- 1. ENISAは、本規則第14条第1項及び第3項並びに第15条第1項及び第2項に基づいて通知された情報が、大規模なサイバーセキュリティインシデント及び危機の運用レベルにおける協調的管理に関連する場合には、当該情報を、指令 (EU) 2022/2555 第16条に基づいて設置された European cyber crisis liaison organisation network (EU-CyCLONe) に提出することができる。当該関連性を判断する目的で、ENISAは、利用可能な場合には、CSIRTsネットワークが実施した技術的分析を考慮することができる。
- 2. 製品のセキュリティに影響を及ぼす重大なインシデントを防止し若しくは軽減するため、又は進行中のインシデントに対処するために公衆の認識を高めることが必要である場合、又は当該インシデントの公表がその他の点で公益に資する場合には、関係加盟国の調整役として指定されたCSIRTは、関係する製造業者と協議した上で、また、適切な場合にはENISAと連携して、当該インシデントについて公衆に周知し、又は製造業者に対して周知することを求めることができる。
- 3. ENISAは、本規則第14条第1項及び第3項並びに第15条第1項及び第2項に基づいて受領した通知に基づき、デジタル要素を備える製品におけるサイバーセキュリティ・リスクに関する新たな傾向について、24か月ごとに技術報告書を作成し、指令(EU) 2022/2555第14条に基づき設置された協力グループに提出するものとする。最初の当該報告書は、本規則第14条第1項及び第3項に定める義務の適用開始日から24か月以内に提出されるものとする。ENISAは、指令(EU) 2022/2555第18条に基づく連合におけるサイバーセキュリティの状況に関する報告書に、その技術報告書に含まれる関連情報を含めるものとする。
- 4. 第14条第1項及び第3項又は第15条第1項及び第2項に従って通知を行うという行為それ自体によっては、通知を行う自然人又は法人がより重い責任を負うことにはならない。
- 5. セキュリティ更新プログラム又はその他の是正若しくは軽減措置が利用可能となった後、ENISAは、関係するデジタル要素を備える製品の製造業者との合意の下で、本規則第14条第1項又は第15条第1項に従って通知された公知の脆弱性を、指令(EU) 2022/2555第12条第2項に基づき設置された欧州脆弱性データベースに追加するものとする。
- 6. 調整役として指定されたCSIRTは、第14条に基づく報告義務に関して、製造業者、特に零細企業又は中小企業に該当する製造業者に対し、ヘルプデスク支援を提供するものとする。
サイバーレジリエンス法 規則 (EU) 2024/2847
第17条