Articolo 17

1. L’ENISA può trasmettere alla rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), istituita a norma dell’articolo 16 della direttiva (UE) 2022/2555, le informazioni notificate a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento se tali informazioni sono pertinenti per la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala a livello operativo. Al fine di determinare tale pertinenza, l’ENISA può prendere in considerazione le analisi tecniche effettuate dalla rete di CSIRT, se disponibili.

2. Qualora sia necessario sensibilizzare il pubblico per prevenire o attenuare un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali o per gestire un incidente in corso, o qualora la divulgazione dell’incidente sia altrimenti nell’interesse pubblico, il CSIRT designato come coordinatore dello Stato membro pertinente può, previa consultazione del fabbricante interessato e, se del caso, in cooperazione con l’ENISA, informare il pubblico in merito all’incidente o chiedere al fabbricante di farlo.

3. L’ENISA, sulla base delle notifiche ricevute a norma dell’articolo 14, paragrafi 1 e 3, e dell’articolo 15, paragrafi 1 e 2, del presente regolamento elabora, ogni 24 mesi, una relazione tecnica sulle tendenze emergenti in materia di rischi di cibersicurezza nei prodotti con elementi digitali e la presenta al gruppo di cooperazione istituito dall’articolo 14 della direttiva (UE) 2022/2555. La prima relazione di questo tipo è presentata entro 24 mesi dalla data di applicazione degli obblighi stabiliti all’articolo 14, paragrafi 1 e 3. L’ENISA integra le informazioni pertinenti tratte dalle sue relazioni tecniche nella sua relazione sullo stato della cibersicurezza nell’Unione, presentata a norma dell’articolo 18 della direttiva (UE) 2022/2555.

4. La sola notifica in conformità dell’articolo 14, paragrafi 1 e 3, o dell’articolo 15, paragrafi 1 e 2, non sottopone la persona fisica o giuridica notificante a una maggiore responsabilità.

5. Dopo la messa a disposizione di un aggiornamento di sicurezza o l’adozione di un’altra forma di misure correttive o di attenuazione, l’ENISA, d’intesa con il fabbricante del prodotto con elementi digitali interessato, aggiunge la vulnerabilità notificata a norma dell’articolo 14, paragrafo 1, o dell’articolo 15, paragrafo 1, del presente regolamento alla banca dati europea delle vulnerabilità istituita a norma dell’articolo 12 della direttiva (UE) 2022/2555.

6. I CSIRT designati come coordinatori prestano assistenza tecnica in relazione agli obblighi di segnalazione a norma dell’articolo 14 ai fabbricanti e in particolare ai fabbricanti che si qualificano come microimprese o piccole o medie imprese.