Source: OJ L, 2026/881, 20.4.2026Current language: DE
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Artikel 3 Modalitäten und Bedingungen für die Geltendmachung von Gründen der Cybersicherheit in Bezug auf die Art der gemeldeten Informationen
Summary What does Article 3 of the Terms and conditions for delaying notifications say?
Article 3 sets out the substantive cybersecurity grounds under which the CSIRT initially receiving a notification may delay passing that notification on to the relevant CSIRTs in other Member States.
It builds directly on Article 1 of this Regulation, which establishes the overall purpose of specifying when such delays are permissible under Regulation (EU) 2024/2847.
The core threshold is a two-part test: the cybersecurity risks of dissemination must outweigh its security benefits given the sensitivity of the information, and those risks must not be manageable through information-handling protocols such as TLP or PAP.
Only where that threshold is met can one of four specific triggering conditions then justify a delay — ranging from an imminent manufacturer fix, to exploitation risk, to partial information sharing being sufficient, to an ongoing coordinated vulnerability disclosure process.
Important points:
- The CSIRT initially receiving the notification is the body empowered to decide on a delay, but the delay is strictly time-limited to what is necessary and is subject to a mandatory overarching test before any of the four conditions can apply.
- In all four scenarios, the delay is temporary — dissemination to relevant CSIRTs must occur once a risk mitigation measure becomes available, the CVD process concludes, or the 72-hour window lapses without a fix being delivered.
- Where the vulnerability is part of a coordinated vulnerability disclosure process and the receiving CSIRT is acting as trusted intermediary, dissemination is additionally conditional on consent from the parties involved in that process.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Das CSIRT, das die Meldung ursprünglich erhalten hat, kann beschließen, die Verbreitung von Meldungen oder Teilen davon an die zuständigen CSIRTs so lange aufzuschieben, wie unbedingt erforderlich, wenn angesichts der Sensibilität der gemeldeten Informationen die aus der Verbreitung ergebenden Cybersicherheitsrisiken gegenüber den Vorteilen in Bezug auf die Sicherheit überwiegen und diese Risiken nicht durch Beschränkungen der Bearbeitung oder Weitergabe der Meldung durch geeignete Protokolle wie das Traffic Light Protocol (TLP) oder das Permissible Actions Protocol (PAP) gemindert werden können und wenn mindestens eine der folgenden Bedingungen erfüllt ist:
Der Hersteller hat dem CSIRT, das die Meldung ursprünglich erhalten hat, mitgeteilt, dass voraussichtlich innerhalb von 72 Stunden eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar gemacht wird; wird innerhalb dieses Zeitrahmens keine wirksame Risikominderungsmaßnahme verfügbar gemacht, so leitet das CSIRT, das die Meldung ursprünglich erhalten hat, die Meldung an die zuständigen CSIRTs weiter;
die in der Meldung enthaltenen Informationen werden angesichts der Art der gemeldeten aktiv ausgenutzten Schwachstelle als ausreichend erachtet, um eine Technik zu ihrer Ausnutzung zu entwickeln, insbesondere wenn die Schwachstelle von Akteuren mit begrenzten Fähigkeiten und Ressourcen leicht erkannt und ausgenutzt werden kann; sobald eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist, leitet das CSIRT, das die Meldung ursprünglich erhalten hat, die Meldung an die zuständigen CSIRTs weiter;
das CSIRT, das die Meldung ursprünglich erhalten hat, kann ist den zuständigen CSIRTs ausreichende Informationen zur Verfügung stellen, damit die zuständigen CSIRTs angemessene Risikominderungsmaßnahmen ergreifen können; sobald eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist, leitet das CSIRT, das die Meldung ursprünglich erhalten hat, die Meldung an die zuständigen CSIRTs weiter;
das CSIRT, das die Meldung zu der aktiv ausgenutzten Schwachstelle ursprünglich erhalten hat, wurde im Rahmen einer koordinierten Offenlegung von Schwachstellen, für die dieses CSIRT als vertrauenswürdiger Vermittler gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 fungiert, darauf aufmerksam gemacht; in einem solchen Fall leitet das CSIRT, das die Meldung ursprünglich erhalten hat, die Meldung im Einklang mit Artikel 16 Absatz 6 der Verordnung (EU) 2024/2847 an die zuständigen CSIRTs weiter, wenn ein Aufschub nicht mehr unbedingt erforderlich ist und die an der koordinierten Offenlegung von Schwachstellen beteiligten Parteien ihre Zustimmung zur Offenlegung erteilt haben.
Relevant recitals
Erwägungsgrund 3 Cybersecurity risks outweighing benefits of further dissemination
Der Zugang zu den gemeldeten Informationen ermöglicht es den CSIRTs, sich einen Überblick über das Sicherheitsumfeld in ihrem jeweiligen Hoheitsgebiet zu verschaffen und Abhilfemaßnahmen zu ergreifen, womit das allgemeine Cybersicherheitsniveau in der Union erhöht wird. Daher sollten weitere Beschränkungen für die Verbreitung von Meldungen aufgrund der Art der gemeldeten Informationen nur in Fällen möglich sein, in denen die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken angesichts der Sensibilität der gemeldeten Informationen die Vorteile für die Sicherheit der Union überwiegen und diese Risiken nicht durch Beschränkungen der Bearbeitung und Weitergabe der Meldung durch geeignete Protokolle, die innerhalb des CSIRTs-Netzes verwendet werden, wie das Traffic Light Protocol (TLP) oder das Permissible Actions Protocol (PAP) angemessen gemindert werden können. Dies kann etwa der Fall sein, wenn ein Hersteller dem CSIRT, das die Meldung ursprünglich erhalten hat, meldet, dass er voraussichtlich in Kürze eine Risikominderungsmaßnahme (z. B. einen Patch) bereitstellt. Dies kann auch der Fall sein, wenn das CSIRT, das die Meldung ursprünglich erhalten hat, beschließt, nur Teile der Meldung zu verbreiten, diese Teile aber ausreichend sind, damit die zuständigen CSIRTs angemessene Risikominderungsmaßnahmen ergreifen können. Dies kann im Interesse der Förderung der Zusammenarbeit zwischen Herstellern, CSIRTs und Sicherheitsforschern bei der Ermittlung und Offenlegung von Schwachstellen auch dann der Fall sein, wenn das CSIRT als vertrauenswürdiger Vermittler für ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(2) fungiert. Beschließt das CSIRT in einem solchen Fall, die Verbreitung einer Meldung aufzuschieben, so schiebt es diese gemäß Artikel 16 Absatz 6 der Verordnung (EU) 2024/2847 um einen Zeitraum auf, der nicht länger ist als unbedingt erforderlich, bis die an dem Verfahren zur koordinierten Offenlegung von Schwachstellen beteiligten Parteien ihre Zustimmung zur Offenlegung erteilt haben.
Erwägungsgrund 4 Information enabling creation of an exploitation technique
Die in der Meldung enthaltenen Informationen helfen den CSIRTs, ihre Aufgaben im Zusammenhang mit der Risikominderung und der Bewältigung von Sicherheitsvorfällen zu erfüllen. In seltenen Fällen könnten diese Informationen jedoch ausreichen, um die Entwicklung einer Ausnutzungstechnik ohne weitere Recherchen zu ermöglichen, selbst durch Akteure mit begrenzten Fähigkeiten und Ressourcen. Würden solche Informationen böswilligen Akteuren zugänglich, wäre die Cybersicherheit der Union stark beeinträchtigt, da sie leicht ausgenutzt werden können. Dies könnte etwa der Fall sein, wenn sich die anfällige Version einer Software nur geringfügig von früheren, nicht anfälligen Versionen unterscheidet. Ist in solchen Fällen das CSIRT, das die Meldung ursprünglich erhalten hat, der Auffassung, dass die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken durch Beschränkungen der Bearbeitung und Weitergabe nicht angemessen gemindert werden können, kann es beschließen, die Verbreitung aufzuschieben, bis eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Hersteller
(En. manufacturer)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
aktiv ausgenutzte Schwachstelle
(En. actively exploited vulnerability)
Definition
Produkt mit digitalen Elementen
(En. product with digital elements)
Definition
Software
(En. software)
Definition
Schwachstelle
(En. vulnerability)
Definition
CSIRT, das die Meldung ursprünglich erhalten hat
(En. CSIRT initially receiving the notification)
Footnote 2