- 1. 製造者その他の自然人又は法人は、デジタル要素を有する製品に含まれるあらゆる脆弱性、並びにデジタル要素を有する製品のリスク・プロファイルに影響を及ぼし得るサイバー脅威について、コーディネーターとして指定されたCSIRT又はENISAに対し、任意に通知することができる。
- 2. 製造者その他の自然人又は法人は、デジタル要素を有する製品の安全性に影響を及ぼすあらゆるインシデント、並びにそのようなインシデントに至るおそれがあったニアミス事象について、コーディネーターとして指定されたCSIRT又はENISAに対し、任意に通知することができる。
- 3. コーディネーターとして指定されたCSIRT又はENISAは、本条第1項及び第2項に規定する通知を、第16条に定める手続に従って処理するものとする。
コーディネーターとして指定されたCSIRTは、任意通知よりも義務的通知の処理を優先することができる。 - 4. 製造業者以外の自然人又は法人が、第1項又は第2項に従い、現に悪用されている脆弱性又はデジタル要素を有する製品のセキュリティに影響を及ぼす重大なインシデントを通知する場合には、コーディネーターとして指定されたCSIRTは、不当な遅滞なく、当該製造業者に通知しなければならない。
- 5. コーディネーターとして指定されたCSIRT及びENISAは、通知を行う自然人又は法人から提供された情報の秘密性及び適切な保護を確保するものとする。犯罪行為の防止、捜査、探知及び訴追を妨げることなく、自発的な報告を行ったことにより、通知を行う自然人又は法人に対し、当該通知を提出しなかったならば負うことのなかった追加的義務を課してはならない。
サイバーレジリエンス法 規則 (EU) 2024/2847
第15条