- Die ENISA kann dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), das durch Artikel 16 der Richtlinie (EU) 2022/2555 eingerichtet wurde, die gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung gemeldeten Informationen, sofern diese Informationen für das koordinierte Management massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene von Bedeutung sind. Für die Zwecke der Bestimmung dieser Bedeutung kann die ENISA gegebenenfalls technische Analysen des CSIRTs-Netzwerks berücksichtigen.
- Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen zu verhindern oder zu mindern oder um einen laufenden Sicherheitsvorfall zu bewältigen, oder liegt die Offenlegung des Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das als Koordinator des betreffenden Mitgliedstaats benannte CSIRT nach Konsultation des betreffenden Herstellers und gegebenenfalls in Zusammenarbeit mit der ENISA die Öffentlichkeit über den Sicherheitsvorfall informieren oder den Hersteller auffordern, dies zu tun.
- Die ENISA erstellt auf der Grundlage der nach Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 der vorliegenden Verordnung eingegangenen Meldungen alle 24 Monate einen technischen Bericht über aufkommende Trends der Cybersicherheitsrisiken bei Produkten mit digitalen Elementen und legt ihn der gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingerichteten Kooperationsgruppe vor. Der erste solche Bericht wird innerhalb von 24 Monaten nach Beginn der Geltung der in Artikel 14 Absätze 1 und 3 festgelegten Pflichten vorgelegt. Die ENISA nimmt einschlägige Informationen aus ihren technischen Berichten in ihren Bericht über den Stand der Cybersicherheit in der Union gemäß Artikel 18 der Richtlinie (EU) 2022/2555 auf.
- Die bloße Meldung gemäß Artikel 14 Absätze 1 und 3 und Artikel 15 Absätze 1 und 2 begründet keine höhere Haftung der meldenden natürlichen oder juristischen Person.
- Sobald eine Sicherheitsaktualisierung oder eine andere Form von Korrektur- oder Risikominderungsmaßnahme verfügbar ist, nimmt die ENISA im Einvernehmen mit dem Hersteller des betreffenden Produkts mit digitalen Elementen die gemäß Artikel 14 Absatz 1 oder Artikel 15 Absatz 1 der vorliegenden Verordnung gemeldete öffentlich bekannte Schwachstelle in die gemäß Artikel 12 Absatz 2 der Richtlinie (EU) 2022/2555 eingerichtete europäische Schwachstellendatenbank auf.
- Die als Koordinatoren benannten CSIRTs bieten Helpdesk-Unterstützung für Hersteller und insbesondere Hersteller, die als Kleinstunternehmen oder als kleine oder mittlere Unternehmen gelten, in Bezug auf die Meldepflichten gemäß Artikel 14.