« JNSA. 連載リレーコラム サイバーインテリジェンスとセキュリティ (マキナレコード 軍司さん) | Main | 米国 CISA OT環境における量子コンピュータ時代への考慮事項... »

2024.11.07

欧州委員会 NIS2指令 - 欧州委員会施行規則C(2024) 7151と附属書 (2024.10.17)

こんにちは、丸山満彦です。

欧州委員会が、2024.10.17にNIS2の実施規則を採択しています...

この規則は、

  • クラウド・コンピューティング・サービス・プロバイダー
  • データセンター・サービス・プロバイダー
  • オンライン・マーケットプレイス
  • オンライン検索エンジン
  • ソーシャル・ネットワーキング・プラットフォームなど

デジタル・サービスを提供する特定のカテゴリーの企業に適用される。

で、

  • サイバーセキュリティのリスク管理対策
  • インシデントが重大とみなされるケース
  • 国家当局に報告すべきケース

などが規定されていますね...

 

European Commission - Shaping Europe’s digital future

・2024.10.17 New rules to boost cybersecurity of EU's critical entities and networks

New rules to boost cybersecurity of EU's critical entities and networks 欧州連合(EU)の重要な事業体およびネットワークのサイバーセキュリティを強化するための新規則
The Commission has adopted the first implementing rules on cybersecurity of critical entities and networks under the Directive on measures for high common level of cybersecurity across the Union (NIS2 Directive). 欧州委員会は、欧州連合(EU)全体で共通レベルの高いサイバーセキュリティを実現するための措置に関する指令(NIS2指令)に基づき、重要な事業体およびネットワークのサイバーセキュリティに関する初の施行規則を採択した。
This implementing act details cybersecurity risk management measures as well as the cases in which an incident should be considered significant and companies providing digital infrastructures and services should report it to national authorities. This is another major step in boosting the cyber resilience of Europe's critical digital infrastructure. この施行規則では、サイバーセキュリティのリスク管理対策や、インシデントが重大とみなされるケース、デジタルインフラやサービスを提供する企業が国家当局に報告すべきケースなどが詳細に規定されている。これは、欧州の重要なデジタルインフラのサイバー耐性を高めるためのもう一つの大きな一歩である。
This adopted implementing regulation will apply to specific categories of companies providing digital services, such as cloud computing service providers, data centre service providers, online marketplaces, online search engines and social networking platforms, to name a few. For each category of service providers, the implementing act specifies when an incident is considered significant, to whom it needs to be reported and in which timeframe. 今回採択された施行規則は、クラウド・コンピューティング・サービス・プロバイダー、データセンター・サービス・プロバイダー、オンライン・マーケットプレイス、オンライン検索エンジン、ソーシャル・ネットワーキング・プラットフォームなど、デジタル・サービスを提供する特定のカテゴリーの企業に適用される。各カテゴリーのサービス・プロバイダーについて、実施法は、インシデントがいつ重大とみなされるか、誰に報告する必要があるか、どのような時間枠で報告するかを定めている。
The adoption of the implementing regulation coincided with the deadline for Member States to transpose the NIS2 Directive into national law. From 18 October 2024, all Member States must apply the measures necessary to comply with the NIS2 cybersecurity rules, including supervisory and enforcement measures. 施行規則の採択は、加盟国がNIS2指令の国内法への移行の期限と重なった。2024年10月18日以降、すべての加盟国は、監督・執行措置を含め、NIS2サイバーセキュリティ規則を遵守するために必要な措置を適用しなければならない。
Read full press release. プレスリリース全文を読む。
More information: 詳細はこちら
NIS2 Directive Implementing Act NIS2指令施行法
Factsheet on the Directive on measures for high common level of cybersecurity across the Union (NIS2) EU全域で共通レベルの高いサイバーセキュリティ対策に関する指令(NIS2)に関するファクトシート
Questions and Answers on NIS2:  New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient NIS2に関するQ&A:物理的およびデジタル上の重要な事業体をより強靭にするための新たなEUサイバーセキュリティ戦略と新規則
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive) EU全域で共通レベルの高いサイバーセキュリティ対策に関する指令(NIS2指令)
Commission's Cybersecurity Policies 欧州委員会のサイバーセキュリティ政策
Related topics 関連トピック
Cybersecurity サイバーセキュリティ
Related content 関連コンテンツ
NIS2: Commission implementing regulation on critical entities and networks NIS2: 欧州委員会、重要なエンティティおよびネットワークに関する施行規則を制定
Policy and legislation | 17 October 2024 政策および立法|2024年10月17日
This Regulation lays down the technical and the methodological requirements of the measures referred to in NIS2 with regard to DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, providers of online market places, of online search engines and of social networking services platforms, and trust service providers (the relevant entities). 本規則は、DNSサービスプロバイダー、TLDネームレジストリ、クラウドコンピューティングサービスプロバイダー、データセンターサービスプロバイダー、コンテンツデリバリーネットワークプロバイダー、マネージドサービスプロバイダー、マネージドセキュリティサービスプロバイダー、オンラインマーケットプレイス、オンライン検索エンジン、ソーシャルネットワーキングサービスプラットフォームのプロバイダー、およびトラストサービスプロバイダー(関連事業体)に関して、NIS2で言及されている措置の技術的および方法論的要件を規定する。

 

詳細なプレス...

・2024.10.17 New rules to boost cybersecurity of EU's critical entities and networks

New rules to boost cybersecurity of EU's critical entities and networks EUの重要な事業体およびネットワークのサイバーセキュリティを強化するための新たな規則
The Commission has adopted today the first implementing rules on cybersecurity of critical entities and networks under the Directive on measures for high common level of cybersecurity across the Union (NIS2 Directive). This implementing act details cybersecurity risk management measures as well as the cases in which an incident should be considered significant and companies providing digital infrastructures and services should report it to national authorities. This is another major step in boosting the cyber resilience of Europe's critical digital infrastructure. 欧州委員会は本日、EU全体で共通レベルの高いサイバーセキュリティを実現するための措置に関する指令(NIS2指令)に基づき、重要な事業体およびネットワークのサイバーセキュリティに関する初の施行規則を採択した。この施行規則では、サイバーセキュリティのリスク管理対策や、インシデントが重大とみなされるケース、デジタルインフラやサービスを提供する企業が国家当局に報告すべきケースなどが詳細に規定されている。これは、欧州の重要なデジタルインフラのサイバー耐性を強化するための新たな大きな一歩である。
The implementing regulation adopted today will apply to specific categories of companies providing digital services, such as cloud computing service providers, data centre service providers, online marketplaces, online search engines and social networking platforms, to name a few. For each category of service providers, the implementing act also specifies when an incident is considered significant.* 本日採択された施行規則は、クラウド・コンピューティング・サービス・プロバイダー、データセンター・サービス・プロバイダー、オンライン・マーケットプレイス、オンライン検索エンジン、ソーシャル・ネットワーキング・プラットフォームなど、デジタル・サービスを提供する特定のカテゴリーの企業に適用される。
Today's adoption of the implementing regulation coincides with the deadline for Member States to transpose the NIS2 Directive into national law. As of tomorrow, 18 October 2024, all Member States must apply the measures necessary to comply with the NIS2 cybersecurity rules, including supervisory and enforcement measures. 今日の施行規則の採択は、加盟国がNIS2指令の国内法への移行の期限と重なる。明日2024年10月18日をもって、すべての加盟国は、監督・執行措置を含め、NIS2サイバーセキュリティ規則を遵守するために必要な措置を適用しなければならない。
Next Steps 次のステップ
The implementing regulation will be published in the Official Journal in due course and enter into force 20 days thereafter. 施行規則は順次官報に掲載され、その20日後に発効する。
Background 背景
The first EU-wide law on cybersecurity, the NIS Directive, came into force in 2016 and helped to achieve a common level of security of network and information systems across the EU. As part of its key policy objective to make Europe fit for the digital age, the Commission proposed the revision of the NIS Directive in December 2020. After entering in force in January 2023, Member States had to transpose the NIS2 Directive into national law by 17 October 2024. サイバーセキュリティに関する最初のEU全体の法律であるNIS指令は2016年に発効し、EU全体でネットワークと情報システムのセキュリティレベルを共通化することに貢献した。欧州をデジタル時代に適合させるという重要な政策目標の一環として、欧州委員会は2020年12月にNIS指令の改正を提案した。2023年1月に発効した後、加盟国は2024年10月17日までにNIS2指令を国内法に移管しなければならなかった。
The NIS2 Directive aims to ensure a high level of cybersecurity across the Union. It covers entities operating in sectors that are critical for the economy and society, including providers of public electronic communications services, ICT service management, digital services, wastewater and waste management, space, health, energy, transport, manufacturing of critical products, postal and courier services and public administration. NIS2指令は、欧州連合全体で高水準のサイバーセキュリティを確保することを目的としている。公共電子通信サービスのプロバイダー、ICTサービス管理、デジタルサービス、廃水・廃棄物管理、宇宙、健康、エネルギー、輸送、重要製品の製造、郵便・宅配便サービス、行政など、経済・社会にとって重要な分野で活動する事業体が対象となる。
The Directive strengthens security requirements imposed on the companies and addresses the security of supply chains and supplier relationships. It streamlines reporting obligations, introduces more stringent supervisory measures for national authorities, as well as stricter enforcement requirements, and aims at harmonising sanctions regimes across Member States. It will help increase information sharing and cooperation on cyber crisis management at a national and EU level. この指令は、企業に課されるセキュリティ要件を強化し、サプライチェーンやサプライヤーとの関係のセキュリティに対処するものである。報告義務を合理化し、各国当局に対してより厳格な監督措置を導入するとともに、より厳格な執行要件を導入し、加盟国間の制裁制度の調和を目指している。また、各国およびEUレベルでのサイバー危機管理に関する情報共有と協力の強化にもつながる。
For More Information 詳細情報
Implementing Act 施行法
Factsheet on the Directive on measures for high common level of cybersecurity across the Union (NIS2) EU全体で共通レベルの高いサイバーセキュリティ対策に関する指令(NIS2)に関するファクトシート
Questions and Answers on NIS2:  New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient NIS2に関する質問と回答:EUの新たなサイバーセキュリティ戦略と、物理的およびデジタル的な重要事業体をより強靭にするための新たな規則
Quote(s) 引用
 Cybersecurity is one of the main building blocks for the protection of our citizens and our infrastructure. In today’s cybersecurity landscape, stepping up our capabilities, security requirements and rapid information sharing with up-to-date rules is of paramount importance. I urge the remaining Member States to implement these rules at national level as fast as possible to ensure that the services which are critical for our societies and economies are cyber secure.  サイバーセキュリティは、市民とインフラを保護するための主要な構成要素の一つである。今日のサイバーセキュリティの状況において、我々の能力、セキュリティ要件、そして最新の規則による迅速な情報共有を強化することが最も重要である。私たちの社会と経済にとって重要なサービスがサイバーセキュアであることを確実にするため、残りの加盟国に対し、これらの規則をできるだけ早く国内レベルで実施するよう強く要請する。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age マルグレーテ・ヴェスタガー、「デジタル時代に適合した欧州」担当副総裁

 

・NIS2の施行規則と附属書(技術と運用の要件)

NIS2: Commission implementing regulation on critical entities and networks NIS2:重要なエンティティおよびネットワークに関する欧州委員会の施行規則
This Regulation lays down the technical and the methodological requirements of the measures referred to in NIS2 with regard to DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, providers of online market places, of online search engines and of social networking services platforms, and trust service providers (the relevant entities). 本規則は、DNSサービスプロバイダー、TLDネームレジストリ、クラウドコンピューティングサービスプロバイダー、データセンターサービスプロバイダー、コンテンツデリバリーネットワークプロバイダー、マネージドサービスプロバイダー、マネージドセキュリティサービスプロバイダー、オンラインマーケットプレイス、オンライン検索エンジン、ソーシャルネットワーキングサービスプラットフォームのプロバイダー、トラストサービスプロバイダー(関連する事業体)に関して、NIS2で言及されている措置の技術的および方法論的要件を定めている。
After entering into force in January 2023, Member States have to implement the NIS2 Directive into national law by 17 October 2024. The NIS2 Directive lays down the technical and the methodological requirements of cybersecurity risk management measures for critical entities and networks. 2023年1月の発効後、加盟国は2024年10月17日までにNIS2指令を国内法に導入しなければならない。NIS2指令は、重要なエンティティおよびネットワークに対するサイバーセキュリティ・リスク管理対策の技術的および方法論的要件を定めている。
NIS2 Directive - Commission implementing Regulation C(2024) 7151 NIS2指令 - 欧州委員会施行規則C(2024) 7151
NIS2 Directive - Commission implementing Regulation C(2024) 7151 - ANNEX NIS2指令 - 欧州委員会施行規則C(2024) 7151 - 附属書

 

NIS2指令の実施規則

・[PDF] NIS2 Directive - Commission implementing Regulation C(2024) 7151

20241106-155529

・[DOCX][PDF] 仮訳

 

条文...

Article 1: Subject matter 第1条:主題
Article 2: Technical and methodological requirements 第2条:技術的および方法論的要件
Article 3/ Significant incidents 第3条:重要インシデント
Article 4: Recurring incidents 第4条:再発インシデント
Article 5: Significant incidents with regard to DNS service providers 第5条:DNSサービス・プロバイダに関する重要インシデント
Article 6: Significant incidents with regard to TLD name registries 第6条:TLDネームレジストリに関する重要なインシデント
Article 7: Significant incidents with regard to cloud computing service providers 第7条 クラウドコンピューティング・サービス・プロバイダに関する重要インシデント
Article 8: Significant incidents with regard to data centre service providers 第8条:データセンター・サービスプロバイダに関する重要インシデント
Article 9: Significant incidents with regard to content delivery network providers 第9条:コンテンツ配信ネットワークプロバイダに関する重要インシデント
Article 10: Significant incidents with regard to managed service providers and managed security service providers 第10条:マネージドサービス・プロバイダおよびマネージド・セキュリティ・サービス・プロバイダに関する重要インシデント
Article 11:  Significant incidents with regard to providers of online marketplaces 第11条:オンラインマーケットプレイスのプロバイダに関する重要インシデント
Article 12: Significant incidents with regard to providers of online search engines 第12条:オンライン検索エンジンのプロバイダに関する重要インシデント
Article 13: Significant incidents with regard to providers of social networking services platforms 第13条:ソーシャルネットワーキングサービス・プラットフォームに関する重要インシデント
Article 14: Significant incidents with regard to trust service providers 第14条:トラストサービス・プロバイダに関する重要インシデント
Article 15: Repeal 第15条:廃止
Article 16: Entry into force and application 第16条:発効および適用

 

 

NIS2指令の実施規則の附属書

・[PDF] NIS2 Directive - Commission implementing Regulation C(2024) 7151 - ANNEX

20241106-155545

・[DOCX][PDF] 仮訳

 

内容...

1. POLICY ON THE SECURITY OF NETWORK AND INFORMATION SYSTEMS (ARTICLE 21(2), POINT (A) OF DIRECTIVE (EU) 2022/2555) 1. ネットワークと情報システムのセキュリティに関する方針(指令(EU)2022/2555第21条(2)項(a))
1.1. Policy on the security of network and information systems 1.1. ネットワークと情報システムのセキュリティに関する方針
1.2. Roles, responsibilities and authorities 1.2. 役割、責任、認可
2. RISK MANAGEMENT POLICY (ARTICLE 21(2), POINT (A) OF DIRECTIVE (EU) 2022/2555) 2. リスクマネジメント方針(指令(EU)2022/2555第21条2項(a)
2.1. Risk management framework 2.1. リスクマネジメントの枠組み
2.2. Compliance monitoring 2.2. コンプライアンス・モニタリング
2.3. Independent review of information and network security 2.3. 情報およびネットワーク・セキュリティの独立審査
3. INCIDENT HANDLING (ARTICLE 21(2), POINT (B), OF DIRECTIVE (EU) 2022/2555) 3. インシデントハンドリング(指令(EU)2022/2555第21条(2)項(b))
3.1. Incident handling policy 3.1. インシデントハンドリング方針
3.2. Monitoring and logging 3.2. モニタリングとロギング
3.3. Event reporting 3.3. イベント報告
3.4. Event assessment and classification 3.4. イベントのアセスメントと分類
3.5. Incident response 3.5. インシデント対応
3.6. Post-incident reviews 3.6. インシデント後のレビュー
4. BUSINESS CONTINUITY AND CRISIS MANAGEMENT (ARTICLE 21(2), POINT (C), OF DIRECTIVE (EU) 2022/2555) 4. 事業継続と危機管理(指令(EU)2022/2555第21条2項(c)
4.1. Business continuity and disaster recovery plan 4.1. 事業継続と災害復旧計画
4.2. Backup and redundancy management 4.2. バックアップと冗長性管理
4.3. Crisis management 4.3. 危機管理
5. SUPPLY CHAIN SECURITY (ARTICLE 21(2), POINT (D), OF DIRECTIVE (EU) 2022/2555) 5. サプライチェーンの安全保障(指令(EU)2022/2555第21条2項(d))
5.1. Supply chain security policy 5.1. サプライチェーンのセキュリティ方針
5.2. Directory of suppliers and service providers 5.2. サプライヤーとサービスプロバイダのディレクトリ
6. SECURITY IN NETWORK AND INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE (ARTICLE 21(2), POINT (E), OF DIRECTIVE (EU) 2022/2555) 6. ネットワークと情報システムの取得、開発、保守におけるセキュリティ(指令(EU)2022/2555第21条2項(e))
6.1. Security in acquisition of ICT services or ICT products 6.1. ICTサービスまたはICT製品の取得におけるセキュリティ
6.2. Secure development life cycle 6.2. 安全な開発ライフサイクル
6.3. Configuration management 6.3. コンフィギュレーション管理
6.4. Change management, repairs and maintenance 6.4. 変更管理、修理、保守
6.5. Security testing 6.5. セキュリティテスト
6.6. Security patch management 6.6. セキュリティ・パッチ管理
6.7. Network security 6.7.ネットワーク・セキュリティ
6.8. Network segmentation 6.8.ネットワーク・セグメンテーション
6.9. Protection against malicious and unauthorised software 6.9. 悪意のある不正ソフトウェアからの保護
6.10. Vulnerability handling and disclosure 6.10. 脆弱性の取り扱いと開示
7. POLICIES AND PROCEDURES TO ASSESS THE EFFECTIVENESS OF CYBERSECURITY RISK-MANAGEMENT MEASURES (ARTICLE 21(2), POINT (F), OF DIRECTIVE (EU) 2022/2555) 7. サイバーセキュリティリスクマネジメント対策の有効性を評価するための方針および手順(指令(EU)2022/2555の第21条2項(f))
8. BASIC CYBER HYGIENE PRACTICES AND SECURITY TRAINING (ARTICLE 21(2), POINT (G), OF DIRECTIVE (EU) 2022/2555) 8. 基本的なサイバー衛生の実践とセキュリティ研修(指令(EU)2022/2555 の第 21 条(2)項(g)
8.1. Awareness raising and basic cyber hygiene practices 8.1. 意識向上と基本的なサイバー衛生の実践
8.2. Security training 8.2. セキュリティトレーニング
9. CRYPTOGRAPHY (ARTICLE 21(2), POINT (H), OF DIRECTIVE (EU) 2022/2555) 9. 暗号技術(指令(EU)2022/2555の第21条2項(h)
10. HUMAN RESOURCES SECURITY (ARTICLE 21(2), POINT (I), OF DIRECTIVE (EU) 2022/2555) 10. 人的資源の安全保障(指令(EU)2022/2555第21条2項(i)
10.1. Human resources security 10.1. 人材確保
10.2. Verification of background 10.2. バックグラウンドの検証
10.3. Termination or change of employment procedures 10.3. 解雇または転職の手続き
10.4. Disciplinary process 10.4. 懲戒プロセス
11. ACCESS CONTROL (ARTICLE 21(2), POINTS (I) AND (J), OF DIRECTIVE (EU) 2022/2555) 11. アクセス管理(指令(EU)2022/2555第21条2項(i)および(j)
11.1. Access control policy 11.1. アクセス管理ポリシー
11.2. Management of access rights 11.2. アクセス権の管理
11.3. Privileged accounts and system administration accounts 11.3. 特権アカウントとシステム管理アカウント
11.4. Administration systems 11.4. 管理システム
11.5. Identification 11.5. 識別
11.6. Authentication 11.6. 認証
11.7. Multi-factor authentication 11.7. 多要素認証
12. ASSET MANAGEMENT (ARTICLE 21(2), POINT (I), OF DIRECTIVE (EU) 2022/2555) 12. 資産管理(指令(EU)2022/2555第21条2項(i)
12.1. Asset classification 12.1. 資産格付け
12.2. Handling of assets 12.2. 資産の取り扱い
12.3. Removable media policy 12.3. 可搬媒体ポリシー
12.4. Asset inventory 12.4. 資産目録
12.5. Deposit, return or deletion of assets upon termination of employment 12.5. 解雇時の資産の預託、返却、削除
13. ENVIRONMENTAL AND PHYSICAL SECURITY (ARTICLE 21(2), POINTS (C), (E) AND (I) OF DIRECTIVE (EU) 2022/2555) 13. 環境および物理的安全保障(指令(EU)2022/2555第21条2項(c)、(e)および(i))
13.1. Supporting utilities 13.1. ユーティリティのサポート
13.2. Protection against physical and environmental threats 13.2. 物理的・環境的脅威からの防御
13.3. Perimeter and physical access control 13.3. 境界および物理的アクセス管理

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.19 欧州 NIS2 指令 条文 (2022.12.27)

 

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

 

 

 

|

« JNSA. 連載リレーコラム サイバーインテリジェンスとセキュリティ (マキナレコード 軍司さん) | Main | 米国 CISA OT環境における量子コンピュータ時代への考慮事項... »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« JNSA. 連載リレーコラム サイバーインテリジェンスとセキュリティ (マキナレコード 軍司さん) | Main | 米国 CISA OT環境における量子コンピュータ時代への考慮事項... »