Artykuł 15

1. Producenci oraz inne osoby fizyczne lub prawne mogą dobrowolnie zgłaszać CSIRT-owi wyznaczonemu na koordynatora lub ENISA wszelkie podatności zawarte w produkcie z elementami cyfrowymi, a także cyberzagrożenia, które mogłyby mieć wpływ na profil ryzyka produktu z elementami cyfrowymi.

2. Producenci oraz inne osoby fizyczne lub prawne mogą dobrowolnie zgłaszać CSIRT-owi wyznaczonemu na koordynatora lub ENISA każdy incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi, a także potencjalne zdarzenia dla cyberbezpieczeństwa, które mogły doprowadzić do takiego incydentu.

3. CSIRT wyznaczony na koordynatora lub ENISA rozpatrują zgłoszenia, o których mowa w ust. 1 i 2 niniejszego artykułu, zgodnie z procedurą określoną w art. 16.

CSIRT wyznaczony na koordynatora może rozpatrywać zgłoszenia obowiązkowe priorytetowo w stosunku do zgłoszeń dobrowolnych.

4. W przypadku gdy osoba fizyczna lub prawna inna niż producent zgłasza aktywnie wykorzystywaną podatność lub poważny incydent mający wpływ na bezpieczeństwo produktu z elementami cyfrowymi zgodnie z ust. 1 lub 2, CSIRT wyznaczony na koordynatora bez zbędnej zwłoki informuje o tym producenta.

5. CSIRT-y wyznaczone na koordynatorów oraz ENISA zapewniają poufność i odpowiednią ochronę informacji przekazanych przez osobę fizyczną lub prawną dokonującą zgłoszenia. Bez uszczerbku dla zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, ich wykrywania i ścigania dobrowolne zgłaszanie nie może powodować nałożenia na osobę fizyczną lub prawną dokonującą zgłoszenia żadnych dodatkowych obowiązków, którym by nie podlegała, gdyby nie przekazała zgłoszenia.