Terms and conditions for delaying notifications

Den enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utsetts till samordnare och som först tog emot anmälan om en aktivt utnyttjad sårbarheten sårbarhet för vilken det finns tillförlitliga bevis på att en fientlig aktör har utnyttjat den i ett system utan tillstånd från systemets ägare. eller en allvarlig incident som påverkar säkerheten för en produkt med digitala elementen incident som inverkar negativt på eller kan inverka negativt på förmågan hos en produkt med digitala element att skydda tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för data eller funktioner. (den CSIRT-enhet som först tog emot anmälan) får under exceptionella omständigheter, särskilt på begäran av tillverkaren och mot bakgrund av den anmälda informationens känslighet, och på grundval av motiverade cybersäkerhetsrelaterade skäl, besluta att under en tidsperiod som är absolut nödvändig skjuta upp spridningen av anmälan via den gemensamma rapporteringsplattformen till de CSIRT-enheter som utsetts till samordnare på det territorium där den tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. som lämnade in anmälan har angett att produkten med digitala element har tillhandahållits (de berörda CSIRT-enheterna). Det är därför nödvändigt att fastställa villkoren för att tillämpa sådana skäl. När sådana skäl är tillämpliga får den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. skjuta upp spridningen till berörda CSIRT-enheter under en tidsperiod som är absolut nödvändig, men måste inte göra det. Enligt artikel 16.2 i förordning (EU) 2024/2847 ska en CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847., om den beslutar att åberopa sådana skäl, omedelbart informera Europeiska unionens cybersäkerhetsbyrå (Enisa) om beslutet om uppskjutande och ange varför den skjuter upp spridningen samt när den kommer att sprida anmälan ytterligare.

I enlighet med artikel 16.2 andra stycket i förordning (EU) 2024/2847 ska villkoren för att tillämpa de cybersäkerhetsrelaterade skäl som anges i den här förordningen inte tillämpas på Enisas tillgång till den anmälda informationen. Enisas tillgång till den anmälda informationen får endast begränsas under särskilt exceptionella omständigheter, t.ex. om tillverkaren i sin anmälan anger att ett av de tre villkor som avses i artikel 16.2 tredje stycket a, b eller c i förordning (EU) 2024/2847 är uppfyllt, och då endast i samband med den anmälan om sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. inom 72 timmar som avses i artikel 14.2 b i förordning (EU) 2024/2847. I sådana fall är den enda information som samtidigt ska göras tillgänglig för Enisa information om att tillverkaren har gjort en anmälan, allmän information om produkten med digitala element, information om den allmänna karaktären av utnyttjandet och information om att säkerhetsrelaterade skäl angetts.

Tillgång till den anmälda informationen gör det möjligt för CSIRT-enheterna att få en överblick över säkerhetsmiljön på sitt territorium och att införa riskreducerande åtgärder, och därigenom öka den övergripande cybersäkerhetsnivån i unionen. Ytterligare begränsningar av spridningen av anmälningar mot bakgrund av den anmälda informationens art bör därför endast vara möjliga i fall där de cybersäkerhetsrisker som följer av ytterligare spridning, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna för unionen, och dessa risker inte kan minskas på lämpligt sätt genom att införa begränsningar av hanteringen och vidaredelningen av anmälan genom lämpliga protokoll som används inom CSIRT-nätverket, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP). Detta kan till exempel vara fallet om en tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. har informerat den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. om att den förväntar sig att inom kort tillhandahålla en riskreducerande åtgärd (t.ex. en programfix). Det kan också vara fallet när den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. beslutar att endast dela delar av en anmälan och dessa delar ändå är tillräckliga för att de berörda CSIRT-enheterna ska kunna säkerställa att de kan införa lämpliga riskreducerande åtgärder. Dessutom, och för att uppmuntra samarbete om identifiering av och information om sårbarheter mellan tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt., CSIRT-enheter och säkerhetsforskare, kan detta också vara fallet när CSIRT-enheten fungerar som betrodd mellanhand för ett pågående förfarande för samordnad delgivning av information om sårbarheter i den mening som avses i artikel 12.1 i Europaparlamentets och rådets direktiv (EU) 2022/2555(²)Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).. I enlighet med artikel 16.6 i förordning (EU) 2024/2847 ska CSIRT-enheten i sådana fall, när den beslutar att skjuta upp spridningen av en anmälan, skjuta upp den under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande.