Artículo 16 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. A efectos de las notificaciones a que se refieren el artículo 14, apartados 1 y 3, y el artículo 15, apartados 1 y 2, y con el fin de simplificar las obligaciones de notificación de los fabricantes, la ENISA creará una plataforma única de notificación. La ENISA gestionará y mantendrá las operaciones cotidianas de dicha plataforma única de notificación. La arquitectura de la plataforma única de notificación permitirá a los Estados miembros y a la ENISA establecer sus propios nodos finales para notificaciones electrónicas.

2. Tras recibir una notificación, el CSIRT designado como coordinador que reciba inicialmente la notificación la difundirá sin demora a través de la plataforma única de notificación a los CSIRT designados como coordinadores en cuyo territorio el fabricante haya indicado que se ha comercializado el producto con elementos digitales.

En circunstancias excepcionales y, en particular, a petición del fabricante y debido al grado de sensibilidad de la información notificada indicado por el fabricante con arreglo al artículo 14, apartado 2, letra a), del presente Reglamento, la difusión de la notificación podrá aplazarse durante el período de tiempo estrictamente necesario por motivos justificados relacionados con la ciberseguridad, también cuando una vulnerabilidad esté sujeta al procedimiento de divulgación coordinada de las vulnerabilidades a que se refiere el artículo 12, apartado 1, de la Directiva (UE) 2022/2555. Cuando un CSIRT decida retener una notificación, comunicará inmediatamente dicha decisión a la ENISA y proporcionará tanto una justificación de la retención de la notificación como una indicación de cuándo difundirá la notificación de conformidad con el procedimiento de difusión establecido en el presente apartado. La ENISA podrá prestar apoyo al CSIRT en la aplicación de motivos relacionados con la ciberseguridad en lo que respecta al aplazamiento de la difusión de la notificación.

En circunstancias particularmente excepcionales, cuando el fabricante indique en la notificación a que se refiere el artículo 14, apartado 2, letra b), alguna de las situaciones siguientes:

a) que la vulnerabilidad notificada ha sido aprovechada activamente por un agente malintencionado y que, según la información disponible, no ha sido aprovechada en ningún Estado miembro salvo en el del CSIRT designado como coordinador al que el fabricante ha notificado la vulnerabilidad;

b) que cualquier difusión ulterior inmediata de la vulnerabilidad notificada podría dar lugar al suministro de información cuya divulgación sería contraria a los intereses fundamentales de dicho Estado miembro, o

c) que la vulnerabilidad notificada plantea un elevado riesgo de ciberseguridad inminente derivado de una difusión ulterior;

solo se facilitará simultáneamente a la ENISA, hasta que se difunda la notificación completa a los CSIRT afectados y a la ENISA, la información de que el fabricante ha efectuado una notificación, la información general sobre el producto, la información sobre el carácter general del aprovechamiento de la vulnerabilidad y la información de que se han alegado motivos relacionados con la seguridad. Cuando, sobre la base de la información citada, la ENISA considere que existe un riesgo sistémico que afecta a la seguridad en el mercado interior, recomendará al CSIRT receptor que difunda la notificación completa a los demás CSIRT designados como coordinadores y a la propia ENISA.

3. Tras recibir una notificación de una vulnerabilidad aprovechada activamente en un producto con elementos digitales o de un incidente grave que repercuta en la seguridad de un producto con elementos digitales, los CSIRT designados como coordinadores facilitarán a las autoridades de vigilancia del mercado de sus respectivos Estados miembros la información notificada necesaria para que las autoridades de vigilancia del mercado cumplan sus obligaciones con arreglo al presente Reglamento.

4. La ENISA adoptará medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de la plataforma única de notificación y la información presentada o difundida a través de la plataforma única de notificación. Notificará sin demora indebida a la red de CSIRT, así como a la Comisión, cualquier incidente de seguridad que afecte a la plataforma única de notificación.

5. La ENISA, en cooperación con la red de CSIRT, proporcionará y aplicará especificaciones sobre las medidas técnicas, operativas y organizativas relativas al establecimiento, el mantenimiento y el funcionamiento seguro de la plataforma única de notificación a que se refiere el apartado 1, que incluyan al menos las disposiciones de seguridad relacionadas con la creación, el funcionamiento y el mantenimiento de la plataforma única de notificación, así como los nodos finales para notificaciones electrónicas establecidos por los CSIRT designados como coordinadores a escala nacional y por la ENISA a escala de la Unión, incluidos aspectos de procedimiento que garanticen que, cuando no se disponga de medidas correctoras o paliativas en relación con una vulnerabilidad notificada, la información sobre dicha vulnerabilidad se comparta conforme a estrictos protocolos de seguridad y sobre la base de la necesidad de conocerla.

6. Cuando una vulnerabilidad aprovechada activamente se haya puesto en conocimiento de un CSIRT designado como coordinador en el marco del procedimiento de divulgación coordinada de vulnerabilidades a que se refiere el artículo 12, apartado 1, de la Directiva (UE) 2022/2555, el CSIRT designado como coordinador que haya recibido inicialmente la notificación podrá aplazar la difusión de la notificación pertinente a través de la plataforma única de notificación por motivos justificados relacionados con la ciberseguridad, durante un período no superior al estrictamente necesario y hasta que las partes involucradas en la divulgación coordinada de vulnerabilidades den su consentimiento. Este requisito no impedirá que los fabricantes notifiquen la vulnerabilidad en cuestión de forma voluntaria de conformidad con el procedimiento establecido en el presente artículo.