Source: OJ L, 2026/881, 20.4.2026

Current language: SV

Artikel 4 Villkor för att tillämpa cybersäkerhetsrelaterade skäl med avseende på en specifik CSIRT-enhet

Summary What does Article 4 of the Terms and conditions for delaying notifications say?

This article deals with a more targeted scenario compared to Article 3, which addresses delays in dissemination broadly.

Here, the focus is on situations where the CSIRT initially receiving the notification may withhold sharing notification information with a specific relevant CSIRT, rather than all relevant CSIRTs.

The basis for this targeted delay is concern over that specific CSIRT's ability to maintain the confidentiality of the notified information, either because it has suffered a cybersecurity incident or because its general capabilities are considered inadequate.

The article also sets out the conditions under which dissemination may resume, tying the end of the delay to the relevant CSIRT demonstrating that the confidentiality concern has been resolved.

Important points:

  • The CSIRT initially receiving the notification may delay dissemination to a specific relevant CSIRT if that CSIRT has been hit by a cybersecurity incident or is considered to lack adequate capability to protect the confidentiality of the information.
  • The delay triggered by a cybersecurity incident lasts until the affected CSIRT notifies the CSIRTs Network that its confidentiality capabilities have been restored.
  • Where the delay is based on inadequate capabilities, the relevant CSIRT must provide evidence that it has addressed the identified shortcomings before dissemination resumes.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

  1. Den CSIRT-enhet som först tog emot anmälan får besluta att under en tidsperiod som är absolut nödvändig skjuta upp spridningen av anmälningar eller delar av dem till en specifik berörd CSIRT-enhet i fall där

    1. den berörda CSIRT-enheten har påverkats av en cybersäkerhetsincident som gör att dess förmåga att säkerställa den anmälda informationens konfidentialitet är ifrågasatt,

    2. den har tillräckliga skäl att tro att den berörda CSIRT-enheten inte har tillräcklig kapacitet för att säkerställa den anmälda informationens konfidentialitet.

  2. I de fall som avses i första stycket a får den CSIRT-enhet som först tog emot anmälan skjuta upp spridningen tills den berörda CSIRT-enheten har informerat det CSIRT-nätverk som avses i artikel 15 i direktiv (EU) 2022/2555 om att dess förmåga att säkerställa konfidentialiteten för anmälan har återställts.

  3. I de fall som avses i första stycket b får den CSIRT-enhet som först tog emot anmälan skjuta upp spridningen till den berörda CSIRT-enheten tills den CSIRT-enheten har lämnat bevis för att den har åtgärdat de identifierade bristerna.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod