Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 15 Frivillig rapportering
Summary What does Article 15 of the CRA regulation say?
This article establishes a voluntary reporting channel that runs alongside the mandatory notification obligations set out in Article 14.
It opens the door for manufacturers and any other natural or legal persons to report vulnerabilities, cyber threats, security incidents, and near misses to the relevant CSIRT designated as coordinator or to ENISA on a purely voluntary basis.
A key protection is built in: submitting a voluntary notification cannot trigger any additional obligations that would not otherwise have applied, encouraging open disclosure without fear of regulatory penalty.
The article also addresses the situation where a third party — rather than the manufacturer — raises an actively exploited vulnerability or severe incident, requiring the receiving CSIRT to inform the manufacturer without undue delay.
Important points:
- Manufacturers and any other natural or legal persons may voluntarily report vulnerabilities, cyber threats, incidents, and near misses to a CSIRT designated as coordinator or ENISA — no obligation to do so arises from this article alone.
- CSIRTs designated as coordinators and ENISA are required to protect the confidentiality of information provided by voluntary reporters, and voluntary reporting must not result in additional obligations being imposed on the notifying party.
- CSIRTs designated as coordinators may prioritise the processing of mandatory notifications over voluntary ones.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Tillverkarna och andra fysiska eller juridiska personer får, på frivillig basis, till en CSIRT-enhet som utsetts till samordnare eller till Enisa anmäla eventuella sårbarheter i en produkt med digitala element samt cyberhot som kan påverka riskprofilen för en produkt med digitala element.
Tillverkarna och andra fysiska eller juridiska personer får, på frivillig basis, till en CSIRT-enhet som utsetts till samordnare eller till Enisa anmäla eventuella incidenter som påverkar säkerheten för produkten med digitala element och tillbud som hade kunnat leda till en sådan incident.
Den CSIRT-enhet som utsetts till samordnare eller Enisa ska behandla de anmälningar som avses i punkterna 1 och 2 i denna artikel i enlighet med det förfarande som anges i artikel 16.
Den CSIRT-enhet som utsetts till samordnare får prioritera behandlingen av obligatoriska anmälningar före behandlingen av frivilliga anmälningar.
Om en annan fysisk eller juridisk person än tillverkaren anmäler en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för en produkt med digitala element i enlighet med punkt 1 eller 2 ska den CSIRT-enhet som utsetts till samordnare, utan onödigt dröjsmål, informera tillverkaren.
Den CSIRT-enhet som utsetts till samordnare och Enisa ska säkerställa konfidentialitet och lämpligt skydd för den information som tillhandahålls av den anmälande fysiska eller juridiska personen. Utan att det påverkar förebyggandet, utredningen, avslöjandet och lagföringen av brott får frivillig rapportering inte leda till att den anmälande fysiska eller juridiska personen åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in anmälan.
Relevant recitals
Skäl 68 Actively exploited vulnerabilities
Aktivt utnyttjade sårbarheter rör fall där en tillverkare fastställer att en säkerhetsöverträdelse som påverkar dess användare eller någon annan fysisk eller juridisk person har orsakats av en fientlig aktör som utnyttjar en brist i en av de produkter med digitala element som tillverkaren tillhandahåller på marknaden. Exempel på sådana sårbarheter skulle kunna vara svagheter i en produkts identifierings- och autentiseringsfunktioner. Sårbarheter som upptäcks utan ont uppsåt för att i god tro testa, utreda, korrigera eller delge information i syfte att stödja systemägarens och dess användares säkerhet eller trygghet bör inte omfattas av kravet på obligatorisk anmälan. Allvarliga incidenter som påverkar säkerheten för produkten med digitala element avser å andra sidan situationer där en cybersäkerhetsincident påverkar tillverkarens utvecklings-, produktions- eller underhållsprocesser på ett sådant sätt att det skulle kunna leda till en ökad cybersäkerhetsrisk för användare eller andra personer. En sådan allvarlig incident skulle kunna vara en situation då en angripare har lyckats införa en skadlig kod i den kanal genom vilken tillverkaren släpper säkerhetsuppdateringar till användarna.
Skäl 71 Sensitivity of information in notification
När tillverkarna anmäler en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för produkten med digitala element bör de ange hur känslig de anser att den anmälda informationen är. Den CSIRT-enhet som utsetts till samordnare och som först tar emot anmälan bör ta hänsyn till denna information när den bedömer huruvida anmälan ger upphov till exceptionella omständigheter som motiverar att spridningen av anmälan till de andra relevanta CSIRT-enheter som utsetts till samordnare på grundval av motiverade cybersäkerhetsrelaterade skäl skjuts upp. Den bör också ta hänsyn till denna information när den bedömer huruvida anmälan om en aktivt utnyttjad sårbarhet ger upphov till ovanligt exceptionella omständigheter som motiverar att den fullständiga anmälan inte samtidigt görs tillgänglig för Enisa. Slutligen bör CSIRT-enheter som utsetts till samordnare kunna beakta denna information när de fastställer lämpliga åtgärder för att begränsa de risker som härrör från sådana sårbarheter och incidenter.
Skäl 74 Voluntary notification of vulnerabilities and incidents
Tillverkare och andra fysiska och juridiska personer bör på frivillig basis, till en CSIRT-enhet som utsetts till samordnare eller Enisa, kunna anmäla eventuella sårbarheter i en produkt med digitala element, cyberhot som skulle kunna påverka riskprofilen för en produkt med digitala element, eventuella incidenter som påverkar säkerheten för produkten med digitala element samt tillbud som skulle ha kunnat leda till en sådan incident.
Skäl 75 Vulnerability researchers
Medlemsstaterna bör sträva efter att i största möjliga utsträckning ta itu med de utmaningar som sårbarhetsforskare ställs inför, inbegripet deras potentiella utsatthet för straffrättsligt ansvar, i enlighet med nationell rätt. Med tanke på att fysiska och juridiska personer som forskar om sårbarheter skulle kunna riskera straff- och civilrättsligt ansvar i vissa medlemsstater uppmuntras medlemsstaterna att anta riktlinjer för icke-lagföring av forskare inom informationssäkerhet och befrielse från civilrättsligt ansvar för deras verksamhet.
Skäl 119 Respect for confidentiality
För att säkerställa ett konstruktivt samarbete präglat av förtroende mellan marknadskontrollmyndigheter på unionsnivå och nationell nivå bör alla parter som är involverade i tillämpningen av denna förordning respektera konfidentialiteten för information och data som de erhåller i utförandet av sina uppgifter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
CSIRT-enhet som utsetts till samordnare
(En. CSIRT designated as coordinator)
Definition
marknadskontrollmyndighet
(En. market surveillance authority)
Definition
aktivt utnyttjad sårbarhet
(En. actively exploited vulnerability)
Definition
tillverkare
(En. manufacturer)
Definition
tillbud
(En. near miss)
Definition
sårbarhet
(En. vulnerability)
Definition
produkt med digitala element
(En. product with digital elements)
Definition
fjärrbehandling av data
(En. remote data processing)
Definition
incident