Source: OJ L, 2026/881, 20.4.2026Current language: DE
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Artikel 1 Gegenstand
Summary What does Article 1 of the Terms and conditions for delaying notifications say?
This is the foundational scope article of the Regulation.
It establishes the core purpose: to define the specific terms and conditions under which a CSIRT designated as coordinator — the one that first receives a vulnerability or incident notification — may lawfully delay passing that notification on to other relevant CSIRTs.
This Regulation does not stand alone; it directly implements and gives substance to Article 16(2) of Regulation (EU) 2024/2847, which established the general grounds for such delays but left the detail to be filled in here.
Important points:
- The Regulation governs the CSIRT initially receiving a notification, setting out when it may delay sharing that notification with other coordinator CSIRTs.
- The delay mechanism applies specifically to notifications made under Articles 14 and 15 of Regulation (EU) 2024/2847, concerning products with digital elements.
- This article establishes the subject matter and scope only — the actual conditions justifying a delay are set out in the articles that follow.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
In dieser Verordnung werden die Modalitäten und Bedingungen für die Geltendmachung der in Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 genannten Gründe im Zusammenhang mit der Cybersicherheit festgelegt, aus denen das als Koordinator benannten CSIRT, das eine Meldung gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der genannten Verordnung ursprünglich erhalten hat, die Verbreitung der Meldung an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angabe des Herstellers bereitgestellt wurde, aufschieben kann.
Relevant recitals
Erwägungsgrund 1 Terms and conditions for applying cybersecurity-related grounds
Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und unter Berücksichtigung des Grades der Sensibilität der gemeldeten Informationen und aus berechtigten Gründen der Cybersicherheit kann das als Koordinator benannte Computer-Notfallteam (Computer Security Incident Response Team – CSIRT), das die Meldung über eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen ursprünglich erhalten hat (im Folgenden „CSIRT, das die Meldung ursprünglich erhalten hat“), beschließen, die Verbreitung der Meldung über die einheitliche Meldeplattform an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde (im Folgenden „die zuständigen CSIRTs“), so lange aufschieben, wie unbedingt erforderlich. Daher müssen die Modalitäten und Bedingungen für die Geltendmachung der genannten Gründe festgelegt werden. Liegen solche Gründe vor, darf das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung an die zuständigen CSIRTs so lange aufschieben, wie unbedingt erforderlich, ist jedoch nicht dazu verpflichtet. Nach Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 sollte das CSIRT, das die Meldung ursprünglich erhalten hat und beschließt, die genannten Gründe geltend zu machen, die Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich über die Entscheidung zum Aufschub, deren Begründung sowie darüber unterrichten, wann es die Meldung weiterzuleiten gedenkt.
Erwägungsgrund 4 Information enabling creation of an exploitation technique
Die in der Meldung enthaltenen Informationen helfen den CSIRTs, ihre Aufgaben im Zusammenhang mit der Risikominderung und der Bewältigung von Sicherheitsvorfällen zu erfüllen. In seltenen Fällen könnten diese Informationen jedoch ausreichen, um die Entwicklung einer Ausnutzungstechnik ohne weitere Recherchen zu ermöglichen, selbst durch Akteure mit begrenzten Fähigkeiten und Ressourcen. Würden solche Informationen böswilligen Akteuren zugänglich, wäre die Cybersicherheit der Union stark beeinträchtigt, da sie leicht ausgenutzt werden können. Dies könnte etwa der Fall sein, wenn sich die anfällige Version einer Software nur geringfügig von früheren, nicht anfälligen Versionen unterscheidet. Ist in solchen Fällen das CSIRT, das die Meldung ursprünglich erhalten hat, der Auffassung, dass die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken durch Beschränkungen der Bearbeitung und Weitergabe nicht angemessen gemindert werden können, kann es beschließen, die Verbreitung aufzuschieben, bis eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Hersteller
(En. manufacturer)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
Sicherheitsvorfall
(En. incident)
Definition
aktiv ausgenutzte Schwachstelle
(En. actively exploited vulnerability)
Definition
Produkt mit digitalen Elementen
(En. product with digital elements)
Definition
Software
(En. software)
Definition
Schwachstelle
(En. vulnerability)
Definition
CSIRT, das die Meldung ursprünglich erhalten hat
(En. CSIRT initially receiving the notification)