Artikel 15

1. Fabrikanten en andere natuurlijke of rechtspersonen kunnen op vrijwillige basis van elke kwetsbaarheid in een product met digitale elementen alsook van cyberdreigingen die van invloed kunnen zijn op het risicoprofiel van een product met digitale elementen, melding doen aan een als coördinator aangewezen CSIRT of aan Enisa.

2. Fabrikanten en andere natuurlijke of rechtspersonen kunnen op vrijwillige basis van elk incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen en van bijna-incidenten die tot een dergelijk incident hadden kunnen leiden, melding doen aan een als coördinator aangewezen CSIRT of aan Enisa.

3. Het als coördinator aangewezen CSIRT of Enisa verwerkt de in de leden 1 en 2 van dit artikel bedoelde meldingen volgens de in artikel 16 vastgestelde procedure.

Het als coördinator aangewezen CSIRT kan voorrang geven aan de verwerking van verplichte meldingen boven vrijwillige meldingen.

4. Wanneer een andere natuurlijke of rechtspersoon dan de fabrikant melding doet van een actief uitgebuite kwetsbaarheid of een ernstig incident dat gevolgen heeft voor de beveiliging van een product met digitale elementen overeenkomstig lid 1 of lid 2, stelt het als coördinator aangewezen CSIRT de fabrikant daarvan zonder onnodige vertraging op de hoogte.

5. De als coördinatoren aangewezen CSIRT’s en Enisa waarborgen de vertrouwelijkheid en passende bescherming van de door de meldende natuurlijke of rechtspersoon verstrekte informatie. Onverminderd de voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten, mag vrijwillige melding er niet toe leiden dat een meldende natuurlijke of rechtspersoon bijkomende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij geen melding had gedaan.