Recital 71 Sensitivity of information in notification

Wenn Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; oder einen schwerwiegenden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; melden, die bzw. der sich auf die Sicherheit des Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; auswirkt, sollten sie angeben, für wie sensibel sie die gemeldeten Informationen halten. Das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, sollte diese Informationen bei der Prüfung, ob die Meldung außergewöhnliche Umstände nahelegt, die eine Aufschiebung der Weiterleitung der Meldung an die anderen einschlägigen als Koordinatoren benannten CSIRTs aus berechtigten Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; rechtfertigen, berücksichtigen. Zudem sollte es diese Informationen bei der Beurteilung der Frage berücksichtigen, ob die Meldung über eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; besonders außergewöhnliche Umstände nahelegt, die es rechtfertigen, dass die vollständige Meldung nicht gleichzeitig der ENISA zur Verfügung gestellt wird. Darüber hinaus sollten die als Koordinatoren benannten CSIRTs in der Lage sein, diese Informationen bei der Festlegung geeigneter Maßnahmen zur Minderung der Risiken, die sich aus den entsprechenden Schwachstellen und Sicherheitsvorfällen ergeben, zu berücksichtigen.