Artykuł 17

1. ENISA może przekazać europejskiej sieci organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) ustanowionej na mocy art. 16 dyrektywy (UE) 2022/2555 informacje zgłoszone zgodnie z art. 14 ust. 1 i 3 oraz art. 15 ust. 1 i 2 niniejszego rozporządzenia, jeżeli takie informacje są istotne z perspektywy skoordynowanego zarządzania cyberincydentami i cyberkryzysami na dużą skalę na szczeblu operacyjnym. Do celów określenia takiej istotności ENISA może uwzględnić analizy techniczne przeprowadzone przez sieć CSIRT, jeżeli są one dostępne.

2. W przypadku gdy świadomość społeczna jest niezbędna, aby zapobiec poważnemu incydentowi mającemu wpływ na bezpieczeństwo produktu z elementami cyfrowymi lub złagodzić jego skutki, lub aby poradzić sobie z trwającym incydentem, lub w przypadku gdy ujawnienie incydentu leży w interesie publicznym, CSIRT wyznaczony na koordynatora odpowiedniego państwa członkowskiego może, po konsultacji z zainteresowanym producentem i, w stosownych przypadkach, we współpracy z ENISA, poinformować opinię publiczną o incydencie lub zażądać tego od producenta.

3. ENISA, na podstawie zgłoszeń otrzymywanych zgodnie z art. 14 ust. 1 i 3 oraz art. 15 ust. 1 i 2 niniejszego rozporządzenia, przygotowuje co 24 miesiące sprawozdanie techniczne na temat pojawiających się tendencji w zakresie ryzyka w cyberprzestrzeni dotyczącego produktów z elementami cyfrowymi oraz przedkłada je Grupie Współpracy ustanowionej na podstawie art. 14 dyrektywy (UE) 2022/2555. Pierwsze takie sprawozdanie przedkłada się w terminie 24 miesięcy od dnia rozpoczęcia stosowania obowiązków określonych w art. 14 ust. 1 i 3. W sprawozdaniu o stanie cyberbezpieczeństwa w Unii sporządzanym na podstawie art. 18 dyrektywy (UE) 2022/2555 ENISA uwzględnia odpowiednie informacje ze swoich sprawozdań technicznych.

4. Samo zgłoszenie zgodnie z art. 14 ust. 1 i 3 lub art. 15 ust. 1 i 2 nie powoduje zwiększenia odpowiedzialności osoby fizycznej lub prawnej dokonującej zgłoszenia.

5. Po udostępnieniu aktualizacji zabezpieczeń lub innej formy środka naprawczego lub łagodzącego ENISA, w porozumieniu z producentem danego produktu z elementami cyfrowymi, dodaje publicznie znaną podatność, zgłoszoną zgodnie z art. 14 ust. 1 lub art. 15 ust. 1 niniejszego rozporządzenia, do europejskiej bazy danych dotyczących podatności ustanowionej zgodnie z art. 12 ust. 2 dyrektywy (UE) 2022/2555.

6. CSIRT-y wyznaczone na koordynatorów zapewniają producentom, a w szczególności producentom, którzy kwalifikują się jako mikroprzedsiębiorstwa lub małe lub średnie przedsiębiorstwa, wsparcie działu pomocy technicznej w odniesieniu do obowiązków sprawozdawczych zgodnie z art. 14.