Artikel 16 Einrichtung einer einheitlichen Meldeplattform · Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR) (CRA)
(1) Für die Zwecke der Meldungen gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze1 und 2 und zur Vereinfachung der Meldepflichten der Hersteller richtet die ENISA eine einheitliche Meldeplattform ein. Der laufende Betrieb dieser einheitlichen Meldeplattform wird von der ENISA gesteuert und aufrechterhalten. Die Architektur der einheitlichen Meldeplattform muss es den Mitgliedstaaten und der ENISA ermöglichen, ihre eigenen Endpunkte für die elektronische Meldung einzurichten.
(2) Nach Erhalt einer Meldung leitet das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, die Meldung über die einheitliche Meldeplattform unverzüglich an die als Koordinatoren benannten CSIRT weiter, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde.
(3) Nach Erhalt einer Meldung über eine aktiv ausgenutzte Schwachstelle in einem Produkt mit digitalen Elementen oder über einen schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit eines Produkts mit digitalen Elementen auswirkt, stellen die als Koordinatoren benannten CSIRTs den Marktüberwachungsbehörden ihres jeweiligen Mitgliedstaats die gemeldeten Informationen zur Verfügung, die diese benötigen, damit sie ihren Verpflichtungen gemäß dieser Verordnung nachkommen können.
(4) Die ENISA ergreift geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, um die Risiken für die Sicherheit der einheitlichen Meldeplattform und der über die einheitliche Meldeplattform übermittelten oder verbreiteten Informationen zu bewältigen. Sie meldet dem CSIRTs-Netzwerk und der Kommission unverzüglich jeden Sicherheitsvorfall, der die einheitliche Meldeplattform betrifft.
(5) Die ENISA stellt in Zusammenarbeit mit dem CSIRTs-Netzwerk Spezifikationen für die technischen, operativen und organisatorischen Maßnahmen für die Einrichtung, die Pflege und den sicheren Betrieb der einheitlichen Meldeplattform gemäß Absatz 1bereit und setzt sie um, einschließlich zumindest der Sicherheitsvorkehrungen im Zusammenhang mit der Einrichtung, dem Betrieb und der Wartung der einheitlichen Meldeplattform sowie der von den als Koordinatoren auf nationaler Ebene benannten CSIRTs und der ENISA auf Unionsebene eingerichteten Endpunkte für die elektronische Meldung, einschließlich Verfahrensaspekten, um sicherzustellen, dass Informationen über diese Schwachstellen im Einklang mit strengen Sicherheitsprotokollen und nach dem Grundsatz Kenntnis nur, wenn nötig weitergegeben werden, wenn für eine gemeldete Schwachstelle keine Korrektur- oder Risikominderungsmaßnahmen verfügbar sind.
(6) Wurde ein CSIRT, das als Koordinator benannt wurde, im Rahmen eines koordinierten Verfahrens zur Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 auf eine aktiv ausgenutzte Schwachstelle aufmerksam gemacht, so kann das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung der betreffenden Meldung über die einheitliche Meldeplattform aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit um einen Zeitraum aufschieben, der nicht länger als unbedingt erforderlich ist, bis die beteiligten Parteien der koordinierten Offenlegung von Schwachstellen ihre Zustimmung zur Offenlegung erteilt haben. Diese Anforderung hindert die Hersteller nicht daran, eine solche Schwachstelle freiwillig nach dem in diesem Artikel festgelegten Verfahren zu melden.