Art. 16 Inrättande av en gemensam rapporteringsplattform | CRA regulation | CRA

1. För de anmälningar som avses i artikel 14.1 och 14.3 samt artikel 15.1 och 15.2 och för att förenkla tillverkarnas rapporteringsskyldigheter ska Enisa inrätta en gemensam rapporteringsplattform. Den dagliga driften av den gemensamma rapporteringsplattformen ska skötas och upprätthållas av Enisa. Strukturen för den gemensamma rapporteringsplattformen ska göra det möjligt för medlemsstaterna och Enisa att införa sina egna slutpunkter för elektronisk anmälan.
1. Efter att ha mottagit en anmälan ska den CSIRT-enhet som utsetts till samordnareen CSIRT-enhet som utsetts till samordnare enligt artikel 12.1 i direktiv (EU) 2022/2555. som först tog emot anmälan, utan dröjsmål, sprida anmälan via den gemensamma rapporteringsplattformen till de CSIRT-enheter som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits.
2. Under exceptionella omständigheter, särskilt på begäran av tillverkaren och mot bakgrund av känslighetsnivån hos den anmälda information som tillverkaren angett i enlighet med artikel 14.2 a i denna förordning, får spridningen av anmälan skjutas upp på grundval av motiverade cybersäkerhetsrelaterade skäl under en tidsperiod som är absolut nödvändig, inbegripet när en sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. är föremål för ett förfarande för samordnad delgivning av information om sårbarheter som avses i artikel 12.1 i direktiv (EU) 2022/2555. Om en CSIRT-enhet beslutar att undanhålla en anmälan ska den omedelbart informera Enisa om beslutet och motivera varför anmälan undanhålls och ange när den kommer att sprida anmälan i enlighet med det spridningsförfarande som fastställs i denna punkt. Enisa får stödja CSIRT-enheten i tillämpningen av cybersäkerhetsrelaterade skäl när det gäller att skjuta upp spridningen av anmälan.
3. Under särskilt exceptionella omständigheter, om tillverkaren i den anmälan som avses i artikel 14.2 b anger att
  1. den anmälda sårbarheten aktivt har utnyttjats av en fientlig aktör och att den, enligt tillgänglig information, inte har utnyttjats i någon annan medlemsstat än den där den CSIRT-enhet som utsetts till samordnareen CSIRT-enhet som utsetts till samordnare enligt artikel 12.1 i direktiv (EU) 2022/2555. finns till vilken tillverkaren har anmält sårbarheten,
  2. all omedelbar ytterligare spridning av den anmälda sårbarheten sannolikt skulle leda till tillhandahållande av information vars utlämnande skulle strida mot den medlemsstatens väsentliga intressen, eller
  3. den anmälda sårbarheten utgör en överhängande hög cybersäkerhetsriskrisk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att incidenten inträffar. till följd av den fortsatta spridningen,
4. ska endast information om att tillverkaren har gjort en anmälan, allmän information om produkten, den allmänna karaktären av utnyttjandet och information om att säkerhetsrelaterade skäl angetts göras tillgänglig samtidigt för Enisa till dess att den fullständiga anmälan sprids till de berörda CSIRT-enheterna och Enisa. Om Enisa på grundval av denna information anser att det finns en systemrisk som påverkar säkerheten på den inre marknaden ska Enisa rekommendera den mottagande CSIRT-enheten att sprida den fullständiga anmälan till de andra CSIRT-enheter som utsetts till samordnare och till Enisa själv.
1. Efter att ha mottagit en anmälan om en aktivt utnyttjad sårbarheten sårbarhet för vilken det finns tillförlitliga bevis på att en fientlig aktör har utnyttjat den i ett system utan tillstånd från systemets ägare. i en produkt med digitala elementprogramvaru- eller hårdvaruprodukt och dess lösningar för fjärrbehandling av data, inbegripet programvaru- eller hårdvarukomponenter som släpps ut på marknaden separat. eller om en allvarlig incident som påverkar säkerheten för en produkt med digitala elementen incident som inverkar negativt på eller kan inverka negativt på förmågan hos en produkt med digitala element att skydda tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för data eller funktioner. ska de CSIRT-enheter som utsetts till samordnare förse marknadskontrollmyndigheterna i sina respektive medlemsstater med den anmälda information som behövs för att marknadskontrollmyndigheterna ska kunna fullgöra sina skyldigheter enligt denna förordning.
1. Enisa ska vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera säkerhetsriskerna för den gemensamma rapporteringsplattformen och den information som lämnas in eller sprids via den gemensamma rapporteringsplattformen. Enisa ska utan onödigt dröjsmål underrätta CSIRT-nätverket och kommissionen om alla säkerhetsincidenter som påverkar den gemensamma rapporteringsplattformen.
1. Enisa ska, i samarbete med CSIRT-nätverket, tillhandahålla och genomföra specifikationer för de tekniska, operativa och organisatoriska åtgärderna för inrättande, underhåll och säker drift av den gemensamma rapporteringsplattform som avses i punkt 1, inbegripet åtminstone säkerhetsarrangemangen i samband med inrättande, drift och underhåll av den gemensamma rapporteringsplattformen, samt de slutpunkter för elektronisk anmälan som inrättats av de CSIRT-enheter som utsetts till samordnare på nationell nivå och Enisa på unionsnivå, inbegripet förfarandemässiga aspekter för att – i fall där det för en anmäld sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. inte finns några korrigerande eller riskreducerande åtgärder – säkerställa att information om denna sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. delas i enlighet med strikta säkerhetsprotokoll och på grundval av behovsenlig behörighet.
1. Om en CSIRT-enhet som utsetts till samordnareen CSIRT-enhet som utsetts till samordnare enligt artikel 12.1 i direktiv (EU) 2022/2555. har uppmärksammats på en aktivt utnyttjad sårbarheten sårbarhet för vilken det finns tillförlitliga bevis på att en fientlig aktör har utnyttjat den i ett system utan tillstånd från systemets ägare., som en del av ett förfarande för samordnad delgivning av information om sårbarheter som avses i artikel 12.1 i direktiv (EU) 2022/2555, får den CSIRT-enhet som utsetts till samordnareen CSIRT-enhet som utsetts till samordnare enligt artikel 12.1 i direktiv (EU) 2022/2555. som först tog emot anmälan skjuta upp spridningen av den berörda anmälan via den gemensamma rapporteringsplattformen på grundval av motiverade cybersäkerhetsrelaterade skäl under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande. Detta krav ska inte hindra tillverkarna från att frivilligt anmäla en sådan sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. i enlighet med förfarandet i denna artikel.