Artykuł 16

1. Do celów zgłoszeń, o których mowa w art. 14 ust. 1 i 3 oraz art. 15 ust. 1 i 2, oraz w celu uproszczenia obowiązków sprawozdawczych producentów ENISA ustanawia pojedynczą platformę sprawozdawczą. ENISA zarządza bieżącą działalnością tej pojedynczej platformy sprawozdawczej i utrzymuje ją. Architektura pojedynczej platformy sprawozdawczej umożliwia państwom członkowskim i ENISA wprowadzenie własnych punktów zgłoszeń elektronicznych.

2. Po otrzymaniu zgłoszenia CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymał zgłoszenie, niezwłocznie przekazuje je za pośrednictwem pojedynczej platformy sprawozdawczej do CSIRT-ów wyznaczonych na koordynatorów na terytorium, na którym producent wskazał, że produkt z elementami cyfrowymi został udostępniony.

W wyjątkowych okolicznościach, w szczególności na wniosek producenta i w świetle poziomu wrażliwości zgłoszonych informacji wskazanego przez producenta zgodnie z art. 14 ust. 2 lit. a) niniejszego rozporządzenia, rozpowszechnienie zgłoszenia może zostać opóźnione z uzasadnionych przyczyn związanych z cyberbezpieczeństwem o absolutnie niezbędny okres, w tym w przypadku gdy podatność podlega skoordynowanej procedurze ujawniania, o której mowa w art. 12 ust. 1 dyrektywy (UE) 2022/2555. W przypadku gdy CSIRT podejmie decyzję o nieujawnianiu zgłoszenia, niezwłocznie informuje ENISA o tej decyzji i przedstawia zarówno uzasadnienie nieujawnienia zgłoszenia, jak i wskazanie, kiedy rozpowszechni zgłoszenie zgodnie z procedurą rozpowszechniania określoną w niniejszym ustępie. ENISA może poprzeć stanowisko CSIRT-u dotyczące zastosowania względów cyberbezpieczeństwa w odniesieniu do opóźnienia rozpowszechnienia zgłoszenia.

W szczególnie wyjątkowych okolicznościach, jeżeli producent wskazuje w zgłoszeniu, o którym mowa w art. 14 ust. 2 lit. b):

• a) że zgłoszona podatność została aktywnie wykorzystana przez podmiot działający w złym zamiarze i, zgodnie z dostępnymi informacjami, nie została wykorzystana w żadnym innym państwie członkowskim niż to, którego CSIRT wyznaczono na koordynatora i któremu producent zgłosił podatność;
• b) że jakiekolwiek natychmiastowe dalsze rozpowszechnienie zgłoszonej podatności prawdopodobnie doprowadziłoby do dostarczenia informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami tego państwa członkowskiego; lub
• c) że dalsze rozpowszechnianie zgłoszenia podatności stwarza bezpośrednie wysokie ryzyko w cyberprzestrzeni;

jedynie informacje o tym, że producent dokonał zgłoszenia, ogólne informacje na temat produktu, informacje o ogólnym charakterze wykorzystania oraz informacje o tym, że powołano się na względy bezpieczeństwa, są jednocześnie udostępniane ENISA, aż do momentu rozpowszechnienia pełnego zgłoszenia wśród zainteresowanych CSIRT-ów i ENISA. Jeżeli na podstawie tych informacji ENISA uzna, że istnieje ryzyko systemowe mające wpływ na bezpieczeństwo na rynku wewnętrznym, zaleca CSIRT-owi, który otrzymał zgłoszenie, aby przekazał pełne zgłoszenie pozostałym CSIRT-om wyznaczonym na koordynatorów oraz samej ENISA.

3. Po otrzymaniu zgłoszenia o aktywnie wykorzystywanej podatności w produkcie z elementami cyfrowymi lub o poważnym incydencie mającym wpływ na bezpieczeństwo produktu z elementami cyfrowymi CSIRT-y wyznaczone na koordynatorów przekazują organom nadzoru rynku swoich państw członkowskich zgłoszone informacje niezbędne organom nadzoru rynku do wypełniania ich obowiązków wynikających z niniejszego rozporządzenia.

4. ENISA przyjmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa pojedynczej platformy sprawozdawczej oraz informacji przekazywanych lub rozpowszechnianych za pośrednictwem pojedynczej platformy sprawozdawczej. ENISA bez zbędnej zwłoki powiadamia sieć CSIRT oraz Komisję o każdym incydencie bezpieczeństwa mającym wpływ na pojedynczą platformę sprawozdawczą.

5. ENISA, we współpracy z siecią CSIRT, zapewnia i wdraża specyfikacje dotyczące środków technicznych, operacyjnych i organizacyjnych dotyczących ustanowienia, utrzymania i bezpiecznego funkcjonowania pojedynczej platformy sprawozdawczej, o której mowa w ust. 1, w tym co najmniej ustalenia dotyczące bezpieczeństwa związane z ustanowieniem, funkcjonowaniem i utrzymaniem pojedynczej platformy sprawozdawczej, a także punktów zgłoszeń elektronicznych ustanowionych przez CSIRT-y wyznaczone na koordynatorów na poziomie krajowym i ENISA na poziomie Unii, w tym aspektów proceduralnych mających zapewnić, że w przypadku gdy dla zgłoszonej podatności nie ma dostępnych środków naprawczych lub łagodzących, informacje o tej podatności będą udostępniane zgodnie ze ścisłymi protokołami bezpieczeństwa i na zasadzie ograniczonego dostępu.

6. W przypadku gdy CSIRT wyznaczony na koordynatora został powiadomiony o aktywnie wykorzystywanej podatności w ramach procedury skoordynowanego ujawniania podatności, o której mowa w art. 12 ust. 1 dyrektywy (UE) 2022/2555, CSIRT wyznaczony na koordynatora, który jako pierwszy otrzymał zgłoszenie, może opóźnić rozpowszechnienie stosownego zgłoszenia za pośrednictwem pojedynczej platformy sprawozdawczej z uzasadnionych względów cyberbezpieczeństwa o okres nie dłuższy niż jest to absolutnie niezbędne i do czasu wyrażenia zgody na ujawnienie przez strony zaangażowane w skoordynowane ujawnienie podatności. Wymóg ten nie uniemożliwia producentom dobrowolnego zgłaszania takiej podatności zgodnie z procedurą określoną w niniejszym artykule.