Artikel 16 Inrättande av en gemensam rapporteringsplattform

1. För de anmälningar som avses i artikel 14.1 och 14.3 samt artikel 15.1 och 15.2 och för att förenkla tillverkarnas rapporteringsskyldigheter ska Enisa inrätta en gemensam rapporteringsplattform. Den dagliga driften av den gemensamma rapporteringsplattformen ska skötas och upprätthållas av Enisa. Strukturen för den gemensamma rapporteringsplattformen ska göra det möjligt för medlemsstaterna och Enisa att införa sina egna slutpunkter för elektronisk anmälan.
1. Efter att ha mottagit en anmälan ska den CSIRT-enhet som utsetts till samordnare som först tog emot anmälan, utan dröjsmål, sprida anmälan via den gemensamma rapporteringsplattformen till de CSIRT-enheter som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits.
2. Under exceptionella omständigheter, särskilt på begäran av tillverkaren och mot bakgrund av känslighetsnivån hos den anmälda information som tillverkaren angett i enlighet med artikel 14.2 a i denna förordning, får spridningen av anmälan skjutas upp på grundval av motiverade cybersäkerhetsrelaterade skäl under en tidsperiod som är absolut nödvändig, inbegripet när en sårbarhet är föremål för ett förfarande för samordnad delgivning av information om sårbarheter som avses i artikel 12.1 i direktiv (EU) 2022/2555. Om en CSIRT-enhet beslutar att undanhålla en anmälan ska den omedelbart informera Enisa om beslutet och motivera varför anmälan undanhålls och ange när den kommer att sprida anmälan i enlighet med det spridningsförfarande som fastställs i denna punkt. Enisa får stödja CSIRT-enheten i tillämpningen av cybersäkerhetsrelaterade skäl när det gäller att skjuta upp spridningen av anmälan.
3. Under särskilt exceptionella omständigheter, om tillverkaren i den anmälan som avses i artikel 14.2 b anger att
  1. den anmälda sårbarheten aktivt har utnyttjats av en fientlig aktör och att den, enligt tillgänglig information, inte har utnyttjats i någon annan medlemsstat än den där den CSIRT-enhet som utsetts till samordnare finns till vilken tillverkaren har anmält sårbarheten,
  2. all omedelbar ytterligare spridning av den anmälda sårbarheten sannolikt skulle leda till tillhandahållande av information vars utlämnande skulle strida mot den medlemsstatens väsentliga intressen, eller
  3. den anmälda sårbarheten utgör en överhängande hög cybersäkerhetsrisk till följd av den fortsatta spridningen,
4. ska endast information om att tillverkaren har gjort en anmälan, allmän information om produkten, den allmänna karaktären av utnyttjandet och information om att säkerhetsrelaterade skäl angetts göras tillgänglig samtidigt för Enisa till dess att den fullständiga anmälan sprids till de berörda CSIRT-enheterna och Enisa. Om Enisa på grundval av denna information anser att det finns en systemrisk som påverkar säkerheten på den inre marknaden ska Enisa rekommendera den mottagande CSIRT-enheten att sprida den fullständiga anmälan till de andra CSIRT-enheter som utsetts till samordnare och till Enisa själv.
1. Efter att ha mottagit en anmälan om en aktivt utnyttjad sårbarhet i en produkt med digitala element eller om en allvarlig incident som påverkar säkerheten för en produkt med digitala element ska de CSIRT-enheter som utsetts till samordnare förse marknadskontrollmyndigheterna i sina respektive medlemsstater med den anmälda information som behövs för att marknadskontrollmyndigheterna ska kunna fullgöra sina skyldigheter enligt denna förordning.
1. Enisa ska vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera säkerhetsriskerna för den gemensamma rapporteringsplattformen och den information som lämnas in eller sprids via den gemensamma rapporteringsplattformen. Enisa ska utan onödigt dröjsmål underrätta CSIRT-nätverket och kommissionen om alla säkerhetsincidenter som påverkar den gemensamma rapporteringsplattformen.
1. Enisa ska, i samarbete med CSIRT-nätverket, tillhandahålla och genomföra specifikationer för de tekniska, operativa och organisatoriska åtgärderna för inrättande, underhåll och säker drift av den gemensamma rapporteringsplattform som avses i punkt 1, inbegripet åtminstone säkerhetsarrangemangen i samband med inrättande, drift och underhåll av den gemensamma rapporteringsplattformen, samt de slutpunkter för elektronisk anmälan som inrättats av de CSIRT-enheter som utsetts till samordnare på nationell nivå och Enisa på unionsnivå, inbegripet förfarandemässiga aspekter för att – i fall där det för en anmäld sårbarhet inte finns några korrigerande eller riskreducerande åtgärder – säkerställa att information om denna sårbarhet delas i enlighet med strikta säkerhetsprotokoll och på grundval av behovsenlig behörighet.
1. Om en CSIRT-enhet som utsetts till samordnare har uppmärksammats på en aktivt utnyttjad sårbarhet, som en del av ett förfarande för samordnad delgivning av information om sårbarheter som avses i artikel 12.1 i direktiv (EU) 2022/2555, får den CSIRT-enhet som utsetts till samordnare som först tog emot anmälan skjuta upp spridningen av den berörda anmälan via den gemensamma rapporteringsplattformen på grundval av motiverade cybersäkerhetsrelaterade skäl under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande. Detta krav ska inte hindra tillverkarna från att frivilligt anmäla en sådan sårbarhet i enlighet med förfarandet i denna artikel.

Relevant recitals

Skäl 65 Simultaneous notifications to CSIRT and ENISA

Tillverkarna bör samtidigt, via den gemensamma rapporteringsplattformen, anmäla aktivt utnyttjade sårbarheter i produkter med digitala element samt allvarliga incidenter som påverkar dessa produkters säkerhet till både den enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utsetts till samordnare och till Enisa. Anmälningarna bör lämnas in med hjälp av slutpunkten för elektronisk anmälan hos en CSIRT-enhet som utsetts till samordnare och bör samtidigt vara tillgängliga för Enisa.

Skäl 69 Single reporting platform and biennal report

För att säkerställa att anmälningar snabbt kan spridas till alla relevanta CSIRT-enheter som utsetts till samordnare och för att tillverkare ska kunna lämna in en enda anmälan i varje skede av anmälningsprocessen, bör Enisa inrätta en gemensam rapporteringsplattform med nationella slutpunkter för elektronisk anmälan. Den dagliga driften av den gemensamma rapporteringsplattformen bör skötas och upprätthållas av Enisa. De CSIRT-enheter som utsetts till samordnare bör informera sina respektive marknadskontrollmyndigheter om anmälda sårbarheter eller incidenter. Den gemensamma rapporteringsplattformen bör utformas på ett sådant sätt att den säkerställer konfidentialitet för anmälningar, särskilt när det gäller sårbarheter för vilka en säkerhetsuppdatering ännu inte är tillgänglig. Enisa bör dessutom införa förfaranden för att hantera information på ett säkert och konfidentiellt sätt. På grundval av sin insamlade information bör Enisa vartannat år utarbeta en teknisk rapport om nya trender i fråga om cybersäkerhetsrisker i produkter med digitala element, och lämna den till samarbetsgruppen enligt artikel 14 i direktiv (EU) 2022/2555.

Skäl 70 Delayed dissemination of notifications

Under exceptionella omständigheter, och särskilt på begäran av tillverkaren, bör den CSIRT-enhet som utsetts till samordnare och som först tar emot anmälan kunna besluta att skjuta upp spridningen av den till de andra relevanta CSIRT-enheter som utsetts till samordnare via den gemensamma rapporteringsplattformen, om detta kan motiveras på grundval av cybersäkerhetsrelaterade skäl och under en tidsperiod som är absolut nödvändig. Den CSIRT-enhet som utsetts till samordnare bör omedelbart informera Enisa om beslutet att skjuta upp spridningen och skälen till detta samt när den avser att återuppta spridningen av anmälan. Kommissionen bör genom en delegerad akt utarbeta specifikationer om villkoren för när cybersäkerhetsrelaterade skäl kan tillämpas och bör samarbeta med det CSIRT-nätverk som inrättas enligt artikel 15 i direktiv (EU) 2022/2555, och med Enisa när det gäller att utarbeta utkastet till delegerad akt. Exempel på cybersäkerhetsrelaterade skäl är en pågående samordnad delgivning av information om sårbarheter eller situationer då en tillverkare snabbt förväntas tillhandahålla en riskreducerande åtgärd och då cybersäkerhetsriskerna med en omedelbar spridning via den gemensamma rapporteringsplattformen väger tyngre än fördelarna. På begäran av den CSIRT-enhet som utsetts till samordnare bör Enisa kunna stödja denna CSIRT-enhet i tillämpningen av cybersäkerhetsrelaterade skäl när det gäller att skjuta upp spridningen av anmälan på grundval av den information Enisa har mottagit från den CSIRT-enheten om beslutet att undanhålla en anmälan utifrån dessa cybersäkerhetsrelaterade skäl. Under särskilt exceptionella omständigheter bör Enisa dessutom inte få alla uppgifter som rör en anmälan om en aktivt utnyttjad sårbarhet samtidigt. Detta skulle vara fallet om tillverkaren i sin anmälan anger att den anmälda sårbarheten aktivt har utnyttjats av en fientlig aktör och att den, enligt tillgänglig information, inte har utnyttjats i någon annan medlemsstat än den där CSIRT-enheten har utsetts till samordnare och till vilken tillverkaren har anmält sårbarheten, när all omedelbar fortsatt spridning av den anmälda sårbarheten sannolikt skulle leda till tillhandahållande av information vars utlämnande skulle strida mot den medlemsstatens väsentliga intressen, eller när den anmälda sårbarheten utgör en överhängande hög cybersäkerhetsrisk till följd av den fortsatta spridningen. I sådana fall kommer Enisa endast att få samtidig tillgång till information om att tillverkaren har gjort en anmälan och till generell information om den berörda produkten med digitala element, information om den allmänna karaktären av utnyttjandet och information om att dessa säkerhetsskäl har angetts av tillverkaren och att det fullständiga innehållet i anmälan därför undanhålls. Den fullständiga anmälan bör sedan göras tillgänglig för Enisa och andra relevanta CSIRT-enheter som utsetts till samordnare när den CSIRT-enhet som utsetts till samordnare och som först tar emot anmälan konstaterar att dessa säkerhetsskäl, som utgör ovanligt exceptionella omständigheter enligt denna förordning, inte längre föreligger. Om Enisa, på grundval av den tillgängliga informationen, anser att det finns en systemrisk som påverkar säkerheten på den inre marknaden bör Enisa rekommendera den mottagande CSIRT-enheten att sprida den fullständiga anmälan till de andra CSIRT-enheter som utsetts till samordnare och till Enisa själv.

Skäl 72 National entry points for reporting

För att förenkla rapporteringen av den information som krävs enligt denna förordning, med beaktande av andra kompletterande rapporteringskrav som fastställs i unionsrätten, såsom förordning (EU) 2016/679, Europaparlamentets och rådets förordning (EU) 2022/2554(²⁵)Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1)., Europaparlamentets och rådets direktiv 2002/58/EG(²⁶)Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (EGT L 201, 31.7.2002, s. 37). och direktiv (EU) 2022/2555, samt för att minska den administrativa bördan för entiteterna, uppmuntras medlemsstaterna att överväga att tillhandahålla gemensamma kontaktpunkter på nationell nivå för sådana rapporteringskrav. Användningen av sådana nationella gemensamma kontaktpunkter för att rapportera säkerhetsincidenter enligt förordning (EU) 2016/679 och direktiv 2002/58/EG bör inte påverka tillämpningen av bestämmelserna i förordning (EU) 2016/679 och direktiv 2002/58/EG, särskilt de som rör oberoendet för de myndigheter som avses i dessa. Vid inrättandet av den gemensamma rapporteringsplattform som avses i den här förordningen bör Enisa beakta möjligheten att integrera de nationella slutpunkter för elektronisk anmälan som avses i den här förordningen i nationella gemensamma kontaktpunkter som också kan integrera andra anmälningar som krävs enligt unionsrätten.

Skäl 73 ENISA to consult other reporting platforms

Vid inrättandet av den gemensamma rapporteringsplattform som avses i denna förordning och för att dra nytta av tidigare erfarenheter bör Enisa samråda med unionens andra institutioner eller byråer som förvaltar plattformar eller databaser som omfattas av stränga säkerhetskrav, såsom Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA). Enisa bör också analysera eventuell komplementaritet med den europeiska sårbarhetsdatabas som inrättats enligt artikel 12.2 i direktiv (EU) 2022/2555.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.