Cyber Resilience Act Verordnung (EU) 2024/2847

Artikel 14

Meldepflichten der Hersteller

  1. 1. Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diese aktiv ausgenutzte Schwachstelle über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.
  2. 2. Für die Zwecke der Mitteilung gemäß Absatz 1 legt der Hersteller Folgendes vor:
    1. unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem der Hersteller davon Kenntnis erlangt hat, eine Frühwarnung über eine aktiv ausgenutzte Schwachstelle unter Angabe der Mitgliedstaaten, in deren Hoheitsgebiet das Produkt mit digitalen Elementen des Herstellers seiner Kenntnis nach bereitgestellt wurde;
    2. sofern die einschlägigen Informationen nicht bereits vorgelegt wurden, unverzüglich, in jedem Fall aber innerhalb von 72 Stunden, nachdem der Hersteller Kenntnis von der aktiv ausgenutzten Schwachstelle erlangt hat, eine Meldung von Schwachstellen, die allgemeine Informationen, soweit verfügbar, über das betreffende Produkt mit digitalen Elementen, über die allgemeine Art der Ausnutzung und der betreffenden Schwachstelle sowie über alle ergriffenen Korrektur- oder Risikominderungsmaßnahmen sowie Korrektur- oder Abhilfemaßnahmen, die Nutzer ergreifen können, enthält und in der gegebenenfalls auch angegeben wird, als wie sensibel der Hersteller die gemeldeten Informationen ansieht;
    3. sofern die einschlägigen Informationen nicht bereits vorgelegt wurden, spätestens 14 Tage, nachdem eine Korrektur- oder Risikominderungsmaßnahme zur Verfügung steht, einen Abschlussbericht, der mindestens Folgendes enthält:
      1. eine Beschreibung der Schwachstelle, einschließlich ihres Schweregrads und ihrer Auswirkungen,
      2. falls verfügbar, Informationen über jeden böswilligen Akteur, der die Schwachstelle ausgenutzt hat oder ausnutzt,
      3. Informationen über die Sicherheitsaktualisierung oder andere Korrekturmaßnahmen, die zur Behebung der Schwachstelle zur Verfügung gestellt wurden.
  3. 3. Ein Hersteller meldet jeden schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diesen Sicherheitsvorfall über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.
  4. 4. Für die Zwecke der Mitteilung gemäß Absatz 3 legt der Hersteller Folgendes vor:
    1. unverzüglich und in jedem Fall innerhalb von 24 Stunden, nachdem der Hersteller davon Kenntnis erlangt hat, eine Frühwarnung über einen schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, wobei zumindest anzugeben ist, ob der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, wobei gegebenenfalls auch die Mitgliedstaaten anzugeben sind, in deren Hoheitsgebiet das Produkt mit digitalen Elementen des Herstellers seiner Kenntnis nach bereitgestellt wurde;
    2. sofern die einschlägigen Informationen nicht bereits übermittelt wurden, unverzüglich, in jedem Fall aber innerhalb von 72 Stunden, nachdem der Hersteller von dem Sicherheitsvorfall Kenntnis erlangt hat, eine Meldung des Sicherheitsvorfalls, die allgemeine Informationen, soweit verfügbar, über die Art des Sicherheitsvorfalls, eine erste Bewertung des Sicherheitsvorfalls sowie ergriffene Korrektur- oder Risikominderungsmaßnahmen und Korrektur- oder Abhilfemaßnahmen, die Nutzer ergreifen können, enthält und in der gegebenenfalls auch angegeben wird, als wie sensibel der Hersteller die gemeldeten Informationen ansieht;
    3. sofern die einschlägigen Informationen nicht bereits übermittelt wurden, innerhalb eines Monats nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Buchstabe b einen Abschlussbericht, der mindestens Folgendes enthält:
      1. eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
      2. Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
      3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen.
  5. 5. Für die Zwecke von Absatz 3 gilt ein Sicherheitsvorfall, der Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen hat, als schwerwiegend, wenn
    1. er sich negativ auf die Fähigkeit eines Produkts mit digitalen Elementen auswirkt oder auswirken kann, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von sensiblen oder wichtigen Daten oder Funktionen zu schützen, oder
    2. er zur Einführung oder Ausführung eines böswilligen Codes in einem Produkt mit digitalen Elementen oder im Netzwerk und Informationssystem eines Nutzers des Produkts mit digitalen Elementen geführt hat oder dazu führen kann.
  6. 6. Erforderlichenfalls kann das als Koordinator benannte CSIRT, dass ursprünglich die Meldung erhält, die Hersteller auffordern, einen Zwischenbericht über relevante Statusaktualisierungen über die aktiv genutzte Schwachstelle oder den schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, vorzulegen.
  7. 7. Die Meldungen gemäß den Absätzen 1 und 3 des vorliegenden Artikels werden über die in Artikel 16 genannte einheitliche Meldeplattform unter Verwendung eines der in Artikel 16 Absatz 1 genannten Endpunkte für die elektronische Meldung übermittelt. Die Meldung wird über den Endpunkt für die elektronische Meldung des CSIRT übermittelt, der als Koordinator des Mitgliedstaats benannt wurde, in dem die Hersteller ihre Hauptniederlassung in der Union haben, und ist gleichzeitig für die ENISA zugänglich.
    Für die Zwecke dieser Verordnung wird davon ausgegangen, dass ein Hersteller seine Hauptniederlassung in der Union in dem Mitgliedstaat hat, in dem die Entscheidungen im Zusammenhang mit der Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Mitgliedstaat der Hauptniederlassung der Mitgliedstaat, in dem der betreffende Hersteller die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat.
    Hat ein Hersteller keine Hauptniederlassung in der Union, so übermittelt er die in den Absätzen 1 und 3 genannten Meldungen unter Verwendung des Endpunkts für die elektronische Meldung des in dem Mitgliedstaat als Koordinator benannten CSIRT, der gemäß folgender Reihenfolge und auf der Grundlage der dem Hersteller zur Verfügung stehenden Informationen bestimmt wurde:
    1. der Mitgliedstaat, in dem der Bevollmächtigte niedergelassen ist, der für die meisten Produkte mit digitalen Elementen des Herstellers im Namen des Herstellers handelt;
    2. der Mitgliedstaat, in dem der Einführer niedergelassen ist, der die meisten Produkte mit digitalen Elementen dieses Herstellers in den Verkehr bringt;
    3. der Mitgliedstaat, in dem der Händler niedergelassen ist, der die meisten Produkte mit digitalen Elementen dieses Herstellers auf dem Markt bereitstellt;
    4. der Mitgliedstaat, in dem sich die meisten Nutzer von Produkten mit digitalen Elementen dieses Herstellers befinden.

    In Bezug auf Unterabsatz 3 Buchstabe d kann ein Hersteller Meldungen im Zusammenhang mit späteren aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, an dasselbe CSIRT richten, das als Koordinator benannt wurde und dem er zuerst Meldung erstattet hat.
  8. 8. Nachdem der Hersteller Kenntnis von einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, erlangt hat, informiert er die betroffenen Nutzer des Produkts mit digitalen Elementen und gegebenenfalls alle Nutzer über diese Schwachstelle oder diesen schwerwiegenden Sicherheitsvorfall und erforderlichenfalls über jegliche Risikominderungsmaßnahmen und Korrekturmaßnahmen, die die Nutzer ergreifen können, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu mindern, gegebenenfalls in einem strukturierten, maschinenlesbaren Format, das leicht automatisch zu verarbeiten ist. Versäumt es der Hersteller, die Nutzer des Produkts mit digitalen Elementen rechtzeitig zu informieren, können die als Koordinatoren benannten CSIRTs diese Informationen den Nutzern zur Verfügung stellen, wenn sie dies für verhältnismäßig und erforderlich halten, um die Auswirkungen dieser Schwachstellen oder Sicherheitsvorfälle zu verhindern oder abzumildern.
  9. 9. Bis zum 11. Dezember 2025 erlässt die Kommission einen delegierten Rechtsakt gemäß Artikel 61 der vorliegenden Verordnung zur Ergänzung dieser Verordnung durch Festlegung der Modalitäten und Bedingungen für die Anwendung der Cybersicherheitsgründe im Zusammenhang mit der Verzögerung der Verbreitung von Meldungen gemäß Artikel 16 Absatz 2 der vorliegenden Verordnung. Die Kommission arbeitet bei der Ausarbeitung des Entwurfs des delegierten Rechtsakts mit dem gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichteten CSIRTs-Netzwerk und der ENISA zusammen.
  10. 10. Die Kommission kann im Wege von Durchführungsrechtsakten das Format und die Verfahren für die in diesem Artikel sowie in den Artikeln 15 und 16 genannten Meldungen präzisieren. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 62 Absatz 2 genannten Prüfverfahren erlassen. Die Kommission arbeitet bei der Ausarbeitung der Entwürfe von Durchführungsrechtsakten mit dem CSIRTs-Netzwerk und der ENISA zusammen.