Articolo 15

1. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi vulnerabilità contenuta in un prodotto con elementi digitali nonché le minacce informatiche che potrebbero incidere sul profilo di rischio di un prodotto con elementi digitali.

2. I fabbricanti e altre persone fisiche o giuridiche possono notificare a un CSIRT designato come coordinatore o all’ENISA, su base volontaria, qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto con elementi digitali e qualsiasi quasi incidente che avrebbe potuto tradursi in un simile incidente.

3. Il CSIRT designato come coordinatore o l’ENISA trattano le notifiche di cui ai paragrafi 1 e 2 del presente articolo secondo la procedura di cui all’articolo 16.

Il CSIRT designato come coordinatore può trattare le notifiche obbligatorie in via prioritaria rispetto alle notifiche volontarie.

4. Qualora una persona fisica o giuridica diversa dal fabbricante notifichi una vulnerabilità attivamente sfruttata o un incidente grave che ha un impatto sulla sicurezza di un prodotto con elementi digitali conformemente al paragrafo 1 o 2, il CSIRT designato come coordinatore ne informa senza indebito ritardo il fabbricante.

5. I CSIRT designati come coordinatori e l’ENISA garantiscono la riservatezza e la protezione adeguata delle informazioni fornite da una persona fisica o giuridica notificante. Fatti salvi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, la segnalazione volontaria non ha l’effetto di imporre alla persona fisica o giuridica notificante alcun obbligo aggiuntivo a cui non sarebbe stata sottoposta se non avesse trasmesso la notifica.