Source: OJ L, 2026/881, 20.4.2026Current language: DE
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Artikel 4 Modalitäten und Bedingungen für die Geltendmachung von Gründen im Zusammenhang mit der Cybersicherheit in Bezug auf ein bestimmtes CSIRT
Summary What does Article 4 of the Terms and conditions for delaying notifications say?
This article deals with a more targeted scenario compared to Article 3, which addresses delays in dissemination broadly.
Here, the focus is on situations where the CSIRT initially receiving the notification may withhold sharing notification information with a specific relevant CSIRT, rather than all relevant CSIRTs.
The basis for this targeted delay is concern over that specific CSIRT's ability to maintain the confidentiality of the notified information, either because it has suffered a cybersecurity incident or because its general capabilities are considered inadequate.
The article also sets out the conditions under which dissemination may resume, tying the end of the delay to the relevant CSIRT demonstrating that the confidentiality concern has been resolved.
Important points:
- The CSIRT initially receiving the notification may delay dissemination to a specific relevant CSIRT if that CSIRT has been hit by a cybersecurity incident or is considered to lack adequate capability to protect the confidentiality of the information.
- The delay triggered by a cybersecurity incident lasts until the affected CSIRT notifies the CSIRTs Network that its confidentiality capabilities have been restored.
- Where the delay is based on inadequate capabilities, the relevant CSIRT must provide evidence that it has addressed the identified shortcomings before dissemination resumes.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Das CSIRT, das die Meldung ursprünglich erhalten hat, kann beschließen, die Verbreitung von Meldungen oder von Teilen davon an ein bestimmtes zuständiges CSIRT in den folgenden Fällen so lange aufzuschieben, wie unbedingt erforderlich:
das zuständige CSIRT ist von einem Cybersicherheitsvorfall betroffen, der Zweifel an seiner Fähigkeit zur Gewährleistung der Vertraulichkeit der gemeldeten Informationen aufkommen lässt;
es hat hinreichenden Grund zu der Annahme, dass die Fähigkeiten des zuständigen CSIRT nicht ausreichen, um die Vertraulichkeit der gemeldeten Informationen zu gewährleisten.
In den in Unterabsatz 1 Buchstabe a genannten Fällen kann das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung aufschieben, bis das zuständige CSIRT dem in Artikel 15 der Richtlinie 2022/2555 genannten CSIRTs-Netzwerk mitgeteilt hat, dass es die Vertraulichkeit der Meldungen wieder gewährleisten kann.
In den in Unterabsatz 1 Buchstabe b genannten Fällen kann das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung an das zuständige CSIRT so lange aufschieben, bis das CSIRT nachgewiesen hat, dass es die festgestellten Mängel behoben hat.
Relevant recitals
Erwägungsgrund 5 Serious concerns about confidentiality in relevant CSIRTs
Ist ein zuständiges CSIRT nicht in der Lage, die gemeldeten Informationen angemessen zu schützen, könnten sensible Informationen böswilligen Akteuren zugänglich werden und im gesamten Binnenmarkt ausgenutzt werden. Daher kann das CSIRT, das die Meldung ursprünglich erhalten hat, bei ernsten Bedenken in Bezug auf die Fähigkeit eines zuständigen CSIRT, die Vertraulichkeit der gemeldeten Informationen zu gewährleisten, beschließen, die Verbreitung der Meldung nur gegenüber dem betreffenden zuständigen CSIRT aufzuschieben, bis die Bedenken ausgeräumt sind. Dies kann der Fall sein, wenn ein zuständiges CSIRT von einem Cybersicherheitsvorfall betroffen ist, der seine Fähigkeit zum sicheren Betrieb beeinträchtigt, oder wenn es Belege oder Informationen dafür gibt, dass in Bezug auf die Fähigkeiten des CSIRT erhebliche Mängel festgestellt wurden, z. B. ein schwerwiegender Mangel an Ressourcen, der seine Fähigkeit zur Wahrnehmung seiner Aufgaben beeinträchtigt, oder die Nutzung veralteter oder anfälliger Software.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Hersteller
(En. manufacturer)
Definition
Produkt mit digitalen Elementen
(En. product with digital elements)
Definition
Software
(En. software)
Definition
zuständiges CSIRT
(En. relevant CSIRT)
Definition
CSIRT, das die Meldung ursprünglich erhalten hat
(En. CSIRT initially receiving the notification)