Art. 3 Villkor för att tillämpa cybersäkerhetsrelaterade skäl som härrör från den anmälda informationens art | Terms and conditions for delaying notifications | CRA

Den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. får besluta att under en tidsperiod som är begränsad till vad som är absolut nödvändigt skjuta upp spridningen av anmälningar eller delar av dem till berörda CSIRT-enheter i fall där de cybersäkerhetsrisker som spridningen medför, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna och dessa risker inte kan reduceras genom begränsningar av hantering eller vidaredelning av anmälan genom lämpliga protokoll, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP), och när minst ett av följande villkor är uppfyllt:

Tillverkaren har informerat den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. om att en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, förväntas bli tillgänglig inom 72 timmar. Om en effektiv riskreducerande åtgärd inte görs tillgänglig inom den tidsramen ska den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. sprida anmälan till de berörda CSIRT-enheterna.
Informationen i anmälan anses, mot bakgrund av den anmälda aktivt utnyttjade sårbarhetens art, vara tillräcklig för att ta fram en metod för utnyttjande, särskilt när sårbarheten lätt kan identifieras och utnyttjas av aktörer med begränsade färdigheter och resurser. När en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, väl finns tillgänglig ska den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. sprida anmälan till de berörda CSIRT-enheterna.
Den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. kan med de berörda CSIRT-enheterna dela information som är tillräcklig för att säkerställa att de berörda CSIRT-enheterna kan införa lämpliga riskreducerande åtgärder. När en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, väl finns tillgänglig ska den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. sprida den fullständiga anmälan till de berörda CSIRT-enheterna.
Den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. om den aktivt utnyttjade sårbarheten har uppmärksammats på den som en del av en samordnad delgivning av information om sårbarheter för vilken CSIRT-enheten fungerar som betrodd mellanhand i enlighet med artikel 12.1 i direktiv (EU) 2022/2555. I sådana fall ska den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847., i enlighet med artikel 16.6 i förordning (EU) 2024/2847, sprida anmälan till de berörda CSIRT-enheterna när uppskjutandet inte längre är absolut nödvändigt och de parter som är involverade i den samordnade delgivningen av information om sårbarheter har gett sitt samtycke till utlämnande.