Artikel 16 Einrichtung einer einheitlichen Meldeplattform

Summary What does Article 16 of the CRA regulation say?

This article establishes the infrastructure that underpins the mandatory reporting obligations set out in Article 14 and the voluntary reporting provisions in Article 15.

It creates a centralised single reporting platform, built and operated by ENISA, through which manufacturers submit vulnerability and incident notifications.

The article then governs how those notifications flow onward: the receiving CSIRT designated as coordinator disseminates them to other relevant CSIRTs, and those CSIRTs in turn pass the necessary information to their national market surveillance authorities.

The article also sets out a nuanced regime for delaying that dissemination in exceptional circumstances, where cybersecurity-related grounds — such as an ongoing coordinated vulnerability disclosure process or a risk that wider sharing could itself cause harm — justify withholding the full notification temporarily.

Important points:

ENISA is required to establish, operate, and secure the single reporting platform, and must notify the CSIRTs network and the Commission without undue delay of any security incident affecting it.
CSIRTs designated as coordinators are required to disseminate received notifications to other relevant CSIRTs without delay, but may delay dissemination on justified cybersecurity-related grounds for a period strictly necessary, and must immediately inform ENISA if they decide to withhold a notification.
CSIRTs designated as coordinators are required to share notified information with their national market surveillance authorities to enable those authorities to fulfil their obligations under this Regulation.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Für die Zwecke der Meldungen gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze1 und 2 und zur Vereinfachung der Meldepflichten der Hersteller richtet die ENISA eine einheitliche Meldeplattform ein. Der laufende Betrieb dieser einheitlichen Meldeplattform wird von der ENISA gesteuert und aufrechterhalten. Die Architektur der einheitlichen Meldeplattform muss es den Mitgliedstaaten und der ENISA ermöglichen, ihre eigenen Endpunkte für die elektronische Meldung einzurichten.
1. Nach Erhalt einer Meldung leitet das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, die Meldung über die einheitliche Meldeplattform unverzüglich an die als Koordinatoren benannten CSIRT weiter, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde.
2. Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und angesichts des vom Hersteller gemäß Artikel 14 Absatz 2 Buchstabe a der vorliegenden Verordnung angegebenen Grades der Sensibilität der gemeldeten Informationen kann die Verbreitung der Meldung aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit so lange, wie unbedingt erforderlich, hinausgeschoben werden, auch wenn eine Schwachstelle einem koordinierten Verfahren zur Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 unterliegt. Beschließt ein CSIRT, eine Meldung zurückzuhalten, so unterrichtet es die ENISA unverzüglich über die Entscheidung und legt sowohl eine Begründung für die Zurückhaltung der Meldung als auch eine Angabe dazu vor, wann es die Meldung gemäß dem in diesem Absatz festgelegten Verfahren verbreiten wird. Die ENISA kann das CSIRT bei der Anwendung von Cybersicherheitsgründen im Zusammenhang mit der Verzögerung der Verbreitung der Meldung unterstützen.
3. Unter besonderen außergewöhnlichen Umständen, wenn der Hersteller in der Mitteilung gemäß Artikel 14 Absatz 2 Buchstabe b Folgendes angibt:
  1. dass die gemeldete Schwachstelle von einem böswilligen Akteur aktiv ausgenutzt wurde und den verfügbaren Informationen zufolge in keinem anderen Mitgliedstaat als dem der als Koordinator benannten CSIRT, der der Hersteller die Schwachstelle gemeldet hat, ausgenutzt wurde;
  2. dass eine sofortige weitere Verbreitung der gemeldeten Schwachstelle wahrscheinlich zur Bereitstellung von Informationen führen würde, deren Offenlegung den wesentlichen Interessen des betreffenden Mitgliedstaats zuwiderlaufen würde; oder
  3. dass die gemeldete Schwachstelle ein unmittelbares hohes Cybersicherheitsrisiko darstellt, das sich aus der weiteren Verbreitung ergibt,
4. werden nur die Informationen darüber, dass der Hersteller eine Meldung vorgenommen hat, die allgemeinen Informationen über das Produkt, die Informationen über die allgemeine Art der Ausnutzung und die Informationen, dass Sicherheitsgründe geltend gemacht wurden, gleichzeitig der ENISA zur Verfügung gestellt, bis die vollständige Meldung an die betreffenden CSIRTs und die ENISA weitergeleitet wird. Ist die ENISA auf der Grundlage dieser Informationen der Auffassung, dass ein Systemrisiko für die Sicherheit des Binnenmarkts besteht, empfiehlt sie dem CSIRT, bei dem die Meldung eingegangen ist, die vollständige Meldung an die anderen als Koordinatoren benannten CSIRTs und an die ENISA selbst weiterzuleiten.
1. Nach Erhalt einer Meldung über eine aktiv ausgenutzte Schwachstelle in einem Produkt mit digitalen Elementen oder über einen schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit eines Produkts mit digitalen Elementen auswirkt, stellen die als Koordinatoren benannten CSIRTs den Marktüberwachungsbehörden ihres jeweiligen Mitgliedstaats die gemeldeten Informationen zur Verfügung, die diese benötigen, damit sie ihren Verpflichtungen gemäß dieser Verordnung nachkommen können.
1. Die ENISA ergreift geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, um die Risiken für die Sicherheit der einheitlichen Meldeplattform und der über die einheitliche Meldeplattform übermittelten oder verbreiteten Informationen zu bewältigen. Sie meldet dem CSIRTs-Netzwerk und der Kommission unverzüglich jeden Sicherheitsvorfall, der die einheitliche Meldeplattform betrifft.
1. Die ENISA stellt in Zusammenarbeit mit dem CSIRTs-Netzwerk Spezifikationen für die technischen, operativen und organisatorischen Maßnahmen für die Einrichtung, die Pflege und den sicheren Betrieb der einheitlichen Meldeplattform gemäß Absatz 1bereit und setzt sie um, einschließlich zumindest der Sicherheitsvorkehrungen im Zusammenhang mit der Einrichtung, dem Betrieb und der Wartung der einheitlichen Meldeplattform sowie der von den als Koordinatoren auf nationaler Ebene benannten CSIRTs und der ENISA auf Unionsebene eingerichteten Endpunkte für die elektronische Meldung, einschließlich Verfahrensaspekten, um sicherzustellen, dass Informationen über diese Schwachstellen im Einklang mit strengen Sicherheitsprotokollen und nach dem Grundsatz „Kenntnis nur, wenn nötig“ weitergegeben werden, wenn für eine gemeldete Schwachstelle keine Korrektur- oder Risikominderungsmaßnahmen verfügbar sind.
1. Wurde ein CSIRT, das als Koordinator benannt wurde, im Rahmen eines koordinierten Verfahrens zur Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 auf eine aktiv ausgenutzte Schwachstelle aufmerksam gemacht, so kann das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung der betreffenden Meldung über die einheitliche Meldeplattform aus berechtigten Gründen im Zusammenhang mit der Cybersicherheit um einen Zeitraum aufschieben, der nicht länger als unbedingt erforderlich ist, bis die beteiligten Parteien der koordinierten Offenlegung von Schwachstellen ihre Zustimmung zur Offenlegung erteilt haben. Diese Anforderung hindert die Hersteller nicht daran, eine solche Schwachstelle freiwillig nach dem in diesem Artikel festgelegten Verfahren zu melden.

Relevant recitals

Erwägungsgrund 65 Simultaneous notifications to CSIRT and ENISA

Aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen sowie schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit dieser Produkte auswirken, sollten die Hersteller über die einheitliche Meldeplattform gleichzeitig sowohl dem als Koordinator benannten Computer Security Incident Response Team (CSIRT) als auch der ENISA melden. Die Meldungen sollten über den Endpunkt für die elektronische Meldung eines als Koordinator benannten CSIRT übermittelt werden und gleichzeitig der ENISA zugänglich sein.

Erwägungsgrund 69 Single reporting platform and biennal report

Damit Meldungen rasch an alle einschlägigen als Koordinatoren benannten CSIRTs weitergeleitet werden können und die Hersteller in jeder Phase des Meldeverfahrens die Möglichkeit einer Einzelnotifizierung haben, sollte die ENISA eine einheitliche Meldeplattform mit nationalen Endpunkten für die elektronische Meldung einrichten. Der laufende Betrieb der einheitlichen Meldeplattform sollte von der ENISA gesteuert und aufrechterhalten werden. Die als Koordinatoren benannten CSIRTs sollten ihre jeweiligen Marktüberwachungsbehörden über gemeldete Schwachstellen oder Sicherheitsvorfälle unterrichten. Die einheitliche Meldeplattform sollte so gestaltet sein, dass die Vertraulichkeit der Meldungen gewahrt bleibt, wobei dies insbesondere für Schwachstellen gilt, für die noch keine Sicherheitsaktualisierung verfügbar ist. Darüber hinaus sollte die ENISA Verfahrensweisen für den sicheren und vertraulichen Umgang mit Informationen festlegen. Auf der Grundlage der von ihr erfassten Informationen sollte die ENISA alle zwei Jahre einen technischen Bericht über sich abzeichnende Trends in Bezug auf Cybersicherheitsrisiken bei Produkten mit digitalen Elementen erstellen und ihn der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe vorlegen.

Erwägungsgrund 70 Delayed dissemination of notifications

Unter außergewöhnlichen Umständen und insbesondere auf Ersuchen des Herstellers sollte das als Koordinator benannte CSIRT, bei dem die Meldung zunächst eingeht, beschließen können, die Übermittlung über die einheitliche Meldeplattform an die anderen einschlägigen als Koordinatoren benannten CSIRTs aufzuschieben, wenn dies aus Gründen der Cybersicherheit und für einen unbedingt erforderlichen Zeitraum gerechtfertigt werden kann. Das als Koordinator benannte CSIRT sollte die ENISA unverzüglich über die Entscheidung zur Aufschiebung und die Gründe dafür sowie darüber informieren, wann es eine Weiterverbreitung beabsichtigt. Die Kommission sollte im Wege eines delegierten Rechtsakts technische Einzelheiten zu den Bedingungen ausarbeiten, unter denen Gründe der Cybersicherheit geltend gemacht werden könnten, und bei der Ausarbeitung des Entwurfs eines delegierten Rechtsakts mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 errichteten CSIRTs-Netzwerk und der ENISA zusammenarbeiten. Bei Gründen der Cybersicherheit kann es sich etwa um ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen oder um Situationen handeln, in denen erwartet wird, dass ein Hersteller in Kürze eine Minderungsmaßnahme ergreift und die mit einer unmittelbaren Weiterleitung über die einheitliche Meldeplattform verbundenen Cybersicherheitsrisiken die mit dieser Weiterleitung einhergehenden Vorteile überwiegen. Auf Ersuchen des als Koordinator benannten CSIRT sollte die ENISA in der Lage sein, das CSIRT bei der Geltendmachung von Gründen der Cybersicherheit im Zusammenhang mit der Aufschiebung der Weiterleitung der Meldung auf der Grundlage der Informationen zu unterstützen, die die ENISA von diesem CSIRT in Bezug auf die Entscheidung erhalten hat, eine Meldung aus diesen cybersicherheitsbezogenen Gründen zurückzuhalten. Darüber hinaus sollte die ENISA unter besonders außergewöhnlichen Umständen nicht alle Einzelheiten einer Meldung über eine aktiv ausgenutzte Schwachstelle gleichzeitig erhalten. Dies wäre der Fall, wenn der Hersteller in seiner Meldung angibt, dass die gemeldete Schwachstelle von einem böswilligen Akteur aktiv ausgenutzt wurde und dass sie nach den verfügbaren Informationen in keinem anderen Mitgliedstaat als dem des als Koordinator benannten CSIRT, dem der Hersteller die Schwachstelle gemeldet hat, ausgenutzt wurde, wenn eine unverzügliche Weiterverbreitung der Meldung über die Schwachstelle voraussichtlich zu einer Zuleitung von Informationen führen würde, deren Offenlegung den wesentlichen Interessen dieses Mitgliedstaats zuwiderliefe, oder wenn die gemeldete Schwachstelle aufgrund der Weiterverbreitung ein unmittelbares hohes Cybersicherheitsrisiko darstellen würde. In solchen Fällen erhält die ENISA nur gleichzeitigen Zugang zu der Information, dass der Hersteller eine Meldung getätigt hat, zu allgemeinen Informationen über das betreffende Produkt mit digitalen Elementen, zu den Informationen über die allgemeine Art der Ausnutzung und zu Informationen darüber, dass diese Sicherheitsgründe vom Hersteller geltend gemacht wurden und der vollständige Inhalt der Meldung daher zurückgehalten wird. Die vollständige Meldung sollte der ENISA und anderen einschlägigen als Koordinatoren benannten CSIRTs dann zur Verfügung gestellt werden, wenn das als Koordinator benannte CSIRT, das die Meldung ursprünglich erhält, feststellt, dass diese Sicherheitsgründe, die besonders außergewöhnliche Umstände im Sinne dieser Verordnung widerspiegeln, nicht mehr bestehen. Ist die ENISA auf der Grundlage der verfügbaren Informationen der Auffassung, dass ein Systemrisiko für die Sicherheit des Binnenmarkts besteht, sollte sie dem CSIRT, bei dem die Meldung eingegangen ist, empfehlen, die vollständige Meldung an die anderen als Koordinatoren benannten CSIRTs und an die ENISA selbst weiterzuleiten.

Erwägungsgrund 72 National entry points for reporting

Um die im Rahmen dieser Verordnung vorgeschriebene Meldung von Informationen unter Berücksichtigung anderer ergänzender Meldepflichten, die im Unionsrecht etwa in der Verordnung (EU) 2016/679, der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(²⁵), der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates(²⁶) und der Richtlinie (EU) 2022/2555 festgelegt sind, zu vereinfachen und den Verwaltungsaufwand für Einrichtungen zu verringern, wird den Mitgliedstaaten nahegelegt, die Einrichtung zentraler Anlaufstellen für solche Meldepflichten auf nationaler Ebene in Erwägung zu ziehen. Die Nutzung solcher nationalen zentralen Anlaufstellen für die Meldung von Sicherheitsvorfällen gemäß der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG sollte die Anwendung der Bestimmungen der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG, insbesondere der Bestimmungen über die Unabhängigkeit der darin genannten Behörden, unberührt lassen. Bei der Einrichtung der in dieser Verordnung genannten einheitlichen Meldeplattform sollte die ENISA der Möglichkeit Rechnung tragen, dass die in dieser Verordnung genannten nationalen Endpunkte für die elektronische Meldung in nationale zentrale Anlaufstellen integriert werden können, die auch andere nach dem Unionsrecht erforderliche Meldungen umfassen können.

Erwägungsgrund 73 ENISA to consult other reporting platforms

Um sich Erfahrungen aus der Vergangenheit zunutze zu machen, sollte die ENISA bei der Einrichtung der in dieser Verordnung genannten einheitlichen Meldeplattform andere Organe oder Agenturen der Union konsultieren, die Plattformen oder Datenbanken verwalten, die strengen Sicherheitsanforderungen unterliegen, wie etwa die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA). Außerdem sollte die ENISA mögliche Komplementaritäten mit der gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichteten europäischen Schwachstellendatenbank prüfen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.