Artikel 14

Rapportageverplichtingen van fabrikanten

1. Een fabrikant doet tegelijkertijd aan het overeenkomstig lid 7 van dit artikel als coördinator aangewezen CSIRT en aan Enisa melding van elke actief uitgebuite kwetsbaarheid in het product met digitale elementen waarvan hij kennis krijgt. De fabrikant doet van die actief uitgebuite kwetsbaarheid melding via het op grond van artikel 16 opgerichte centrale meldingsplatform.

2. Ten behoeve van de in lid 1 bedoelde melding dient de fabrikant het volgende in:

  • a) een vroegtijdige waarschuwing over een actief uitgebuite kwetsbaarheid, zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen, met vermelding, in voorkomend geval, van de lidstaten op het grondgebied waarvan de fabrikant ervan op de hoogte is dat zijn product met digitale elementen beschikbaar is gesteld;
  • b) tenzij de relevante informatie reeds is verstrekt, een kwetsbaarheidsmelding, zonder onnodige vertraging en in elk geval binnen 72 uur nadat de fabrikant kennis heeft gekregen van de actief uitgebuite kwetsbaarheid, waarin algemene informatie wordt verstrekt, voor zover beschikbaar, over het desbetreffende product met digitale elementen, de algemene aard van de uitbuiting en van de betroffen kwetsbaarheid, alsook alle genomen corrigerende of risicobeperkende maatregelen, en corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen, en waarin in voorkomend geval ook wordt aangegeven hoe gevoelig de fabrikant de gemelde informatie acht;
  • c) tenzij de relevante informatie reeds is verstrekt, een eindverslag, uiterlijk 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is, waarin ten minste het volgende is opgenomen:
    • i) een beschrijving van de kwetsbaarheid, inclusief de ernst en de gevolgen ervan;
    • ii) indien beschikbaar, informatie over elke kwaadwillige actor die de kwetsbaarheid heeft uitgebuit of die de kwetsbaarheid aan het uitbuiten is;
    • iii) details over de beveiligingsupdate of andere corrigerende maatregelen die beschikbaar zijn gesteld om de kwetsbaarheid te verhelpen.

3. Een fabrikant doet tegelijkertijd aan het overeenkomstig lid 7 van dit artikel als coördinator aangewezen CSIRT en aan Enisa melding van elk ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen waarvan hij kennis krijgt. De fabrikant doet van dat incident melding via het op grond van artikel 16 opgerichte centrale meldingsplatform.

4. Ten behoeve van de in lid 3 bedoelde melding dient de fabrikant het volgende in:

  • a) een vroegtijdige waarschuwing over een ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen, zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen, waarin ten minste wordt vermeld of het incident vermoedelijk door onwettige of kwaadwillige handelingen is veroorzaakt, en waarin, in voorkomend geval, ook de lidstaten worden vermeld op het grondgebied waarvan de fabrikant ervan op de hoogte is dat zijn product met digitale elementen beschikbaar is gesteld;
  • b) tenzij de relevante informatie reeds is verstrekt, een incidentmelding, zonder onnodige vertraging en in elk geval binnen 72 uur nadat de fabrikant kennis heeft gekregen van het incident, waarin algemene informatie wordt verstrekt, voor zover beschikbaar, over de aard van het incident, een eerste beoordeling van het incident, alsook alle genomen corrigerende of risicobeperkende maatregelen, en corrigerende of risicobeperkende maatregelen die gebruikers kunnen nemen, en waarin in voorkomend geval ook wordt aangegeven hoe gevoelig de fabrikant de gemelde informatie acht;
  • c) tenzij de relevante informatie reeds is verstrekt, binnen één maand na de indiening van de incidentmelding uit hoofde van punt b), een eindverslag waarin ten minste het volgende is opgenomen:
    • i) een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan;
    • ii) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    • iii) toegepaste en lopende beperkende maatregelen.

5. Voor de toepassing van lid 3 wordt een incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen als ernstig beschouwd wanneer:

  • a) het negatieve gevolgen heeft of negatieve gevolgen kan hebben voor het vermogen van een product met digitale elementen om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen, of
  • b) het heeft geleid of kan leiden tot de invoering of uitvoering van kwaadwillige code in een product met digitale elementen of in de netwerk- en informatiesystemen van een gebruiker van het product met digitale elementen.

6. Indien nodig kan het als coördinator aangewezen CSIRT dat als eerste de melding ontvangt, fabrikanten verzoeken een tussentijds verslag te verstrekken over relevante updates van de status van de actief uitgebuite kwetsbaarheid of het ernstige incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen.

7. De in de leden 1 en 3 van dit artikel bedoelde meldingen worden ingediend via het in artikel 16 bedoelde centrale meldingsplatform met gebruikmaking van een van de in artikel 16, lid 1, bedoelde elektronische endpoints voor melding. De melding wordt ingediend met gebruikmaking van het elektronische endpoint voor melding van het als coördinator aangewezen CSIRT van de lidstaat waar de fabrikanten hun hoofdvestiging in de Unie hebben, en is tegelijkertijd toegankelijk voor Enisa.

Voor de toepassing van deze verordening wordt een fabrikant geacht zijn hoofdvestiging in de Unie te hebben in de lidstaat waar de besluiten met betrekking tot de cyberbeveiliging van zijn product met digitale elementen hoofdzakelijk worden genomen. Indien niet kan worden bepaald welke lidstaat dat is, wordt de hoofdvestiging geacht zich te bevinden in de lidstaat waar de betrokken fabrikant de vestiging met het grootste aantal werknemers in de Unie heeft.

Indien een fabrikant geen hoofdvestiging in de Unie heeft, dient hij de in de leden 1 en 3 bedoelde meldingen in met gebruikmaking van het elektronische endpoint voor melding van het als coördinator aangewezen CSIRT in de lidstaat die bepaald is op grond van onderstaande volgorde en op basis van de informatie waarover de fabrikant beschikt:

  • a) de lidstaat waar de gemachtigde vertegenwoordiger die namens de fabrikant optreedt voor het grootste aantal producten met digitale elementen van die fabrikant, is gevestigd;
  • b) de lidstaat waar de importeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant in de handel brengt;
  • c) de lidstaat waar de distributeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant op de markt aanbiedt;
  • d) de lidstaat waar het grootste aantal gebruikers van producten met digitale elementen van die fabrikant is gevestigd.

Met betrekking tot de derde alinea, punt d), kan een fabrikant bij hetzelfde als coördinator aangewezen CSIRT waaraan hij de eerste melding heeft gedaan, meldingen indienen in verband met elke volgende actief uitgebuite kwetsbaarheid of ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen.

8. Nadat de fabrikant kennis heeft gekregen van een actief uitgebuite kwetsbaarheid of een ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen, stelt hij de getroffen gebruikers van het product met digitale elementen en indien passend alle gebruikers, op de hoogte van die kwetsbaarheid of van dat incident en, indien nodig, van risicobeperking en corrigerende maatregelen die de gebruikers kunnen nemen om de gevolgen van die kwetsbaarheid of dat incident te beperken, indien passend in een gestructureerd, machineleesbaar formaat dat gemakkelijk automatisch verwerkbaar is. Indien de fabrikant de gebruikers van het product met digitale elementen niet tijdig op de hoogte brengt, kunnen de als coördinatoren aangewezen CSIRT’s dergelijke informatie verstrekken aan de gebruikers wanneer dat evenredig en noodzakelijk wordt geacht om de gevolgen van die kwetsbaarheid of dat incident te voorkomen of te beperken.

9. Uiterlijk op 11 december 2025 stelt de Commissie overeenkomstig artikel 61 van deze verordening gedelegeerde handelingen vast teneinde deze verordening aan te vullen door de voorwaarden te specificeren voor de toepassing van de cyberbeveiligingsgerelateerde redenen voor het uitstellen van de verspreiding van meldingen als bedoeld in artikel 16, lid 2 van deze verordening. De Commissie werkt samen met het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk en Enisa bij het opstellen van de ontwerpen van gedelegeerde handelingen.

10. De Commissie kan door middel van uitvoeringshandelingen het formaat en de procedures van de in dit artikel en in de artikelen 15 en 16 bedoelde meldingen nader specificeren. Die uitvoeringshandelingen worden volgens de in artikel 62, lid 2, bedoelde onderzoeksprocedure vastgesteld. De Commissie werkt samen met het CSIRT-netwerk en Enisa bij het opstellen van die ontwerpuitvoeringshandelingen.