Artykuł 14

1. Producent jednocześnie zgłasza jakiekolwiek aktywnie wykorzystywane podatności zawarte w produkcie z elementami cyfrowymi, o których się dowiedział, CSIRT-owi wyznaczonemu na koordynatora zgodnie z ust. 7 niniejszego artykułu oraz ENISA. Producent zgłasza aktywnie wykorzystywaną podatność za pośrednictwem pojedynczej platformy sprawozdawczej ustanowionej na podstawie art. 16.

2. Do celów zgłoszenia, o którym mowa w ust. 1, producent przedkłada:

• a) wczesne ostrzeżenie o aktywnie wykorzystywanej podatności, bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od momentu, w którym producent się o niej dowiedział, ze wskazaniem, w stosownych przypadkach, państw członkowskich, o których producent wie, że na ich terytorium został udostępniony jego produkt z elementami cyfrowymi;
• b) o ile odpowiednie informacje nie zostały już przekazane, zgłoszenie podatności, bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od momentu, w którym producent dowiedział się o aktywnie wykorzystywanej podatności, z podaniem ogólnych informacji dostępnych na temat danego produktu z elementami cyfrowymi, ogólnego charakteru wykorzystania i danej podatności, a także wszelkich podjętych środków naprawczych lub łagodzących, a także środków naprawczych lub łagodzących, które mogą podjąć użytkownicy, a także ze wskazaniem, w stosownych przypadkach, w jakim stopniu producent uznaje zgłoszone informacje za szczególnie chronione;
• c) o ile odpowiednie informacje nie zostały już przekazane, sprawozdanie końcowe, nie później niż 14 dni po udostępnieniu środka naprawczego lub łagodzącego, zawierające co najmniej następujące informacje:
  • (i) opis podatności, w tym jej dotkliwości i skutków;
  • (ii) jeżeli są dostępne, informacje dotyczące każdego podmiotu działającego w złym zamiarze, który wykorzystał lub wykorzystuje podatność;
  • (iii) szczegółowe informacje dotyczące aktualizacji zabezpieczeń lub innych środków naprawczych, które zostały udostępnione w celu eliminacji podatności.

3. Producent jednocześnie zgłasza każdy poważny incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi, o którym się dowie, CSIRT-owi wyznaczonemu na koordynatora zgodnie z ust. 7 niniejszego artykułu oraz ENISA. Producent zgłasza taki incydent za pośrednictwem pojedynczej platformy sprawozdawczej ustanowionej na podstawie art. 16.

4. Do celów zgłoszenia, o którym mowa w ust. 3, producent przedkłada:

• a) wczesne ostrzeżenie o poważnym incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi, bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od momentu, w którym producent się o nim dowiedział, obejmujące co najmniej informacje, czy istnieją podejrzenia, że poważny incydent został spowodowany działaniem bezprawnym lub działaniem dokonanym w złym zamiarze, ze wskazaniem również, w stosownych przypadkach, państw członkowskich, o których producent wie, że na ich terytorium udostępniono jego produkt z elementami cyfrowymi;
• b) o ile odpowiednie informacje nie zostały już przekazane, zgłoszenie incydentu, bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od momentu, w którym producent dowiedział się o incydencie, w którym to zgłoszeniu podaje się ogólne informacje, jeżeli są dostępne, na temat rodzaju incydentu, a także wszelkie podjęte środki naprawcze lub łagodzące, a także środki naprawcze lub łagodzące, które mogą podjąć użytkownicy, a także wskazuje, w stosownych przypadkach, w jakim stopniu producent uznaje zgłoszone informacje za szczególnie chronione;
• c) o ile odpowiednie informacje nie zostały już przekazane, sprawozdanie końcowe – w terminie jednego miesiąca od zgłoszenia incydentu zgodnie z lit. b), zawierające co najmniej następujące elementy:
  • (i) szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
  • (ii) rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
  • (iii) zastosowane i bieżące środki ograniczające ryzyko.

5. Do celów ust. 3 incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi uznaje się za poważny, jeżeli:

• a) negatywnie wpływa on lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności wrażliwych lub ważnych danych lub funkcji; lub
• b) prowadził on lub może prowadzić do wprowadzenia lub uruchomienia kodu złośliwego w produkcie z elementami cyfrowymi lub w sieci i systemach informatycznych użytkownika produktu z elementami cyfrowymi.

6. W razie potrzeby CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymał zgłoszenie, może zwrócić się do producentów o przedstawienie sprawozdania okresowego na temat odpowiednich aktualizacji statusu aktywnie wykorzystywanej podatności lub poważnego incydentu mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi.

7. Zgłoszenia, o których mowa w ust. 1 i 3 niniejszego artykułu, przekazuje się za pośrednictwem pojedynczej platformy sprawozdawczej, o której mowa w art. 16, z wykorzystaniem jednego z punktów zgłoszeń elektronicznych, o których mowa w art. 16 ust. 1. Zgłoszenie składa się z wykorzystaniem punktu zgłoszeń elektronicznych CSIRT wyznaczonego na koordynatora tego państwa członkowskiego, w którym producenci mają główną siedzibę w Unii, i jest ono jednocześnie dostępne dla ENISA.

Do celów niniejszego rozporządzenia uznaje się, że producent ma główną siedzibę w Unii w tym państwie członkowskim, w którym głównie podejmowane są decyzje związane z cyberbezpieczeństwem jego produktów z elementami cyfrowymi. Jeżeli nie można ustalić takiego państwa członkowskiego, uznaje się, że główna siedziba znajduje się w państwie członkowskim, w którym dany producent ma siedzibę o największej liczbie pracowników w Unii.

W przypadku gdy producent nie ma głównej siedziby w Unii, dokonuje on zgłoszeń, o których mowa w ust. 1 i 3, z wykorzystaniem punktu zgłoszeń elektronicznych CSIRT wyznaczonego na koordynatora w państwie członkowskim określonym zgodnie z następującą kolejnością i na podstawie informacji dostępnych producentowi:

• a) państwo członkowskie, w którym ma siedzibę upoważniony przedstawiciel działający w imieniu producenta w odniesieniu do największej liczby produktów z elementami cyfrowymi tego producenta;
• b) państwo członkowskie, w którym ma siedzibę importer wprowadzający do obrotu największą liczbę produktów z elementami cyfrowymi tego producenta;
• c) państwo członkowskie, w którym ma siedzibę dystrybutor udostępniający na rynku największą liczbę produktów z elementami cyfrowymi tego producenta;
• d) państwo członkowskie, w którym znajduje się największa liczba użytkowników produktów z elementami cyfrowymi tego producenta.

W odniesieniu do akapitu trzeciego lit. d) producent może przekazywać zgłoszenia dotyczące wszelkich późniejszych aktywnie wykorzystywanych podatności lub poważnego incydentu mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi temu samemu CSIRT-owi wyznaczonemu na koordynatora, któremu uprzednio przekazał zgłoszenie.

8. Po otrzymaniu informacji o wystąpieniu aktywnie wykorzystywanej podatności lub poważnego incydentu mającego wpływ na bezpieczeństwo produktu z elementami cyfrowymi producent informuje użytkowników produktu z elementami cyfrowymi, na których incydent ma wpływ, oraz, w stosownych przypadkach, wszystkich użytkowników o tej podatności lub tym incydencie oraz, w razie potrzeby, o środkach łagodzących oraz wszelkich środkach naprawczych, które użytkownicy mogą wdrożyć w celu złagodzenia skutków tej podatności lub incydentu, w stosownych przypadkach w ustrukturyzowanym i łatwo przetwarzalnym automatycznie formacie nadającym się do odczytu maszynowego. Jeżeli producent nie poinformuje użytkowników produktu z elementami cyfrowymi w odpowiednim czasie, CSIRT-y wyznaczone na koordynatorów, do których dotarło zgłoszenie, mogą przekazać takie informacje użytkownikom, jeżeli zostanie to uznane za proporcjonalne i konieczne do zapobieżenia skutkom tej podatności lub incydentu lub łagodzenia ich skutków.

9. Do dnia 11 grudnia 2025 r. Komisja przyjmuje akty delegowane zgodnie z art. 61 niniejszego rozporządzenia w celu uzupełnienia niniejszego rozporządzenia poprzez określenie warunków zastosowania względów cyberbezpieczeństwa w odniesieniu do opóźniania rozpowszechniania zgłoszeń, o których mowa w art. 16 ust. 2 niniejszego rozporządzenia. Przy przygotowywaniu projektu tych aktów delegowanych Komisja współpracuje z siecią CSIRT, ustanowioną na podstawie art. 15 dyrektywy (UE) 2022/2555, oraz z ENISA.

10. Komisja może, w drodze aktów wykonawczych, doprecyzować format i procedurę składania zgłoszeń, o których mowa w niniejszym artykule oraz w art. 15 i 16. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 62 ust. 2. Komisja współpracuje z siecią CSIRT oraz z ENISA przy przygotowywaniu tych projektów aktów wykonawczych.