Artikel 15 Freiwillige Meldungen

Bei aktiv ausgenutzten Schwachstellen handelt es sich um Fälle, in denen ein Hersteller feststellt, dass eine Sicherheitsverletzung, die sich auf seine Nutzer oder andere natürliche oder juristische Personen auswirkt, darauf zurückzuführen ist, dass ein böswilliger Akteur einen Fehler in einem der Produkte mit digitalen Elementen nutzt, die vom Hersteller auf dem Markt bereitgestellt werden. Bei solchen Schwachstellen kann es sich beispielsweise um Schwächen in den Identifizierungs- und Authentifizierungsfunktionen eines Produkts handeln. Schwachstellen, die ohne böswillige Absicht bei in gutem Glauben ausgeführten Tests, Untersuchungen, Korrekturen oder Offenlegungen, die auf die Sicherheit und den Schutz des Systemeigners und seiner Nutzer abzielen, festgestellt werden, sollten nicht meldepflichtig sein. Schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, beziehen sich hingegen auf Situationen, in denen ein Cybersicherheitsvorfall die Entwicklungs-, Herstellungs- oder Wartungsprozesse des Herstellers so beeinträchtigt, dass er zu einem erhöhten Cybersicherheitsrisiko für die Nutzer oder andere Personen führen könnte. Zu diesen schwerwiegenden Sicherheitsvorfällen gehört beispielsweise der Fall, dass ein Angreifer erfolgreich ein Schadprogramm in den Freigabekanal eingeschleust hat, über den der Hersteller Sicherheitsaktualisierungen für die Nutzer freigibt.

Wenn Hersteller eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall melden, die bzw. der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, sollten sie angeben, für wie sensibel sie die gemeldeten Informationen halten. Das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, sollte diese Informationen bei der Prüfung, ob die Meldung außergewöhnliche Umstände nahelegt, die eine Aufschiebung der Weiterleitung der Meldung an die anderen einschlägigen als Koordinatoren benannten CSIRTs aus berechtigten Gründen der Cybersicherheit rechtfertigen, berücksichtigen. Zudem sollte es diese Informationen bei der Beurteilung der Frage berücksichtigen, ob die Meldung über eine aktiv ausgenutzte Schwachstelle besonders außergewöhnliche Umstände nahelegt, die es rechtfertigen, dass die vollständige Meldung nicht gleichzeitig der ENISA zur Verfügung gestellt wird. Darüber hinaus sollten die als Koordinatoren benannten CSIRTs in der Lage sein, diese Informationen bei der Festlegung geeigneter Maßnahmen zur Minderung der Risiken, die sich aus den entsprechenden Schwachstellen und Sicherheitsvorfällen ergeben, zu berücksichtigen.

Hersteller und andere natürliche und juristische Personen sollten in der Lage sein, einem als Koordinator benannten CSIRT oder der ENISA auf freiwilliger Basis jedwede in einem Produkt mit digitalen Elementen enthaltene Schwachstelle, Cyberbedrohungen, die sich auf das Risikoprofil eines Produkts mit digitalen Elementen auswirken könnten, jedweden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, sowie Beinahe-Vorfälle, die zu einem solchen Sicherheitsvorfall hätten führen können, zu melden.

Die Mitgliedstaaten sollten im Einklang mit den nationalen Rechtsvorschriften so weit wie möglich die Herausforderungen angehen, mit denen Forscher, die sich mit Schwachstellen befassen, konfrontiert sind, wobei hierzu auch deren potenzielle strafrechtliche Haftung gehört. Da natürliche und juristische Personen, die Schwachstellen erforschen, in einigen Mitgliedstaaten der strafrechtlichen und zivilrechtlichen Haftung unterliegen könnten, werden die Mitgliedstaaten aufgefordert, Leitlinien für die Nichtverfolgung von Forschern im Bereich der Informationssicherheit zu verabschieden und eine Ausnahme von der zivilrechtlichen Haftung für ihre Tätigkeiten zu erlassen.

Zur Gewährleistung einer vertrauensvollen und konstruktiven Zusammenarbeit der Marktüberwachungsbehörden auf Ebene der Union und der Mitgliedstaaten sollten alle an der Anwendung dieser Verordnung beteiligten Parteien die Vertraulichkeit der im Rahmen der Durchführung ihrer Tätigkeiten erlangten Informationen und Daten wahren.