a) EUCI; |
| (b) information the further distribution of which has been excluded by means of a visible marking, unless the sharing thereof with CERT-EU has been explicitly allowed. | (b) CERT-EU との共有が明示的に許可されている場合を除き、可視的なマーキングによってそれ以 上の配布が排除されている情報。 |
| Article 22 | 第22条 |
| Incident response coordination and cooperation | インシデント対応の調整および協力 |
| 1. In acting as a cybersecurity information exchange and incident response coordination hub, CERT-EU shall facilitate information exchange with regards to incidents, cyber threats, vulnerabilities and near misses among: | 1. サイバーセキュリティ情報交換およびインシデント対応調整ハブとしての役割を果たすにあたり、 CERT-EU は、インシデント、サイバー脅威、脆弱性、およびニアミスに関する情報交換を促進するものとする: |
| (a) Union entities; | (a) EU 事業体; |
| (b) the counterparts referred to in Articles 17 and 18. | (b) 第 17 条および第 18 条で言及されるカウンターパート。 |
| 2. CERT-EU, where relevant in close cooperation with ENISA, shall facilitate coordination among Union entities on incident response, including: | 2. CERT-EU は、ENISA との緊密な協力のもと、関連する場合、以下を含むインシデント対応に関 する連合事業体間の調整を促進するものとする: |
| (a) contribution to consistent external communication; | (a) 一貫した対外コミュニケーションへの貢献; |
| (b) mutual support, such as sharing information relevant to Union entities, or providing assistance, where relevant directly on site; | (b)連合事業体に関連する情報の共有や、関連する場合には現場での直接のプロバイダによる支 援などの相互支援; |
| (c) optimal use of operational resources; | (c) 活動資源の最適な利用 |
| (d) coordination with other crisis response mechanisms at Union level. | (d) 組合レベルにおける他の危機対応メカニズムとの調整 |
| 3. CERT-EU, in close cooperation with ENISA, shall support Union entities regarding situational awareness of incidents, cyber threats, vulnerabilities and near misses as well as sharing relevant developments in the field of cybersecurity. | 3. CERT-EU は、ENISA と緊密に協力し、インシデント、サイバー脅威、脆弱性、ニアミス の状況認識、およびサイバーセキュリティ分野における関連動向の共有に関して、連合事業体を 支援する。 |
| 4. By 8 January 2025, the IICB shall, on the basis of a proposal by CERT-EU, adopt guidelines or recommendations on incident response coordination and cooperation for significant incidents. Where the criminal nature of an incident is suspected, CERT-EU shall advise on how to report the incident to law enforcement authorities, without undue delay. | 4. 2025 年 1 月 8 日までに、IICB は、CERT-EU の提案に基づき、重大インシデントに対するインシデント 対応の調整および協力に関するガイドラインまたは勧告を採択するものとする。インシデントの犯罪性が疑われる場合、CERT-EU は、不当な遅延なく、法執行当局にインシデントを報告する方法について助言するものとする。 |
| 5. Following a specific request from a Member State and with the approval of the Union entities concerned, CERT-EU may call on experts from the list referred to in Article 23(4), for contributing to the response to a major incident which has an impact in that Member State, or a large-scale cybersecurity incident in accordance with Article 15(3), point (g), of Directive (EU) 2022/2555. Specific rules on access to and the use of technical experts from Union entities shall be approved by the IICB on the basis of a proposal by CERT-EU. | 5. 加盟国からの具体的な要請に従い、かつ関係する事業体の承認を得て、CERT-EU は、当該加盟国に影響を及ぼす重大インシデント、または指令(EU)2022/2555 の第 15 条(3)項(g)号に基づく大規模サイバーセキュリティインシデントへの対応に貢献するために、第 23 条(4)項で言及されるリストの専門家を要請することができる。EU 事業体からの技術専門家へのアクセスおよびその利用に関する具体的な規則は、CERT-EU の提案に基づき、IICB によって承認されるものとする。 |
| Article 23 | 第23条 |
| Management of major incidents | 重大インシデントの管理 |
| 1. In order to support at operational level the coordinated management of major incidents affecting Union entities and to contribute to the regular exchange of relevant information among Union entities and with Member States, the IICB shall, pursuant to Article 11, point (q), establish a cyber crisis management plan based on the activities referred to in Article 22(2), in close cooperation with CERT-EU and ENISA. The cyber crisis management plan shall include at least the following elements: | 1. 連合事業体に影響を及ぼす重大インシデントの協調管理を運用レベルで支援し、連合事業体間および加盟国との関連情報の定期的な交換に貢献するため、IICB は、第 11 条の(q)に従い、CERT-EU および ENISA と緊密に協力し、第 22 条(2)に言及する活動に基づくサイバー危機管理計画を策定するものとする。サイバー危機管理計画は、少なくとも以下の要素を含むものとする: |
| (a) arrangements concerning coordination and information flow among Union entities for the management of major incidents at operational level; | (a)運用レベルでの重大インシデント管理のための、EU事業体間の調整および情報の流れに関する取り決め; |
| (b) common standard operating procedures (SOPs); | (b) 共通の標準作業手順(SOP); |
| (c) a common taxonomy of major incident severity and crisis triggering points; | (c)重大インシデントの重大度および危機の引き金となるポイントに関する共通の分類法; |
| (d) regular exercises; | (d) 定期的な訓練 |
| (e) secure communication channels that are to be used. | (e) 使用される安全なコミュニケーション・チャンネル |
| 2. The Commission representative in the IICB shall, subject to the cyber crisis management plan established pursuant to paragraph 1 of this Article and without prejudice to Article 16(2), first subparagraph, of Directive (EU) 2022/2555, be the point of contact for the sharing of relevant information in relation to major incidents with EU-CyCLONe. | 2. IICBにおける欧州委員会の代表者は、本条第1項に従って策定されたサイバー危機管理計画に従い、また、指令(EU)2022/2555の第16条第2項第1号を損なうことなく、EU-CyCLONeとの間で重大インシデントに関連する情報を共有するための連絡窓口となる。 |
| 3. CERT-EU shall coordinate among the Union entities the management of major incidents. It shall maintain an inventory of the available technical expertise that would be needed for incident response in the event of major incidents and assist the IICB in coordinating Union entities’ cyber crisis management plans for major incidents referred to in Article 9(2). | 3. CERT-EU は、EU 事業体間で重大インシデントの管理を調整するものとする。CERT-EU は、重大インシデント発生時のインシデント対応に必要とされる利用可能な技術的専門知識 の目録を維持し、第 9 条(2)に言及される重大インシデントに対する連合事業体のサイバー危機管理計画の調整におい て、IICB を支援するものとする。 |
| 4. The Union entities shall contribute to the inventory of technical expertise by providing an annually updated list of experts available within their respective organisations detailing their specific technical skills. | 4. EU事業体は、それぞれの組織内で利用可能な専門家のリストを毎年更新し、その具体的な技術仕様について詳述したリストをプロバイダに提供することにより、専門技術のインベントリに貢献するものとする。 |
| CHAPTER VI | 第6章 |
| FINAL PROVISIONS | 最終規定 |
| Article 24 | 第24条 |
| Initial budgetary reallocation | 当初予算の再配分 |
| In order to ensure the proper and stable functioning of CERT-EU, the Commission may propose the reallocation of staff and financial resources to the Commission budget for use in CERT-EU operations. The reallocation shall be effective at the same time as the first Union annual budget adopted following the entry into force of this Regulation. | CERT-EU の適切かつ安定的な機能を確保するため、欧州委員会は、CERT-EU の業務に使用する職員および財源の欧州委員会予算への再配分を提案することができる。再配分は、本規則の発効後に採択される最初の欧州連合年次予算と同時に発効するものとする。 |
| Article 25 | 第25条 |
| Review | 見直し |
| 1. By 8 January 2025 and on an annual basis thereafter, the IICB, with the assistance of CERT-EU, shall report to the Commission on the implementation of this Regulation. The IICB may make recommendations to the Commission to review this Regulation. | 1. 2025 年 1 月 8 日までに、およびその後毎年、IICB は、CERT-EU の支援を受けて、本規則の実施 状況について欧州委員会に報告するものとする。IICBは欧州委員会に対し、本規則の見直しを勧告することができる。 |
| 2. By 8 January 2027 and every two years thereafter, the Commission shall assess and report on the implementation of this Regulation and on the experience gained at a strategic and operational level to the European Parliament and to the Council. | 2. 欧州委員会は、2027年1月8日までおよびその後2年ごとに、本規則の実施状況、および戦略レベルおよび運用レベルで得られた経験を評価し、欧州議会および理事会に報告するものとする。 |
| The report referred to in the first subparagraph of this paragraph shall include the review referred to in Article 16(1), on the possibility of establishing CERT-EU as a Union office. | 本項第 1 号で言及される報告には、第 16 条第 1 項で言及される、連合事務所としての CERT-EU 設置の可能性に関する検討が含まれるものとする。 |
| 3. By 8 January 2029, the Commission shall evaluate the functioning of this Regulation and submit a report to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. The Commission shall also evaluate the appropriateness of including network and information systems handling EUCI within the scope of this Regulation, taking into account other Union legislative acts applicable to those systems. The report shall be accompanied, where necessary, by a legislative proposal. | 3. 欧州委員会は、2029年1月8日までに、本規則の機能を評価し、欧州議会、理事会、欧州経済社会委員会および地域委員会に報告書を提出するものとする。欧州委員会はまた、EUCIを扱うネットワークと情報システムを本規則の適用範囲に含めることの妥当性を、これらのシステムに適用される他の欧州連合の法律も考慮に入れて評価するものとする。報告書には、必要に応じて立法案を添付するものとする。 |
| Article 26 | 第26条 |
| Entry into force | 発効 |
| This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | この規則は、欧州連合官報に掲載された翌日から20日目に発効する。 |
| This Regulation shall be binding in its entirety and directly applicable in all Member States. | この規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。 |
| Done at Strasbourg, 13 December 2023. | 2023年12月13日、ストラスブールにて制定される。 |
| For the European Parliament | 欧州議会のために |
| The President | 議長 |
| R. METSOLA | R. メトソラ |
| For the Council | 欧州理事会 |
| The President | 議長 |
| P. NAVARRO RÍOS | P. ナヴァロ・リオス |
| (1) Position of the European Parliament of 21 November 2023 (not yet published in the Official Journal) and decision of the Council of 8 December 2023. | (1) 2023年11月21日付欧州議会の見解(官報未掲載)および2023年12月8日付理事会の決定。 |
| (2) Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (OJ L 333, 27.12.2022, p. 80). | (2) 規則(EU)No 910/2014および指令(EU)2018/1972を改正し、指令(EU)2016/1148(NIS 2指令)を廃止する、欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する2022年12月14日の欧州議会および理事会の指令(EU)2022/2555(OJ L 333, 27.12.2022, p. 80)。 |
| (3) Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15). | (3) ENISA(欧州連合サイバーセキュリティ機関)および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会および理事会規則(EU)2019/881および規則(EU)No 526/2013(サイバーセキュリティ法)の廃止(OJ L 151, 7.6.2019, p. 15)。 |
| (4) Arrangement between the European Parliament, the European Council, the Council of the European Union, the European Commission, the Court of Justice of the European Union, the European Central Bank, the European Court of Auditors, the European External Action Service, the European Economic and Social Committee, the European Committee of the Regions and the European Investment Bank on the organisation and operation of a computer emergency response team for the Union’s institutions, bodies and agencies (CERT-EU) (OJ C 12, 13.1.2018, p. 1). | (4) 欧州連合機構、団体および機関のためのコンピュータ緊急対応チーム(CERT-EU)の組織および運営に関する欧州議会、欧州理事会、欧州連合理事会、欧州委員会、欧州司法裁判所、欧州中央銀行、欧州検査院、欧州対外活動庁、欧州経済社会委員会、欧州地域委員会および欧州投資銀行間の取り決め(OJ C 12, 13.1.2018, p. 1)。 |
| (5) Regulation (EEC, Euratom, ECSC) No 259/68 of the Council of 29 February 1968 laying down the Staff Regulations of Officials and the Conditions of Employment of Other Servants of the European Communities and instituting special measures temporarily applicable to officials of the Commission (OJ L 56, 4.3.1968, p. 1). | (5) 1968年2月29日の理事会規則(EEC、Euratom、ECSC)第259/68号は、欧州共同体の職員の職員規則およびその他の職員の雇用条件を定め、欧州委員会の職員に一時的に適用される特別措置を制定するものである(OJ L 56, 4.3.1968, p. 1)。 |
| (6) Commission Recommendation (EU) 2017/1584 of 13 September 2017 on coordinated response to large-scale cybersecurity incidents and crises (OJ L 239, 19.9.2017, p. 36). | (6) 大規模サイバーセキュリティインデントおよび危機への協調的対応に関する2017年9月13日付欧州委員会勧告(EU)2017/1584(OJ L 239, 19.9.2017, p. 36)。 |
| (7) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39). | (7) 欧州連合機関、団体、事務所および機関による個人データの処理に関する自然人の保護、ならびに当該データの自由な移動に関する2018年10月23日付欧州議会および理事会規則(EU)2018/1725、ならびに規則(EC)No 45/2001および決定No 1247/2002/ECの廃止(OJ L 295, 21.11.2018, p. 39)。 |
| (8) OJ C 258, 5.7.2022, p. 10. | (8) OJ C 258, 5.7.2022, p. 10. |
| (9) Regulation (EU, Euratom) 2018/1046 of the European Parliament and of the Council of 18 July 2018 on the financial rules applicable to the general budget of the Union, amending Regulations (EU) No 1296/2013, (EU) No 1301/2013, (EU) No 1303/2013, (EU) No 1304/2013, (EU) No 1309/2013, (EU) No 1316/2013, (EU) No 223/2014, (EU) No 283/2014, and Decision No 541/2014/EU and repealing Regulation (EU, Euratom) No 966/2012 (OJ L 193, 30.7.2018, p. 1). | (9) 規則(EU) No 1296/2013を改正する、欧州連合の一般予算に適用される財務規則に関する2018年7月18日の欧州議会および理事会の規則(EU, Euratom) 2018/1046、 (EU) No 1301/2013, (EU) No 1303/2013, (EU) No 1304/2013, (EU) No 1309/2013, (EU) No 1316/2013, (EU) No 223/2014, (EU) No 283/2014, Decision No 541/2014/EU を改正し、規則 (EU, Euratom) No 966/2012 を廃止する。 7.2018, p. 1). |
| (10) Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43). | (10) 欧州議会、理事会および欧州委員会文書の一般公開に関する2001年5月30日付欧州議会および理事会規則(EC)第1049/2001号(OJ L 145, 31.5.2001, p. 43)。 |
| ELI: http://data.europa.eu/eli/reg/2023/2841/oj | ELI: http://data.europa.eu/eli/reg/2023/2841/oj |
| ISSN 1977-0677 (electronic edition) | ISSN 1977-0677(電子版) |
« 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1) | Main | 米国 MITRE サイバーレジリエンス・フレームワークとサイバー・サバイバビリティ属性 (CSA) のマッピング表 »
Comments