(1)Einrichtungen der Union können dem CERT-EU auf freiwilliger Basis sie betreffende Sicherheitsvorfälle, Cyberbedrohungen, Beinahe-Vorfälle und Schwachstellen melden und ihm Informationen darüber weitergeben. Das CERT-EU stellt sicher, dass effiziente Kommunikationsmittel mit einem hohen Maß an Rückverfolgbarkeit, Vertraulichkeit und Zuverlässigkeit zur Verfügung stehen, die den Informationsaustausch mit den Einrichtungen der Union erleichtern. Bei der Verarbeitung von Meldungen kann das CERT-EU der Bearbeitung von Pflichtmeldungen Vorrang vor freiwilligen Meldungen einräumen. Unbeschadet des Artikels 12 dürfen freiwillige Meldungen nicht dazu führen, dass der meldenden Einrichtung der Union zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.
(2)Zur Erfüllung seines Auftrags und seiner Aufgaben gemäß Artikel 13 kann das CERT-EU von den Einrichtungen der Union verlangen, ihm Informationen aus ihren jeweiligen IKT-Systemverzeichnissen zu übermitteln, einschließlich Informationen über Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen, Kompromittierungsindikatoren (indicators of compromise), Cybersicherheitswarnungen und Empfehlungen zur Konfiguration von Cybersicherheitswerkzeugen zur Erkennung von Sicherheitsvorfällen. Die betreffende Einrichtung der Union übermittelt die verlangten Informationen und alle späteren Aktualisierungen unverzüglich.
(3)Das CERT-EU darf spezifische Informationen über Sicherheitsvorfälle, aus denen die Identität der von dem Sicherheitsvorfall betroffenen Einrichtung der Union hervorgeht an Einrichtungen der Union weitergeben, sofern die betroffene Einrichtung zustimmt. Verweigert eine Einrichtung der Union ihre Einwilligung, so legt sie dem CERT-EU Gründe für diese Entscheidung vor.
(4)Einrichtungen der Union geben dem Europäischen Parlament und dem Rat auf Anfrage Informationen über den Abschluss von Cybersicherheitsplänen weiter.
(5)Der IICB bzw. das CERT-EU geben dem Europäischen Parlament und dem Rat auf Anfrage Leitlinien, Empfehlungen und Aufforderungen zum Tätigwerden weiter.
(6)Die in diesem Artikel festgelegten Weitergabepflichten erstrecken sich nicht auf a) EU-VS, b) Informationen, deren Weiterverbreitung durch eine sichtbare Kennzeichnung ausgeschlossen wurde, es sei denn, ihre Weitergabe an das CERT-EU wurde ausdrücklich gestattet.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 18.12.2023
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
