(1)Das CERT-EU arbeitet unverzüglich mit den entsprechenden Stellen der Mitgliedstaaten, insbesondere den gemäß Artikel 10 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRTs oder, falls zutreffend, den gemäß Artikel 8 der genannten Richtlinie benannten oder eingerichteten zuständigen Behörden und zentralen Anlaufstellen zusammen und tauscht Informationen mit ihnen aus über Cyberbedrohungen, Schwachstellen, Beinahe-Vorfälle, mögliche Gegenmaßnahmen sowie bewährte Verfahren und über alle Angelegenheiten, die für die Verbesserung des Schutzes der IKT-Umgebungen der Einrichtungen der Union relevant sind, auch durch das gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichtete CSIRTs-Netzwerk. Das CERT-EU unterstützt die Kommission im Rahmen des gemäß Artikel 16 der Richtlinie (EU) 2022/2555 über die koordinierte Bewältigung von schwerwiegenden Vorfällen und Krisen eingerichteten EU-CyCLONe.
(2)Wenn das CERT-EU Kenntnis von einem erheblichen Sicherheitsvorfall in einem Mitgliedstaat erhält, unterrichtet es gemäß Absatz 1 unverzüglich alle einschlägigen entsprechenden Stellen dieses Mitgliedstaates.
(3)Sofern personenbezogene Daten im Einklang mit dem geltenden Datenschutzrecht der Union geschützt sind, gibt das CERT-EU relevante Informationen über spezifische Sicherheitsvorfälle ohne Genehmigung der betroffenen Einrichtung der Union unverzüglich an die entsprechenden Stellen der Mitgliedstaaten weiter, um die Aufdeckung ähnlicher Cyberbedrohungen oder Sicherheitsvorfälle zu erleichtern oder zur Analyse eines Sicherheitsvorfalls beizutragen. Das CERT-EU gibt spezifische Informationen über Sicherheitsvorfälle, aus denen die Identität der Zielgruppe des Cybersicherheitsvorfalls hervorgeht, nur in einem der folgenden Fälle weiter: a) Die betroffene Einrichtung der Union erteilt ihre Zustimmung, b) die betroffene Einrichtung der Union erteilt ihre Zustimmung gemäß Buchstabe a nicht, aber die Offenlegung der Identität der betroffenen Einrichtung der Union würde die Wahrscheinlichkeit erhöhen, dass anderswo Sicherheitsvorfälle vermieden oder abgeschwächt werden, c) die betroffene Einrichtung der Union hat bereits öffentlich gemacht, dass sie betroffen war. Beschlüsse über den Austausch spezifischer Informationen über Sicherheitsvorfälle, aus denen die Identität des Ziels des Sicherheitsvorfalls gemäß Unterabsatz 1 Buchstabe b hervorgeht, werden von der Leitung des CERT-EU gebilligt. Bevor ein solcher Beschluss gefasst wird, setzt sich das CERT-EU schriftlich mit der betroffenen Einrichtung der Union in Verbindung und erläutert klar, wie die Offenlegung ihrer Identität dazu beitragen würde, Sicherheitsvorfälle an anderer Stelle zu vermeiden oder abzuschwächen. Die Leitung des CERT-EU liefert die Erläuterung und fordert die Einrichtung der Union ausdrücklich auf, innerhalb einer bestimmten Frist mitzuteilen, ob sie einwilligt. Die Leitung des CERT-EU teilt der Einrichtung der Union ferner mit, dass sie sich aufgrund der vorgetragenen Erläuterung das Recht vorbehält, die Informationen auch dann offenzulegen, wenn keine Einwilligung vorliegt. Die betroffene Einrichtung der Union wird unterrichtet, bevor die Informationen offengelegt werden.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 18.12.2023
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
