Preamble Recitals

Unter außergewöhnlichen Umständen und insbesondere auf Antrag des Herstellers und unter Berücksichtigung des Grades der Sensibilität der gemeldeten Informationen und aus berechtigten Gründen der Cybersicherheit kann das als Koordinator benannte Computer-Notfallteam (Computer Security Incident Response Team – CSIRT), das die Meldung über eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen ursprünglich erhalten hat (im Folgenden „CSIRT, das die Meldung ursprünglich erhalten hat“), beschließen, die Verbreitung der Meldung über die einheitliche Meldeplattform an die als Koordinatoren benannten CSIRTs, in deren Hoheitsgebiet das Produkt mit digitalen Elementen nach Angaben des Herstellers bereitgestellt wurde (im Folgenden „die zuständigen CSIRTs“), so lange aufschieben, wie unbedingt erforderlich. Daher müssen die Modalitäten und Bedingungen für die Geltendmachung der genannten Gründe festgelegt werden. Liegen solche Gründe vor, darf das CSIRT, das die Meldung ursprünglich erhalten hat, die Verbreitung an die zuständigen CSIRTs so lange aufschieben, wie unbedingt erforderlich, ist jedoch nicht dazu verpflichtet. Nach Artikel 16 Absatz 2 der Verordnung (EU) 2024/2847 sollte das CSIRT, das die Meldung ursprünglich erhalten hat und beschließt, die genannten Gründe geltend zu machen, die Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich über die Entscheidung zum Aufschub, deren Begründung sowie darüber unterrichten, wann es die Meldung weiterzuleiten gedenkt.

Nach Artikel 16 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2024/2847 gelten die in der vorliegenden Verordnung festgelegten Modalitäten und Bedingungen für die Geltendmachung von Cybersicherheitsgründen nicht für den Zugang der ENISA zu den gemeldeten Informationen. Der Zugang der ENISA zu den gemeldeten Informationen darf nur unter besonderen außergewöhnlichen Umständen beschränkt werden — wenn nämlich der Hersteller in seiner Meldung angibt, dass eine der drei in Artikel 16 Absatz 2 Unterabsatz 3 Buchstaben a, b oder c der Verordnung (EU) 2024/2847 genannten Bedingungen erfüllt ist, und auch dann nur in Bezug auf den 72-stündigen Zeitraum für die Meldung von Schwachstellen gemäß Artikel 14 Absatz 2 Buchstabe b der Verordnung (EU) 2024/2847. In solchen Fällen sind die einzigen Informationen, die der ENISA gleichzeitig zur Verfügung zu stellen sind, die Information, dass der Hersteller eine Meldung übermittelt hat, allgemeine Informationen über das Produkt mit digitalen Elementen, Informationen über die allgemeine Art der Ausnutzung sowie die Information, dass sicherheitsrelevante Gründe geltend gemacht wurden.

Der Zugang zu den gemeldeten Informationen ermöglicht es den CSIRTs, sich einen Überblick über das Sicherheitsumfeld in ihrem jeweiligen Hoheitsgebiet zu verschaffen und Abhilfemaßnahmen zu ergreifen, womit das allgemeine Cybersicherheitsniveau in der Union erhöht wird. Daher sollten weitere Beschränkungen für die Verbreitung von Meldungen aufgrund der Art der gemeldeten Informationen nur in Fällen möglich sein, in denen die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken angesichts der Sensibilität der gemeldeten Informationen die Vorteile für die Sicherheit der Union überwiegen und diese Risiken nicht durch Beschränkungen der Bearbeitung und Weitergabe der Meldung durch geeignete Protokolle, die innerhalb des CSIRTs-Netzes verwendet werden, wie das Traffic Light Protocol (TLP) oder das Permissible Actions Protocol (PAP) angemessen gemindert werden können. Dies kann etwa der Fall sein, wenn ein Hersteller dem CSIRT, das die Meldung ursprünglich erhalten hat, meldet, dass er voraussichtlich in Kürze eine Risikominderungsmaßnahme (z. B. einen Patch) bereitstellt. Dies kann auch der Fall sein, wenn das CSIRT, das die Meldung ursprünglich erhalten hat, beschließt, nur Teile der Meldung zu verbreiten, diese Teile aber ausreichend sind, damit die zuständigen CSIRTs angemessene Risikominderungsmaßnahmen ergreifen können. Dies kann im Interesse der Förderung der Zusammenarbeit zwischen Herstellern, CSIRTs und Sicherheitsforschern bei der Ermittlung und Offenlegung von Schwachstellen auch dann der Fall sein, wenn das CSIRT als vertrauenswürdiger Vermittler für ein laufendes Verfahren zur koordinierten Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(²) fungiert. Beschließt das CSIRT in einem solchen Fall, die Verbreitung einer Meldung aufzuschieben, so schiebt es diese gemäß Artikel 16 Absatz 6 der Verordnung (EU) 2024/2847 um einen Zeitraum auf, der nicht länger ist als unbedingt erforderlich, bis die an dem Verfahren zur koordinierten Offenlegung von Schwachstellen beteiligten Parteien ihre Zustimmung zur Offenlegung erteilt haben.

Die in der Meldung enthaltenen Informationen helfen den CSIRTs, ihre Aufgaben im Zusammenhang mit der Risikominderung und der Bewältigung von Sicherheitsvorfällen zu erfüllen. In seltenen Fällen könnten diese Informationen jedoch ausreichen, um die Entwicklung einer Ausnutzungstechnik ohne weitere Recherchen zu ermöglichen, selbst durch Akteure mit begrenzten Fähigkeiten und Ressourcen. Würden solche Informationen böswilligen Akteuren zugänglich, wäre die Cybersicherheit der Union stark beeinträchtigt, da sie leicht ausgenutzt werden können. Dies könnte etwa der Fall sein, wenn sich die anfällige Version einer Software nur geringfügig von früheren, nicht anfälligen Versionen unterscheidet. Ist in solchen Fällen das CSIRT, das die Meldung ursprünglich erhalten hat, der Auffassung, dass die sich aus der weiteren Verbreitung ergebenden Cybersicherheitsrisiken durch Beschränkungen der Bearbeitung und Weitergabe nicht angemessen gemindert werden können, kann es beschließen, die Verbreitung aufzuschieben, bis eine wirksame Risikominderungsmaßnahme, z. B. eine Sicherheitsaktualisierung oder Orientierungshilfen für die Nutzer, verfügbar ist.

Ist ein zuständiges CSIRT nicht in der Lage, die gemeldeten Informationen angemessen zu schützen, könnten sensible Informationen böswilligen Akteuren zugänglich werden und im gesamten Binnenmarkt ausgenutzt werden. Daher kann das CSIRT, das die Meldung ursprünglich erhalten hat, bei ernsten Bedenken in Bezug auf die Fähigkeit eines zuständigen CSIRT, die Vertraulichkeit der gemeldeten Informationen zu gewährleisten, beschließen, die Verbreitung der Meldung nur gegenüber dem betreffenden zuständigen CSIRT aufzuschieben, bis die Bedenken ausgeräumt sind. Dies kann der Fall sein, wenn ein zuständiges CSIRT von einem Cybersicherheitsvorfall betroffen ist, der seine Fähigkeit zum sicheren Betrieb beeinträchtigt, oder wenn es Belege oder Informationen dafür gibt, dass in Bezug auf die Fähigkeiten des CSIRT erhebliche Mängel festgestellt wurden, z. B. ein schwerwiegender Mangel an Ressourcen, der seine Fähigkeit zur Wahrnehmung seiner Aufgaben beeinträchtigt, oder die Nutzung veralteter oder anfälliger Software.

Um zu verhindern, dass sensible Informationen böswilligen Akteuren zugänglich werden, sollte das CSIRT, das die Meldung ursprünglich erhalten hat, in Fällen, in denen die einheitliche Meldeplattform gemäß Artikel 16 der Verordnung (EU) 2024/2847 durch einen Cybersicherheitsvorfall beeinträchtigt wurde, die Verbreitung über die einheitliche Meldeplattform aufschieben, bis die Plattform die Vertraulichkeit der gemeldeten Informationen wieder gewährleisten kann.

Nach Artikel 16 Absatz 2 Unterabsatz 1 der Verordnung (EU) 2024/2847 muss das CSIRT, das die Meldung ursprünglich erhalten hat, die Meldung nicht an andere zuständige CSIRTs weiterleiten, wenn der Hersteller angibt, dass das Produkt mit digitalen Elementen nur auf dem Markt des Mitgliedstaats des CSIRT, das die Meldung ursprünglich erhalten hat, bereitgestellt wurde.

Die Kommission hat bei der Ausarbeitung des Entwurfs des Delegierten Rechtsakts die einschlägigen Interessenträger konsultiert und deren Ansichten eingeholt; außerdem hat sie die Sachverständigengruppe für die Cybersicherheit von Produkten mit digitalen Elementen konsultiert.

Im Einklang mit Artikel 14 Absatz 9 der Verordnung (EU) 2024/2847 hat die Kommission bei der Ausarbeitung des Entwurfs des Delegierten Rechtsakts eng mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichteten CSIRTs-Netzwerk und der ENISA zusammengearbeitet —