Recital 70 Delayed dissemination of notifications

Unter außergewöhnlichen Umständen und insbesondere auf Ersuchen des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; sollte das als Koordinator benannte CSIRT, bei dem die Meldung zunächst eingeht, beschließen können, die Übermittlung über die einheitliche Meldeplattform an die anderen einschlägigen als Koordinatoren benannten CSIRTs aufzuschieben, wenn dies aus Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und für einen unbedingt erforderlichen Zeitraum gerechtfertigt werden kann. Das als Koordinator benannte CSIRT sollte die ENISA unverzüglich über die Entscheidung zur Aufschiebung und die Gründe dafür sowie darüber informieren, wann es eine Weiterverbreitung beabsichtigt. Die Kommission sollte im Wege eines delegierten Rechtsakts technische Einzelheiten zu den Bedingungen ausarbeiten, unter denen Gründe der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; geltend gemacht werden könnten, und bei der Ausarbeitung des Entwurfs eines delegierten Rechtsakts mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 errichteten CSIRTs-Netzwerk und der ENISA zusammenarbeiten. Bei Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; kann es sich etwa um ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen oder um Situationen handeln, in denen erwartet wird, dass ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in Kürze eine Minderungsmaßnahme ergreift und die mit einer unmittelbaren Weiterleitung über die einheitliche Meldeplattform verbundenen Cybersicherheitsrisiken die mit dieser Weiterleitung einhergehenden Vorteile überwiegen. Auf Ersuchen des als Koordinator benannten CSIRT sollte die ENISA in der Lage sein, das CSIRT bei der Geltendmachung von Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; im Zusammenhang mit der Aufschiebung der Weiterleitung der Meldung auf der Grundlage der Informationen zu unterstützen, die die ENISA von diesem CSIRT in Bezug auf die Entscheidung erhalten hat, eine Meldung aus diesen cybersicherheitsbezogenen Gründen zurückzuhalten. Darüber hinaus sollte die ENISA unter besonders außergewöhnlichen Umständen nicht alle Einzelheiten einer Meldung über eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; gleichzeitig erhalten. Dies wäre der Fall, wenn der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in seiner Meldung angibt, dass die gemeldete Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; von einem böswilligen Akteur aktiv ausgenutzt wurde und dass sie nach den verfügbaren Informationen in keinem anderen Mitgliedstaat als dem des als Koordinator benannten CSIRT, dem der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; gemeldet hat, ausgenutzt wurde, wenn eine unverzügliche Weiterverbreitung der Meldung über die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; voraussichtlich zu einer Zuleitung von Informationen führen würde, deren Offenlegung den wesentlichen Interessen dieses Mitgliedstaats zuwiderliefe, oder wenn die gemeldete Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion eines Produkts mit digitalen Elementen, die bei einer Cyberbedrohung ausgenutzt werden kann; aufgrund der Weiterverbreitung ein unmittelbares hohes Cybersicherheitsrisikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; darstellen würde. In solchen Fällen erhält die ENISA nur gleichzeitigen Zugang zu der Information, dass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Meldung getätigt hat, zu allgemeinen Informationen über das betreffende Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, zu den Informationen über die allgemeine Art der Ausnutzung und zu Informationen darüber, dass diese Sicherheitsgründe vom Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; geltend gemacht wurden und der vollständige Inhalt der Meldung daher zurückgehalten wird. Die vollständige Meldung sollte der ENISA und anderen einschlägigen als Koordinatoren benannten CSIRTs dann zur Verfügung gestellt werden, wenn das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, feststellt, dass diese Sicherheitsgründe, die besonders außergewöhnliche Umstände im Sinne dieser Verordnung widerspiegeln, nicht mehr bestehen. Ist die ENISA auf der Grundlage der verfügbaren Informationen der Auffassung, dass ein Systemrisiko für die Sicherheit des Binnenmarkts besteht, sollte sie dem CSIRT, bei dem die Meldung eingegangen ist, empfehlen, die vollständige Meldung an die anderen als Koordinatoren benannten CSIRTs und an die ENISA selbst weiterzuleiten.