EU｜デジタルオペレーショナルレジリエンス法を補完する委任規則と実施規則を公布

2025.03.09

EU｜デジタルオペレーショナルレジリエンス法を補完する委任規則と実施規則を公布

デジタルオペレーショナルレジリエンス法（DORA)を補完するICT関連インシデント報告に関する内容と期限及びテンプレートと手順の規定

2025年02月20日、欧州官報に、デジタルオペレーショナルレジリエンス法の規則 (EU) 2022/2554を捕捉する委任規則(EU) 2025/301および実施規則(EU)2025/302が公布されました。

官報掲載の20日後に発効し、直接適用となります。

委任規則（EU) 2025/301は、主要なICT関連インシデントの初期通知、中間報告、最終報告の内容と期限、および重大なサイバー脅威に関する自主通知の内容を規定する技術基準に関する規則です。

実施規則（EU) 2025/302は、金融機関が主要なICT関連インシデントを報告し、重大なサイバー脅威を通知するための標準フォーム、テンプレート、手順に関する実施技術基準を規定しています。

デジタルオペレーショナルレジリエンス法(DORA)は、 EUの金融機関のデジタルセキュリティを強化する規制で、情報通信テクノロジー（ICT）のリスク管理に関する法的拘束力のある包括的なフレームワークを定めています。

DORAは、金融機関とクリティカルな外部技術サービス・プロバイダーが2025年1月16日からICTシステムに実装する必要がある技術標準を定めています。

DORAの包括的な枠組みは5つの柱で構成されています。

1. ICTリスク管理とガバナンス
2. インシデント報告
3. デジタルオペレーショナルレジリエンステスト
4. 第三者リスク管理
5. 情報共有

今回の実施規則と委任規則は、インシデント報告に対するものです。

委任規則 (EU) 2025/301

金融分野における主要なICT関連インシデントに関する通知とレポートの内容と期限を規定しています。また重大なサイバー脅威に関する自主的な通知の内容を定義しています。

1. レポート要件

1）最初の通知
インシデントを重大と分類してから4時間以内に提出する必要があります。
インシデントを認識してから24時間以内に提出する必要があります。

2) 中間レポート
最初の通知から72時間以内に提出する必要があります。
特に通常の運用が再開された後は、必要に応じて更新する必要があります。

3) 最終レポート
最後の中間レポートから1か月以内に提出する必要があります。

2. レポートの内容

1) 最初の通知: エンティティ名、インシデントの説明、影響を受けた国、ビジネス継続計画が有効化されているかどうか
2) 中間レポート: インシデント、関連する脅威、ビジネスへの影響、緩和手順
3) 最終レポート: 根本原因分析、解決の詳細、財務への影響、再発リスク

3) 例外

締め切りが週末または休日に当たる場合、金融機関 (システム上重要な金融機関を除く) は翌営業日の正午までにレポートを提出できます。

4) 自主的なサイバー脅威レポート
インシデントを引き起こさないとい場合でも、重要なサイバー脅威のレポートを奨励しています。

実施規則 (EU) 2025/302

この規制は、金融セクターにおける主要な ICT関連インシデントに関する標準化された報告手順を設定するものです。

1.報告テンプレート（第1条）
初期、中間、最終レポートには、単一のテンプレート（附属書I）を使用する必要があります。
金融機関は、その後のレポートで情報を更新および再分類できます。

2. 共同報告（第2条）
インシデントが解決された場合、または根本原因の分析が完了した場合、エンティティは複数のレポートをまとめて提出できます。

3. 再発インシデント（第3条）
累積的に主要なインシデントとみなされる非主要なICTインシデントは、まとめて報告する必要があります。

4. 安全な提出（第4条）
レポートは、管轄当局が指定した安全な電子チャネルを介して提出する必要があります。

5. インシデントの再分類（第5条）
インシデントが後に非主要なものとみなされた場合、エンティティは報告テンプレートを介して当局に通知する必要があります。

6. 報告のアウトソーシング（第6条）
第三者が金融機関に代わって報告を提出する場合、管轄当局に通知する必要があります。

7. 集約報告（第7条）
第三者プロバイダーは、承認されている場合、影響を受ける複数のエンティティに対して1つのレポートを提出できます。

8. サイバー脅威通知（第8条）
エンティティは、別のテンプレート（附属書III）を使用して、重大なサイバー脅威を報告する必要があります。