Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Artikel 17 Andra bestämmelser avseende rapportering
Summary What does Article 17 of the CRA regulation say?
This article directly follows the notification and reporting obligations established in Articles 14 and 15, and deals with what happens after those notifications are made.
It covers the downstream use of reported vulnerability and incident information across the EU's cybersecurity infrastructure.
The article assigns roles to ENISA and the CSIRTs designated as coordinators in terms of sharing information with wider EU bodies, publishing vulnerability data, producing periodic trend reports, and supporting manufacturers in meeting their reporting obligations.
Importantly, it also provides a liability protection, confirming that the act of notifying does not in itself expose the notifying party to greater legal risk.
Important points:
- ENISA is required to produce a technical report on emerging cybersecurity risk trends in products with digital elements every 24 months, submitted to the Cooperation Group.
- The act of notification under Articles 14 and 15 shall not subject the notifying person or entity to increased liability.
- CSIRTs designated as coordinators are required to provide helpdesk support to manufacturers regarding their reporting obligations under Article 14, with particular attention to microenterprises and small and medium-sized enterprises.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Enisa får lämna information som anmälts enligt artikel 14.1 och 14.3 samt artikel 15.1 och 15.2 i denna förordning till Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som inrättats enligt artikel 16 i direktiv (EU) 2022/2555, om informationen är relevant för den samordnade hanteringen av storskaliga cybersäkerhetsincidenter och -kriser på operativ nivå. För att fastställa sådan relevans får Enisa överväga tekniska analyser som utförs av CSIRT-nätverket, om sådana finns tillgängliga.
Om det är nödvändigt att informera allmänheten för att förebygga eller begränsa en allvarlig incident som påverkar säkerheten för produkten med digitala element eller för att hantera en pågående incident, eller om ett avslöjande av incidenten på annat sätt ligger i allmänhetens intresse, får den CSIRT-enhet som utsetts till samordnare för den berörda medlemsstaten, efter samråd med den berörda tillverkaren och, när så är lämpligt, i samarbete med Enisa, informera allmänheten om incidenten eller kräva att tillverkaren gör detta.
På grundval av de anmälningar som inkommer enligt artikel 14.1 och 14.3 samt artikel 15.1 och 15.2 i denna förordning ska Enisa vartannat år utarbeta en teknisk rapport om nya trender i fråga om cybersäkerhetsrisker i produkter med digitala element, och lämna den till den samarbetsgrupp som inrättats enligt artikel 14 i direktiv (EU) 2022/2555. Den första av dessa rapporter ska lämnas in inom 24 månader från det att de skyldigheter som fastställs i artikel 14.1 och 14.3 i denna förordning börjar tillämpas. Enisa ska inkludera relevant information från sina tekniska rapporter i sin rapport om cybersäkerhetssituationen i unionen enligt artikel 18 i direktiv (EU) 2022/2555.
Själva anmälan i enlighet med artikel 14.1 och 14.3 eller artikel 15.1 och 15.2 ska inte medföra ökat ansvar för den anmälande fysiska eller juridiska personen.
Efter det att en säkerhetsuppdatering eller någon annan form av korrigerande eller riskreducerande åtgärd finns tillgänglig ska Enisa, i samförstånd med tillverkaren av den berörda produkten med digitala element, lägga till den allmänt kända sårbarhet som anmälts enligt artikel 14.1 eller 15.1 i denna förordning i den europeiska sårbarhetsdatabas som inrättats enligt artikel 12.2 i direktiv (EU) 2022/2555.
De CSIRT-enheter som utsetts till samordnare ska tillhandahålla hjälptjänster i samband med rapporteringsskyldigheterna enligt artikel 14 till tillverkare, särskilt tillverkare som kan betecknas som mikroföretag eller små eller medelstora företag.
Relevant recitals
Skäl 69 Single reporting platform and biennal report
För att säkerställa att anmälningar snabbt kan spridas till alla relevanta CSIRT-enheter som utsetts till samordnare och för att tillverkare ska kunna lämna in en enda anmälan i varje skede av anmälningsprocessen, bör Enisa inrätta en gemensam rapporteringsplattform med nationella slutpunkter för elektronisk anmälan. Den dagliga driften av den gemensamma rapporteringsplattformen bör skötas och upprätthållas av Enisa. De CSIRT-enheter som utsetts till samordnare bör informera sina respektive marknadskontrollmyndigheter om anmälda sårbarheter eller incidenter. Den gemensamma rapporteringsplattformen bör utformas på ett sådant sätt att den säkerställer konfidentialitet för anmälningar, särskilt när det gäller sårbarheter för vilka en säkerhetsuppdatering ännu inte är tillgänglig. Enisa bör dessutom införa förfaranden för att hantera information på ett säkert och konfidentiellt sätt. På grundval av sin insamlade information bör Enisa vartannat år utarbeta en teknisk rapport om nya trender i fråga om cybersäkerhetsrisker i produkter med digitala element, och lämna den till samarbetsgruppen enligt artikel 14 i direktiv (EU) 2022/2555.
Skäl 72 National entry points for reporting
För att förenkla rapporteringen av den information som krävs enligt denna förordning, med beaktande av andra kompletterande rapporteringskrav som fastställs i unionsrätten, såsom förordning (EU) 2016/679, Europaparlamentets och rådets förordning (EU) 2022/2554(25), Europaparlamentets och rådets direktiv 2002/58/EG(26) och direktiv (EU) 2022/2555, samt för att minska den administrativa bördan för entiteterna, uppmuntras medlemsstaterna att överväga att tillhandahålla gemensamma kontaktpunkter på nationell nivå för sådana rapporteringskrav. Användningen av sådana nationella gemensamma kontaktpunkter för att rapportera säkerhetsincidenter enligt förordning (EU) 2016/679 och direktiv 2002/58/EG bör inte påverka tillämpningen av bestämmelserna i förordning (EU) 2016/679 och direktiv 2002/58/EG, särskilt de som rör oberoendet för de myndigheter som avses i dessa. Vid inrättandet av den gemensamma rapporteringsplattform som avses i den här förordningen bör Enisa beakta möjligheten att integrera de nationella slutpunkter för elektronisk anmälan som avses i den här förordningen i nationella gemensamma kontaktpunkter som också kan integrera andra anmälningar som krävs enligt unionsrätten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
CSIRT-enhet som utsetts till samordnare
(En. CSIRT designated as coordinator)
Definition
marknadskontrollmyndighet
(En. market surveillance authority)
Definition
tillverkare
(En. manufacturer)
Definition
sårbarhet
(En. vulnerability)
Definition
produkt med digitala element
(En. product with digital elements)
Definition
fjärrbehandling av data
(En. remote data processing)
Definition
incident
Footnote 26
Footnote 25