- (1) 各加盟国は、協調的脆弱性開示の目的のため、自国のCSIRTのうち一つを調整役として指定するものとする。調整役として指定されたCSIRTは、信頼できる仲介者として、必要に応じ、いずれかの当事者の求めにより、脆弱性を報告する自然人又は法人と、脆弱である可能性のあるICT製品又はICTサービスの製造業者又は提供者との間のやり取りを円滑化するものとする。調整役として指定されたCSIRTの任務には、次のものが含まれる。 加盟国は、自然人又は法人が、希望する場合には匿名で、調整役として指定されたCSIRTに対して脆弱性を報告できるようにするものとする。調整役として指定されたCSIRTは、報告された脆弱性について、適切かつ入念なフォローアップが行われることを確保し、また、当該脆弱性を報告した自然人又は法人の匿名性を確保するものとする。報告された脆弱性が複数の加盟国の事業体に重大な影響を及ぼし得る場合には、関係する各加盟国の調整役として指定されたCSIRTは、適切な場合には、CSIRTsネットワーク内の他の調整役として指定されたCSIRTと協力するものとする。
- (2) ENISAは、協力グループと協議の上、欧州脆弱性データベースを作成し、維持するものとする。この目的のため、ENISAは、適切な情報システム、方針及び手続を整備・維持し、欧州脆弱性データベースの安全性及び完全性を確保するために必要な技術的及び組織的措置を講ずるものとする。とりわけ、本指令の適用範囲に属するか否かを問わず、事業体及びそのネットワーク及び情報システムの供給者が、ICT製品又はICTサービスに関する公知の脆弱性を任意に開示し、登録できるようにすることを目的とする。すべての利害関係者には、当該欧州脆弱性データベースに含まれる脆弱性に関する情報へのアクセスが付与されるものとする。当該データベースには、次の事項が含まれるものとする。
NIS2 指令(EU)2022/2555
第12条