Source: OJ L, 2026/881, 20.4.2026

Artikel 3 Villkor för att tillämpa cybersäkerhetsrelaterade skäl som härrör från den anmälda informationens art

Summary What does Article 3 of the Terms and conditions for delaying notifications say?

Article 3 sets out the substantive cybersecurity grounds under which the CSIRT initially receiving a notification may delay passing that notification on to the relevant CSIRTs in other Member States.

It builds directly on Article 1 of this Regulation, which establishes the overall purpose of specifying when such delays are permissible under Regulation (EU) 2024/2847.

The core threshold is a two-part test: the cybersecurity risks of dissemination must outweigh its security benefits given the sensitivity of the information, and those risks must not be manageable through information-handling protocols such as TLP or PAP.

Only where that threshold is met can one of four specific triggering conditions then justify a delay — ranging from an imminent manufacturer fix, to exploitation risk, to partial information sharing being sufficient, to an ongoing coordinated vulnerability disclosure process.

Important points:

The CSIRT initially receiving the notification is the body empowered to decide on a delay, but the delay is strictly time-limited to what is necessary and is subject to a mandatory overarching test before any of the four conditions can apply.
In all four scenarios, the delay is temporary — dissemination to relevant CSIRTs must occur once a risk mitigation measure becomes available, the CVD process concludes, or the 72-hour window lapses without a fix being delivered.
Where the vulnerability is part of a coordinated vulnerability disclosure process and the receiving CSIRT is acting as trusted intermediary, dissemination is additionally conditional on consent from the parties involved in that process.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Den CSIRT-enhet som först tog emot anmälan får besluta att under en tidsperiod som är begränsad till vad som är absolut nödvändigt skjuta upp spridningen av anmälningar eller delar av dem till berörda CSIRT-enheter i fall där de cybersäkerhetsrisker som spridningen medför, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna och dessa risker inte kan reduceras genom begränsningar av hantering eller vidaredelning av anmälan genom lämpliga protokoll, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP), och när minst ett av följande villkor är uppfyllt:

Tillverkaren har informerat den CSIRT-enhet som först tog emot anmälan om att en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, förväntas bli tillgänglig inom 72 timmar. Om en effektiv riskreducerande åtgärd inte görs tillgänglig inom den tidsramen ska den CSIRT-enhet som först tog emot anmälan sprida anmälan till de berörda CSIRT-enheterna.
Informationen i anmälan anses, mot bakgrund av den anmälda aktivt utnyttjade sårbarhetens art, vara tillräcklig för att ta fram en metod för utnyttjande, särskilt när sårbarheten lätt kan identifieras och utnyttjas av aktörer med begränsade färdigheter och resurser. När en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, väl finns tillgänglig ska den CSIRT-enhet som först tog emot anmälan sprida anmälan till de berörda CSIRT-enheterna.
Den CSIRT-enhet som först tog emot anmälan kan med de berörda CSIRT-enheterna dela information som är tillräcklig för att säkerställa att de berörda CSIRT-enheterna kan införa lämpliga riskreducerande åtgärder. När en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, väl finns tillgänglig ska den CSIRT-enhet som först tog emot anmälan sprida den fullständiga anmälan till de berörda CSIRT-enheterna.
Den CSIRT-enhet som först tog emot anmälan om den aktivt utnyttjade sårbarheten har uppmärksammats på den som en del av en samordnad delgivning av information om sårbarheter för vilken CSIRT-enheten fungerar som betrodd mellanhand i enlighet med artikel 12.1 i direktiv (EU) 2022/2555. I sådana fall ska den CSIRT-enhet som först tog emot anmälan, i enlighet med artikel 16.6 i förordning (EU) 2024/2847, sprida anmälan till de berörda CSIRT-enheterna när uppskjutandet inte längre är absolut nödvändigt och de parter som är involverade i den samordnade delgivningen av information om sårbarheter har gett sitt samtycke till utlämnande.

Relevant recitals

Skäl 3 Cybersecurity risks outweighing benefits of further dissemination

Tillgång till den anmälda informationen gör det möjligt för CSIRT-enheterna att få en överblick över säkerhetsmiljön på sitt territorium och att införa riskreducerande åtgärder, och därigenom öka den övergripande cybersäkerhetsnivån i unionen. Ytterligare begränsningar av spridningen av anmälningar mot bakgrund av den anmälda informationens art bör därför endast vara möjliga i fall där de cybersäkerhetsrisker som följer av ytterligare spridning, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna för unionen, och dessa risker inte kan minskas på lämpligt sätt genom att införa begränsningar av hanteringen och vidaredelningen av anmälan genom lämpliga protokoll som används inom CSIRT-nätverket, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP). Detta kan till exempel vara fallet om en tillverkare har informerat den CSIRT-enhet som först tog emot anmälan om att den förväntar sig att inom kort tillhandahålla en riskreducerande åtgärd (t.ex. en programfix). Det kan också vara fallet när den CSIRT-enhet som först tog emot anmälan beslutar att endast dela delar av en anmälan och dessa delar ändå är tillräckliga för att de berörda CSIRT-enheterna ska kunna säkerställa att de kan införa lämpliga riskreducerande åtgärder. Dessutom, och för att uppmuntra samarbete om identifiering av och information om sårbarheter mellan tillverkare, CSIRT-enheter och säkerhetsforskare, kan detta också vara fallet när CSIRT-enheten fungerar som betrodd mellanhand för ett pågående förfarande för samordnad delgivning av information om sårbarheter i den mening som avses i artikel 12.1 i Europaparlamentets och rådets direktiv (EU) 2022/2555(²). I enlighet med artikel 16.6 i förordning (EU) 2024/2847 ska CSIRT-enheten i sådana fall, när den beslutar att skjuta upp spridningen av en anmälan, skjuta upp den under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande.

Skäl 4 Information enabling creation of an exploitation technique

Informationen i anmälan kommer att hjälpa CSIRT-enheterna att fullgöra sina uppgifter i samband med riskreducering och incidenthantering. I sällsynta fall kan dock sådan information vara tillräcklig för att göra det möjligt att ta fram en metod för utnyttjande utan ytterligare forskning, till och med för aktörer med begränsade färdigheter och resurser. Om fientliga aktörer fick tillgång till informationen skulle unionens cybersäkerhet påverkas kraftigt, med tanke på hur lätt det är att utnyttja den. Detta skulle till exempel kunna vara fallet om en sårbar version av en programvara endast marginellt skiljer sig från tidigare, icke-sårbara versioner. Om den CSIRT-enhet som först tog emot anmälan i sådana fall anser att de cybersäkerhetsrisker som följer av ytterligare spridning inte kan reduceras tillräckligt genom begränsningar av hantering och vidaredelning, kan den besluta att skjuta upp spridningen till dess att en effektiv riskreducerande åtgärd, såsom en säkerhetsuppdatering eller användarvägledning, finns tillgänglig.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.