Artikel 16

1. Ten behoeve van de meldingen bedoeld in artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, en om de rapportageverplichtingen van fabrikanten te vereenvoudigen, richt Enisa een centraal meldingsplatform op. De dagelijkse werkzaamheden van dat centrale meldingsplatform worden beheerd en uitgevoerd door Enisa. De architectuur van het centrale meldingsplatform stelt de lidstaten en Enisa in staat hun eigen elektronische endpoints voor melding op te zetten.

2. Na ontvangst van een melding verspreidt het als coördinator aangewezen CSIRT die de melding als eerste ontvangt, de melding onverwijld via het centrale meldingsplatform onder de CSIRT’s die zijn aangewezen als coördinatoren op het grondgebied waarvan de fabrikant heeft aangegeven dat het product met digitale elementen beschikbaar is gesteld.

In uitzonderlijke omstandigheden, en met name op verzoek van de fabrikant en in het licht van het gevoeligheidsniveau van de gemelde informatie zoals aangegeven door de fabrikant krachtens artikel 14, lid 2, punt a), van deze verordening, kan de verspreiding van de melding op basis van gegronde cyberbeveiligingsgerelateerde redenen worden uitgesteld gedurende een periode die niet langer dan strikt noodzakelijk is, ook wanneer een kwetsbaarheid onderworpen is aan een procedure voor gecoördineerde bekendmaking van kwetsbaarheden als bedoeld in artikel 12, lid 1, van Richtlijn (EU) 2022/2555. Wanneer een CSIRT besluit een melding achter te houden, stelt het CSIRT Enisa onmiddellijk in kennis van het besluit en verstrekt het zowel een motivering voor het achterhouden van de melding als een indicatie van wanneer het de melding zal verspreiden overeenkomstig de in dit lid vastgestelde verspreidingsprocedure. Enisa kan het CSIRT ondersteunen bij de toepassing van cyberbeveiligingsgerelateerde redenen met betrekking tot het uitstellen van de verspreiding van de melding.

In zeer uitzonderlijke omstandigheden, wanneer de fabrikant in de in artikel 14, lid 2, punt b), bedoelde melding aangeeft:

• a) dat de gemelde kwetsbaarheid actief wordt uitgebuit door een kwaadwillige actor en, volgens de beschikbare informatie, wordt uitgebuit in geen enkele andere lidstaat dan die van het als coördinator aangewezen CSIRT waaraan de fabrikant de kwetsbaarheid heeft gemeld;
• b) dat elke onmiddellijke verdere verspreiding van de gemelde kwetsbaarheid waarschijnlijk zou leiden tot de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van die lidstaat, of
• c) dat de gemelde kwetsbaarheid een dreigend hoog cyberbeveiligingsrisico vormt als gevolg van de verdere verspreiding;

zullen uitsluitend de informatie dat de fabrikant een melding heeft gedaan, de algemene informatie over het product, de informatie over de algemene aard van de uitbuiting en de informatie dat er beveiligingsgerelateerde redenen zijn aangevoerd, tegelijkertijd aan Enisa ter beschikking worden gesteld totdat de volledige melding wordt verspreid onder de betrokken CSIRT’s en Enisa. Indien Enisa op basis van die informatie van oordeel is dat er een systeemrisico bestaat dat gevolgen heeft voor de veiligheid op de interne markt, beveelt Enisa het ontvangende CSIRT aan de volledige melding onder de andere als coördinatoren aangewezen CSIRT’s en Enisa zelf te verspreiden.

3. Na ontvangst van een melding van een actief uitgebuite kwetsbaarheid in een product met digitale elementen of van een ernstig incident dat gevolgen heeft voor de beveiliging van een product met digitale elementen, verstrekken de als coördinatoren aangewezen CSIRT’s de markttoezichtautoriteiten van hun respectieve lidstaten de gemelde informatie die de markttoezichtautoriteiten nodig hebben om hun verplichtingen uit hoofde van deze verordening na te komen.

4. Enisa neemt passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van het centrale meldingsplatform en de informatie die via het centrale meldingsplatform wordt ingediend of verspreid, te beheren. Zij doet zonder onnodige vertraging melding aan het CSIRT-netwerk en aan de Commissie van elk beveiligingsincident dat gevolgen heeft voor het centrale meldingsplatform.

5. Enisa verstrekt en voert, in samenwerking met het CSIRT-netwerk, specificaties uit voor de technische, operationele en organisatorische maatregelen met betrekking tot de oprichting, het onderhoud en de veilige werking van het in lid 1 bedoelde centrale meldingsplatform, waaronder ten minste de beveiligingsregelingen in verband met de oprichting, de werking en het onderhoud van het centrale meldingsplatform, alsook de elektronische endpoints voor melding die zijn opgezet door de CSIRT’s die zijn aangewezen als coördinatoren op nationaal niveau en door Enisa op Unieniveau, met inbegrip van procedurele aspecten om ervoor te zorgen dat, wanneer voor een gemelde kwetsbaarheid geen corrigerende of risicobeperkende maatregelen beschikbaar zijn, informatie over die kwetsbaarheid wordt gedeeld in overeenstemming met strikte beveiligingsprotocollen en alleen voor zover dat noodzakelijk is.

6. Wanneer een als coördinator aangewezen CSIRT op de hoogte is gebracht van een actief uitgebuite kwetsbaarheid in het kader van een procedure voor gecoördineerde bekendmaking van kwetsbaarheden als bedoeld in artikel 12, lid 1, van Richtlijn (EU) 2022/2555, kan het als coördinator aangewezen CSIRT dat de melding als eerste ontvangt, de verspreiding van de desbetreffende melding via het centrale meldingsplatform op basis van gegronde cyberbeveiligingsgerelateerde redenen uitstellen gedurende een periode die niet langer dan strikt noodzakelijk is en totdat de bij de gecoördineerde bekendmaking van kwetsbaarheden betrokken partijen hun toestemming voor bekendmaking hebben gegeven. Dat vereiste belet fabrikanten niet om op vrijwillige basis een dergelijke kwetsbaarheid in overeenstemming met de procedure van dit artikel te melden.