Preamble Recitals

Den enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utsetts till samordnare och som först tog emot anmälan om en aktivt utnyttjad sårbarheten sårbarhet för vilken det finns tillförlitliga bevis på att en fientlig aktör har utnyttjat den i ett system utan tillstånd från systemets ägare. eller en allvarlig incident som påverkar säkerheten för en produkt med digitala elementen incident som inverkar negativt på eller kan inverka negativt på förmågan hos en produkt med digitala element att skydda tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för data eller funktioner. (den CSIRT-enhet som först tog emot anmälan) får under exceptionella omständigheter, särskilt på begäran av tillverkaren och mot bakgrund av den anmälda informationens känslighet, och på grundval av motiverade cybersäkerhetsrelaterade skäl, besluta att under en tidsperiod som är absolut nödvändig skjuta upp spridningen av anmälan via den gemensamma rapporteringsplattformen till de CSIRT-enheter som utsetts till samordnare på det territorium där den tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. som lämnade in anmälan har angett att produkten med digitala element har tillhandahållits (de berörda CSIRT-enheterna). Det är därför nödvändigt att fastställa villkoren för att tillämpa sådana skäl. När sådana skäl är tillämpliga får den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. skjuta upp spridningen till berörda CSIRT-enheter under en tidsperiod som är absolut nödvändig, men måste inte göra det. Enligt artikel 16.2 i förordning (EU) 2024/2847 ska en CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847., om den beslutar att åberopa sådana skäl, omedelbart informera Europeiska unionens cybersäkerhetsbyrå (Enisa) om beslutet om uppskjutande och ange varför den skjuter upp spridningen samt när den kommer att sprida anmälan ytterligare.

I enlighet med artikel 16.2 andra stycket i förordning (EU) 2024/2847 ska villkoren för att tillämpa de cybersäkerhetsrelaterade skäl som anges i den här förordningen inte tillämpas på Enisas tillgång till den anmälda informationen. Enisas tillgång till den anmälda informationen får endast begränsas under särskilt exceptionella omständigheter, t.ex. om tillverkaren i sin anmälan anger att ett av de tre villkor som avses i artikel 16.2 tredje stycket a, b eller c i förordning (EU) 2024/2847 är uppfyllt, och då endast i samband med den anmälan om sårbarheten svaghet, känslighet eller brist hos en produkt med digitala element som kan utnyttjas genom ett cyberhot. inom 72 timmar som avses i artikel 14.2 b i förordning (EU) 2024/2847. I sådana fall är den enda information som samtidigt ska göras tillgänglig för Enisa information om att tillverkaren har gjort en anmälan, allmän information om produkten med digitala element, information om den allmänna karaktären av utnyttjandet och information om att säkerhetsrelaterade skäl angetts.

Tillgång till den anmälda informationen gör det möjligt för CSIRT-enheterna att få en överblick över säkerhetsmiljön på sitt territorium och att införa riskreducerande åtgärder, och därigenom öka den övergripande cybersäkerhetsnivån i unionen. Ytterligare begränsningar av spridningen av anmälningar mot bakgrund av den anmälda informationens art bör därför endast vara möjliga i fall där de cybersäkerhetsrisker som följer av ytterligare spridning, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna för unionen, och dessa risker inte kan minskas på lämpligt sätt genom att införa begränsningar av hanteringen och vidaredelningen av anmälan genom lämpliga protokoll som används inom CSIRT-nätverket, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP). Detta kan till exempel vara fallet om en tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt. har informerat den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. om att den förväntar sig att inom kort tillhandahålla en riskreducerande åtgärd (t.ex. en programfix). Det kan också vara fallet när den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. beslutar att endast dela delar av en anmälan och dessa delar ändå är tillräckliga för att de berörda CSIRT-enheterna ska kunna säkerställa att de kan införa lämpliga riskreducerande åtgärder. Dessutom, och för att uppmuntra samarbete om identifiering av och information om sårbarheter mellan tillverkareen fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt., CSIRT-enheter och säkerhetsforskare, kan detta också vara fallet när CSIRT-enheten fungerar som betrodd mellanhand för ett pågående förfarande för samordnad delgivning av information om sårbarheter i den mening som avses i artikel 12.1 i Europaparlamentets och rådets direktiv (EU) 2022/2555(²)Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).. I enlighet med artikel 16.6 i förordning (EU) 2024/2847 ska CSIRT-enheten i sådana fall, när den beslutar att skjuta upp spridningen av en anmälan, skjuta upp den under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande.

Informationen i anmälan kommer att hjälpa CSIRT-enheterna att fullgöra sina uppgifter i samband med riskreducering och incidenthantering. I sällsynta fall kan dock sådan information vara tillräcklig för att göra det möjligt att ta fram en metod för utnyttjande utan ytterligare forskning, till och med för aktörer med begränsade färdigheter och resurser. Om fientliga aktörer fick tillgång till informationen skulle unionens cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. påverkas kraftigt, med tanke på hur lätt det är att utnyttja den. Detta skulle till exempel kunna vara fallet om en sårbar version av en programvaraden del av ett elektroniskt informationssystem som utgörs av datorkod. endast marginellt skiljer sig från tidigare, icke-sårbara versioner. Om den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. i sådana fall anser att de cybersäkerhetsrisker som följer av ytterligare spridning inte kan reduceras tillräckligt genom begränsningar av hantering och vidaredelning, kan den besluta att skjuta upp spridningen till dess att en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, finns tillgänglig.

Om en berörd CSIRT-enhetden CSIRT-enhet som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits. inte kan skydda den anmälda informationen tillräckligt kan fientliga aktörer få tillgång till känslig information och utnyttja den på hela den inre marknaden. Om det finns allvarliga farhågor om en berörd CSIRT-enhetsden CSIRT-enhet som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits. förmåga att säkerställa den anmälda informationens konfidentialitet får den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. därför besluta att skjuta upp spridningen av anmälan till just den CSIRT-enheten tills farhågorna har stillats. Detta kan vara fallet i situationer där en berörd CSIRT-enhetden CSIRT-enhet som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits. har drabbats av en cybersäkerhetsincident som påverkar dess förmåga att bedriva sin verksamhet på ett säkert sätt, eller om det finns bevis för eller information om att betydande brister har upptäckts i CSIRT-enhetens kapacitet, såsom allvarliga resursbegränsningar som äventyrar dess förmåga att utföra sina funktioner eller beroende av föråldrad eller sårbar programvaraden del av ett elektroniskt informationssystem som utgörs av datorkod..

Om den gemensamma rapporteringsplattform som inrättats enligt artikel 16 i förordning (EU) 2024/2847 har komprometterats av en cybersäkerhetsincident bör den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847., för att förhindra att fientliga aktörer får tillgång till känslig information, skjuta upp spridningen via den gemensamma rapporteringsplattformen tills plattformens förmåga att säkerställa den anmälda informationens konfidentialitet har återställts.

I enlighet med artikel 16.2 första stycket i förordning (EU) 2024/2847 behöver den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. inte sprida en anmälan till någon annan berörd CSIRT-enhetden CSIRT-enhet som utsetts till samordnare på det territorium där tillverkaren har angett att produkten med digitala element har tillhandahållits. om tillverkaren anger att produkten med digitala element endast tillhandahålls på marknaden i den medlemsstat där den CSIRT-enhet som först tog emot anmälanden CSIRT-enhet som utsetts till samordnare och som först tog emot anmälan i enlighet med artiklarna 14.1, 14.3, 15.1 och 15.2 i förordning (EU) 2024/2847. är belägen.

Kommissionen har samrått med och inhämtat synpunkter från berörda parter vid utarbetandet av utkastet till delegerad akt och har samrått med expertgruppen för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. för produkter med digitala element.

I enlighet med artikel 14.9 i förordning (EU) 2024/2847 har kommissionen samarbetat nära med det CSIRT-nätverk som inrättats enligt artikel 15 i direktiv (EU) 2022/2555 och Enisa vid utarbetandet av utkastet till delegerad akt.