Preamble Recitals

Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; und unter Berücksichtigung des Grades der Sensibilität der gemeldeten Informationen und aus berechtigten Gründen der CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; kann das als Koordinator benannte Computer-Notfallteam (Computer Security Incident Response Team – CSIRT), das die Meldung über eine aktiv ausgenutzte Schwachstelleeine Schwachstelle, zu der verlässliche Nachweise dafür vorliegen, dass ein böswilliger Akteur sie in einem System ohne Zustimmung des Systemeigners ausgenutzt hat; oder einen schwerwiegenden Sicherheitsvorfalleinen Sicherheitsvorfall gemäß der Begriffsbestimmung in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555; mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; ursprünglich erhalten hat (im Folgenden „CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;“), beschließen, die Verbreitung der Meldung über die einheitliche Meldeplattform an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nach Angaben des Herstellerseine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; bereitgestellt wurde (im Folgenden „die zuständigen CSIRTs“), so lange aufschieben, wie unbedingt erforderlich. Daher müssen die Modalitäten und Bedingungen für die Geltendmachung der genannten Gründe festgelegt werden. Liegen solche Gründe vor, darf das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, die Verbreitung an die zuständigen CSIRTs so lange aufschieben, wie unbedingt erforderlich, ist jedoch nicht dazu verpflichtet. Nach Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 sollte das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist; und beschließt, die genannten Gründe geltend zu machen, die Agentur der Europäischen Union für CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; (ENISA) unverzüglich über die Entscheidung zum Aufschub, deren Begründung sowie darüber unterrichten, wann es die Meldung weiterzuleiten gedenkt.

Nach Artikel 16 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2024/2847 gelten die in der vorliegenden Verordnung festgelegten Modalitäten und Bedingungen für die Geltendmachung von Cybersicherheitsgründen nicht für den Zugang der ENISA zu den gemeldeten Informationen. Der Zugang der ENISA zu den gemeldeten Informationen darf nur unter besonderen außergewöhnlichen Umständen beschränkt werden — wenn nämlich der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; in seiner Meldung angibt, dass eine der drei in Artikel 16 Absatz 2 Unterabsatz 3 Buchstaben a, b oder c der Verordnung (EU) 2024/2847 genannten Bedingungen erfüllt ist, und auch dann nur in Bezug auf den 72-stündigen Zeitraum für die Meldung von Schwachstellen gemäß Artikel 14 Absatz 2 Buchstabe b der Verordnung (EU) 2024/2847. In solchen Fällen sind die einzigen Informationen, die der ENISA gleichzeitig zur Verfügung zu stellen sind, die Information, dass der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; eine Meldung übermittelt hat, allgemeine Informationen über das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;, Informationen über die allgemeine Art der Ausnutzung sowie die Information, dass sicherheitsrelevante Gründe geltend gemacht wurden.

Der Zugang zu den gemeldeten Informationen ermöglicht es den CSIRTs, sich einen Überblick über das Sicherheitsumfeld in ihrem jeweiligen Hoheitsgebiet zu verschaffen und Abhilfemaßnahmen zu ergreifen, womit das allgemeine Cybersicherheitsniveau in der Union erhöht wird. Daher sollten weitere Beschränkungen für die Verbreitung von Meldungen aufgrund der Art der gemeldeten Informationen nur in Fällen möglich sein, in denen die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken angesichts der Sensibilität der gemeldeten Informationen die Vorteile für die Sicherheit der Union überwiegen und diese Risiken nicht durch Beschränkungen der Bearbeitung und Weitergabe der Meldung durch geeignete Protokolle, die innerhalb des CSIRTs-Netzes verwendet werden, wie das Traffic Light Protocol (TLP) oder das Permissible Actions Protocol (PAP) angemessen gemindert werden können. Dies kann etwa der Fall sein, wenn ein Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; dem CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, meldet, dass er voraussichtlich in Kürze eine Risikominderungsmaßnahme (z. B. einen Patch) bereitstellt. Dies kann auch der Fall sein, wenn das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, beschließt, nur Teile der Meldung zu verbreiten, diese Teile aber ausreichend sind, damit die zuständigen CSIRTs angemessene Risikominderungsmaßnahmen ergreifen können. Dies kann im Interesse der Förderung der Zusammenarbeit zwischen Herstellern, CSIRTs und Sicherheitsforschern bei der Ermittlung und Offenlegung von Schwachstellen auch dann der Fall sein, wenn das CSIRT als vertrauenswürdiger Vermittler für ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(²)Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj). fungiert. Beschließt das CSIRT in einem solchen Fall, die Verbreitung einer Meldung aufzuschieben, so schiebt es diese gemäß Artikel 16 Absatz 6 der Verordnung (EU) 2024/2847 um einen Zeitraum auf, der nicht länger ist als unbedingt erforderlich, bis die an dem Verfahren zur koordinierten Offenlegung von Schwachstellen beteiligten Parteien ihre Zustimmung zur Offenlegung erteilt haben.

Die in der Meldung enthaltenen Informationen helfen den CSIRTs, ihre Aufgaben im Zusammenhang mit der Risikominderung und der Bewältigung von Sicherheitsvorfällen zu erfüllen. In seltenen Fällen könnten diese Informationen jedoch ausreichen, um die Entwicklung einer Ausnutzungstechnik ohne weitere Recherchen zu ermöglichen, selbst durch Akteure mit begrenzten Fähigkeiten und Ressourcen. Würden solche Informationen böswilligen Akteuren zugänglich, wäre die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; der Union stark beeinträchtigt, da sie leicht ausgenutzt werden können. Dies könnte etwa der Fall sein, wenn sich die anfällige Version einer Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht; nur geringfügig von früheren, nicht anfälligen Versionen unterscheidet. Ist in solchen Fällen das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, der Auffassung, dass die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken durch Beschränkungen der Bearbeitung und Weitergabe nicht angemessen gemindert werden können, kann es beschließen, die Verbreitung aufzuschieben, bis eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist.

Ist ein zuständiges CSIRTbezeichnet das als Koordinator benannte CSIRT, in dessen Hoheitsgebiet das Produkt mit digitalen Elementen nach Angabe des Herstellers bereitgestellt wurde. nicht in der Lage, die gemeldeten Informationen angemessen zu schützen, könnten sensible Informationen böswilligen Akteuren zugänglich werden und im gesamten Binnenmarkt ausgenutzt werden. Daher kann das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, bei ernsten Bedenken in Bezug auf die Fähigkeit eines zuständigen CSIRT, die Vertraulichkeit der gemeldeten Informationen zu gewährleisten, beschließen, die Verbreitung der Meldung nur gegenüber dem betreffenden zuständigen CSIRT aufzuschieben, bis die Bedenken ausgeräumt sind. Dies kann der Fall sein, wenn ein zuständiges CSIRTbezeichnet das als Koordinator benannte CSIRT, in dessen Hoheitsgebiet das Produkt mit digitalen Elementen nach Angabe des Herstellers bereitgestellt wurde. von einem Cybersicherheitsvorfall betroffen ist, der seine Fähigkeit zum sicheren Betrieb beeinträchtigt, oder wenn es Belege oder Informationen dafür gibt, dass in Bezug auf die Fähigkeiten des CSIRT erhebliche Mängel festgestellt wurden, z. B. ein schwerwiegender Mangel an Ressourcen, der seine Fähigkeit zur Wahrnehmung seiner Aufgaben beeinträchtigt, oder die Nutzung veralteter oder anfälliger Softwareden Teil eines elektronischen Informationssystems, der aus Computercode besteht;.

Um zu verhindern, dass sensible Informationen böswilligen Akteuren zugänglich werden, sollte das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, in Fällen, in denen die einheitliche Meldeplattform gemäß Artikel 16 der Verordnung (EU) 2024/2847 durch einen Cybersicherheitsvorfall beeinträchtigt wurde, die Verbreitung über die einheitliche Meldeplattform aufschieben, bis die Plattform die Vertraulichkeit der gemeldeten Informationen wieder gewährleisten kann.

Nach Artikel 16 Absatz 2 Unterabsatz 1 der Verordnung (EU) 2024/2847 muss das CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, die Meldung nicht an andere zuständige CSIRTs weiterleiten, wenn der Herstellereine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich; angibt, dass das Produkt mit digitalen Elementenein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden; nur auf dem Markt des Mitgliedstaats des CSIRT, das die Meldung ursprünglich erhalten hatdas gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der Verordnung (EU) 2024/2847 als Koordinator benannte CSIRT, bei dem die Meldung ursprünglich eingegangen ist;, bereitgestellt wurde.

Die Kommission hat bei der Ausarbeitung des Entwurfs des Delegierten Rechtsakts die einschlägigen Interessenträger konsultiert und deren Ansichten eingeholt; außerdem hat sie die Sachverständigengruppe für die CybersicherheitCybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; von Produkten mit digitalen Elementen konsultiert.

Im Einklang mit Artikel 14 Absatz 9 der Verordnung (EU) 2024/2847 hat die Kommission bei der Ausarbeitung des Entwurfs des Delegierten Rechtsakts eng mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichteten CSIRTs-Netzwerk und der ENISA zusammengearbeitet —