Art. 17 Sonstige Bestimmungen im Zusammenhang mit der Berichterstattung | CRA regulation | CRA

1. Die ENISA kann dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), das durch Artikel 16 der Richtlinie (EU) 2022/2555 eingerichtet wurde, die gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung gemeldeten Informationen, sofern diese Informationen für das koordinierte Management massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene von Bedeutung sind. Für die Zwecke der Bestimmung dieser Bedeutung kann die ENISA gegebenenfalls technische Analysen des CSIRTs-Netzwerks berücksichtigen.
1. Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementeneinen Sicherheitsvorfall, der sich negativ auf die Fähigkeit eines Produkts mit digitalen Elementen auswirkt oder auswirken kann, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Funktionen zu schützen; zu verhindern oder zu mindern oder um einen laufenden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; zu bewältigen, oder liegt die Offenlegung des Sicherheitsvorfallseinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; anderweitig im öffentlichen Interesse, so kann das als Koordinator des betreffenden Mitgliedstaats benannte CSIRT nach Konsultation des betreffenden Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und gegebenenfalls in Zusammenarbeit mit der ENISA die Öffentlichkeit über den Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; informieren oder den Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; auffordern, dies zu tun.
1. Die ENISA erstellt auf der Grundlage der nach Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung eingegangenen Meldungen alle 24 Monate einen technischen Bericht über aufkommende Trends der Cybersicherheitsrisiken bei Produkten mit digitalen Elementen und legt ihn der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingerichteten Kooperationsgruppe vor. Der erste solche Bericht wird innerhalb von 24 Monaten nach Beginn der Geltung der in Artikel 14 Absätze 1 und 3 festgelegten Pflichten vorgelegt. Die ENISA nimmt einschlägige Informationen aus ihren technischen Berichten in ihren Bericht über den Stand der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; in der Union gemäß Artikel 18 der Richtlinie (EU) 2022/2555 auf.
1. Die bloße Meldung gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 begründet keine höhere Haftung der meldenden natürlichen oder juristischen Person.
1. Sobald eine Sicherheitsaktualisierung oder eine andere Form von Korrektur- oder Risikominderungsmaßnahme verfügbar ist, nimmt die ENISA im Einvernehmen mit dem Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; des betreffenden Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; die gemäß Artikel 14 Absatz 1 oder Artikel 15 Absatz 1 der vorliegenden Verordnung gemeldete öffentlich bekannte Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; in die gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichtete europäische Schwachstellendatenbank auf.
1. Die als Koordinatoren benannten CSIRTs bieten Helpdesk-Unterstützung für Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und insbesondere Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich;, die als Kleinstunternehmen, „kleine Unternehmen“ und „mittlere Unternehmen“ Kleinstunternehmen, kleine Unternehmen bzw. mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG; oder als kleine oder mittlere Unternehmen gelten, in Bezug auf die Meldepflichten gemäß Artikel 14.