Artikel 17

1. Enisa kan aan het uit hoofde van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte Europese netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) informatie verstrekken waarvan melding is gedaan op grond van artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, van deze verordening, indien die informatie relevant is voor het gecoördineerde beheer van grootschalige incidenten en crises op het gebied van cyberbeveiliging op operationeel niveau. Om die relevantie te bepalen, kan Enisa, indien beschikbaar, technische analyses die door het CSIRT-netwerk worden uitgevoerd, in aanmerking nemen.

2. Indien bewustmaking van het publiek noodzakelijk is om een ernstig incident met gevolgen voor de beveiliging van het product met digitale elementen te voorkomen of te beperken of om een lopend incident af te handelen, of indien de bekendmaking van het incident anderszins in het algemeen belang is, kan het als coördinator aangewezen CSIRT van de betrokken lidstaat, na raadpleging van de betrokken fabrikant en, indien passend, in samenwerking met Enisa, het publiek over het incident informeren of de fabrikant verplichten dat te doen.

3. Enisa stelt, op basis van de op grond van artikel 14, leden 1 en 3, en artikel 15, leden 1 en 2, van deze verordening ontvangen meldingen, om de 24 maanden een technisch verslag op over opkomende trends met betrekking tot cyberbeveiligingsrisico’s in producten met digitale elementen en dient dat in bij de samenwerkingsgroep die is opgericht op grond van artikel 14 van Richtlijn (EU) 2022/2555. Het eerste verslag wordt ingediend binnen 24 maanden nadat de in artikel 14, leden 1 en 3, van deze verordening vastgestelde verplichtingen van toepassing worden. Enisa neemt relevante informatie uit zijn technische verslagen op in zijn verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie op grond van artikel 18 van Richtlijn (EU) 2022/2555.

4. De loutere handeling van melding overeenkomstig artikel 14, leden 1 en 3, of artikel 15, leden 1 en 2, brengt voor de meldende natuurlijke of rechtspersoon geen verhoogde aansprakelijkheid met zich mee.

5. Nadat een beveiligingsupdate of een andere vorm van corrigerende of risicobeperkende maatregel beschikbaar is, voegt Enisa, in overleg met de fabrikant van het product met digitale elementen, de openbaar bekende kwetsbaarheid waarvan op grond van artikel 14, lid 1, of artikel 15, lid 1, van deze verordening melding is gedaan, toe aan de op grond van artikel 12, lid 2, van Richtlijn (EU) 2022/2555 opgerichte Europese kwetsbaarheidsdatabase.

6. De als coördinatoren aangewezen CSIRT’s verlenen helpdeskondersteuning aan fabrikanten met betrekking tot de rapportageverplichtingen op grond van artikel 14, en met name aan fabrikanten die als micro-onderneming of als kleine of middelgrote onderneming kunnen worden aangemerkt.