Artículo 17 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

1. La ENISA podrá presentar a la red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe) creada en virtud del artículo 16 de la Directiva (UE) 2022/2555 la información notificada con arreglo al artículo 14, apartados 1 y 3, y al artículo 15, apartados 1 y 2, del presente Reglamento, si dicha información es pertinente para la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel operativo. A efectos de determinar dicha pertinencia, la ENISA podrá tomar en consideración los análisis técnicos realizados por la red de CSIRT, cuando se disponga de ellos.

2. Cuando sea necesaria la sensibilización del público para prevenir o atenuar un incidente grave que repercuta en la seguridad de un producto con elementos digitales o para gestionar un incidente en curso, o cuando la divulgación del incidente resulte de interés público por otro motivo, el CSIRT designado como coordinador del Estado miembro de que se trate podrá, previa consulta al fabricante afectado y, en su caso, en cooperación con la ENISA, informar al público sobre el incidente o exigir al fabricante que lo haga.

3. Sobre la base de las notificaciones recibidas en virtud del artículo 14, apartados 1 y 3, y al artículo 15, apartados 1 y 2, del presente Reglamento, la ENISA elaborará cada veinticuatro meses un informe técnico sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en los productos con elementos digitales y lo presentará al Grupo de Cooperación creado en virtud del artículo 14 de la Directiva (UE) 2022/2555. El primero de estos informes se presentará en un plazo de veinticuatro meses a partir de la fecha en que empiecen a ser aplicables las obligaciones establecidas en el artículo 14, apartados 1 y 3. La ENISA incluirá información pertinente de sus informes técnicos en su informe sobre la situación de ciberseguridad en la Unión con arreglo al artículo 18 de la Directiva (UE) 2022/2555.

4. El mero acto de notificación de conformidad con el artículo 14, apartados 1 y 3, o el artículo 15, apartados 1 y 2, no entrañará un incremento de la responsabilidad para la persona física o jurídica notificante.

5. Una vez que se disponga de una actualización de seguridad u otra forma de medida correctora o paliativa, la ENISA, de acuerdo con el fabricante del producto con elementos digitales de que se trate, incorporará la vulnerabilidad conocida públicamente notificada en virtud del artículo 14, apartado 1, o al artículo 15, apartado 1, del presente Reglamento a la base de datos europea de vulnerabilidades creada en virtud del artículo 12, apartado 2, de la Directiva (UE) 2022/2555.

6. Los CSIRT designados como coordinadores prestarán apoyo en calidad de servicio de asistencia en relación con las obligaciones de notificación en virtud del artículo 14 a los fabricantes y, en particular, a los fabricantes que se consideren microempresas o pequeñas o medianas empresas.