1. Jeder Mitgliedstaat benennt eines seiner CSIRTs als Koordinator für die Zwecke der koordinierten SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Offenlegung. Das als Koordinator benannte CSIRT fungiert als vertrauenswürdiger Vermittler, der erforderlichenfalls die Interaktion zwischen der natürlichen oder juristischen Person, die eine Schwachstelle meldet, und dem Hersteller oder Anbieter der potenziell gefährdeten IKT-Produkte oder IKT-Dienste auf Ersuchen einer der beiden Parteien erleichtert. Zu den Aufgaben des als Koordinator benannten CSIRT gehören:
(a) Identifizierung und Kontaktaufnahme mit den betroffenen Einrichtungen;
(b) Unterstützung der natürlichen oder juristischen Personen, die eine Schwachstelle melden, und
(c) Aushandlung von Fristen für die Offenlegung und Verwaltung von Schwachstellen, die mehrere Stellen betreffen.
Die Mitgliedstaaten stellen sicher, dass natürliche oder juristische Personen in der Lage sind, dem als Koordinator benannten CSIRT eine Schwachstelle anonym zu melden, wenn sie dies wünschen. Das als Koordinator benannte CSIRT stellt sicher, dass in Bezug auf die gemeldete Schwachstelle sorgfältige Folgemaßnahmen ergriffen werden, und gewährleistet die Anonymität der natürlichen oder juristischen Person, die die Schwachstelle meldet. Könnte eine gemeldete Schwachstelle erhebliche Auswirkungen auf Einrichtungen in mehr als einem Mitgliedstaat haben, so arbeitet das als Koordinator benannte CSIRT jedes betroffenen Mitgliedstaats gegebenenfalls mit anderen als Koordinatoren benannten CSIRTs innerhalb des CSIRT-Netzwerks zusammen.
2. (2) Die ENISA entwickelt und unterhält nach Anhörung der Kooperationsgruppe eine europäische Datenbank für Sicherheitsrisiken. Zu diesem Zweck errichtet und unterhält die ENISA die geeigneten Informationssysteme, Strategien und Verfahren und ergreift die erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit und Integrität der europäischen Schwachstellendatenbank zu gewährleisten, um insbesondere Einrichtungen, unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, und ihre Lieferanten von Netz- und Informationssystemen in die Lage zu versetzen, öffentlich bekannte Schwachstellen in IKT-Produkten oder IKT-Diensten auf freiwilliger Basis offenzulegen und zu registrieren. Alle Beteiligten erhalten Zugang zu den Informationen über die Schwachstellen, die in der europäischen Datenbank für Sicherheitsrisiken enthalten sind. Diese Datenbank muss Folgendes enthalten:
(a) Informationen zur Beschreibung der Schwachstelle;
(b) die betroffenen IKT-Produkte oder IKT-Dienstleistungen und die Schwere der Sicherheitslücke im Hinblick auf die Umstände, unter denen sie ausgenutzt werden kann;
(c) die Verfügbarkeit entsprechender Patches und, falls keine Patches verfügbar sind, die von den zuständigen Behörden oder den CSIRTs an die Nutzer gefährdeter IKT-Produkte und -Dienstleistungen gerichteten Hinweise, wie die Risiken, die sich aus offengelegten Schwachstellen ergeben, gemindert werden können.