Terms and conditions for delaying notifications

Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und unter Berücksichtigung des Grades der Sensibilität der gemeldeten Informationen und aus berechtigten Gründen der Cybersicherheit kann das als Koordinator benannte Computer-Notfallteam (Computer Security Incident Response Team – CSIRT), das die Meldung über eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen ursprünglich erhalten hat (im Folgenden „CSIRT, das die Meldung ursprünglich erhalten hat“), beschließen, die Verbreitung der Meldung über die einheitliche Meldeplattform an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde (im Folgenden „die zuständigen CSIRTs“), so lange aufschieben, wie unbedingt erforderlich. Daher müssen die Modalitäten und Bedingungen für die Geltendmachung der genannten Gründe festgelegt werden. Liegen solche Gründe vor, darf das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung an die zuständigen CSIRTs so lange aufschieben, wie unbedingt erforderlich, ist jedoch nicht dazu verpflichtet. Nach Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 sollte das CSIRT, das die Meldung ursprünglich erhalten hat und beschließt, die genannten Gründe geltend zu machen, die Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich über die Entscheidung zum Aufschub, deren Begründung sowie darüber unterrichten, wann es die Meldung weiterzuleiten gedenkt.

Nach Artikel 16 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2024/2847 gelten die in der vorliegenden Verordnung festgelegten Modalitäten und Bedingungen für die Geltendmachung von Cybersicherheitsgründen nicht für den Zugang der ENISA zu den gemeldeten Informationen. Der Zugang der ENISA zu den gemeldeten Informationen darf nur unter besonderen außergewöhnlichen Umständen beschränkt werden — wenn nämlich der Hersteller in seiner Meldung angibt, dass eine der drei in Artikel 16 Absatz 2 Unterabsatz 3 Buchstaben a, b oder c der Verordnung (EU) 2024/2847 genannten Bedingungen erfüllt ist, und auch dann nur in Bezug auf den 72-stündigen Zeitraum für die Meldung von Schwachstellen gemäß Artikel 14 Absatz 2 Buchstabe b der Verordnung (EU) 2024/2847. In solchen Fällen sind die einzigen Informationen, die der ENISA gleichzeitig zur Verfügung zu stellen sind, die Information, dass der Hersteller eine Meldung übermittelt hat, allgemeine Informationen über das Produkt mit digitalen Elementen, Informationen über die allgemeine Art der Ausnutzung sowie die Information, dass sicherheitsrelevante Gründe geltend gemacht wurden.

Der Zugang zu den gemeldeten Informationen ermöglicht es den CSIRTs, sich einen Überblick über das Sicherheitsumfeld in ihrem jeweiligen Hoheitsgebiet zu verschaffen und Abhilfemaßnahmen zu ergreifen, womit das allgemeine Cybersicherheitsniveau in der Union erhöht wird. Daher sollten weitere Beschränkungen für die Verbreitung von Meldungen aufgrund der Art der gemeldeten Informationen nur in Fällen möglich sein, in denen die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken angesichts der Sensibilität der gemeldeten Informationen die Vorteile für die Sicherheit der Union überwiegen und diese Risiken nicht durch Beschränkungen der Bearbeitung und Weitergabe der Meldung durch geeignete Protokolle, die innerhalb des CSIRTs-Netzes verwendet werden, wie das Traffic Light Protocol (TLP) oder das Permissible Actions Protocol (PAP) angemessen gemindert werden können. Dies kann etwa der Fall sein, wenn ein Hersteller dem CSIRT, das die Meldung ursprünglich erhalten hat, meldet, dass er voraussichtlich in Kürze eine Risikominderungsmaßnahme (z. B. einen Patch) bereitstellt. Dies kann auch der Fall sein, wenn das CSIRT, das die Meldung ursprünglich erhalten hat, beschließt, nur Teile der Meldung zu verbreiten, diese Teile aber ausreichend sind, damit die zuständigen CSIRTs angemessene Risikominderungsmaßnahmen ergreifen können. Dies kann im Interesse der Förderung der Zusammenarbeit zwischen Herstellern, CSIRTs und Sicherheitsforschern bei der Ermittlung und Offenlegung von Schwachstellen auch dann der Fall sein, wenn das CSIRT als vertrauenswürdiger Vermittler für ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(²) fungiert. Beschließt das CSIRT in einem solchen Fall, die Verbreitung einer Meldung aufzuschieben, so schiebt es diese gemäß Artikel 16 Absatz 6 der Verordnung (EU) 2024/2847 um einen Zeitraum auf, der nicht länger ist als unbedingt erforderlich, bis die an dem Verfahren zur koordinierten Offenlegung von Schwachstellen beteiligten Parteien ihre Zustimmung zur Offenlegung erteilt haben.