Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2026, Wirtschaft - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 ( Cyberresilienz-Verordnung) ¹, insbesondere auf Artikel 14 Absatz 9,

in Erwägung nachstehender Gründe:

(1) Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und unter Berücksichtigung des Grades der Sensibilität der gemeldeten Informationen und aus berechtigten Gründen der Cybersicherheit kann das als Koordinator benannte Computer-Notfallteam (Computer Security Incident Response Team - CSIRT), das die Meldung über eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen ursprünglich erhalten hat (im Folgenden "CSIRT, das die Meldung ursprünglich erhalten hat"), beschließen, die Verbreitung der Meldung über die einheitliche Meldeplattform an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde (im Folgenden "die zuständigen CSIRTs"), so lange aufschieben, wie unbedingt erforderlich. Daher müssen die Modalitäten und Bedingungen für die Geltendmachung der genannten Gründe festgelegt werden. Liegen solche Gründe vor, darf das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung an die zuständigen CSIRTs so lange aufschieben, wie unbedingt erforderlich, ist jedoch nicht dazu verpflichtet. Nach Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 sollte das CSIRT, das die Meldung ursprünglich erhalten hat und beschließt, die genannten Gründe geltend zu machen, die Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich über die Entscheidung zum Aufschub, deren Begründung sowie darüber unterrichten, wann es die Meldung weiterzuleiten gedenkt.

(2) Nach Artikel 16 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2024/2847 gelten die in der vorliegenden Verordnung festgelegten Modalitäten und Bedingungen für die Geltendmachung von Cybersicherheitsgründen nicht für den Zugang der ENISa zu den gemeldeten Informationen. Der Zugang der ENISa zu den gemeldeten Informationen darf nur unter besonderen außergewöhnlichen Umständen beschränkt werden - wenn nämlich der Hersteller in seiner Meldung angibt, dass eine der drei in Artikel 16 Absatz 2 Unterabsatz 3 Buchstaben a, b oder c der Verordnung (EU) 2024/2847 genannten Bedingungen erfüllt ist, und auch dann nur in Bezug auf den 72-stündigen Zeitraum für die Meldung von Schwachstellen gemäß Artikel 14 Absatz 2 Buchstabe b der Verordnung (EU) 2024/2847. In solchen Fällen sind die einzigen Informationen, die der ENISa gleichzeitig zur Verfügung zu stellen sind, die Information, dass der Hersteller eine Meldung übermittelt hat, allgemeine Informationen über das Produkt mit digitalen Elementen, Informationen über die allgemeine Art der Ausnutzung sowie die Information, dass sicherheitsrelevante Gründe geltend gemacht wurden.