1. Cada Estado miembro designará a uno de sus CSIRT como coordinador a efectos de coordinación vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) divulgación. El CSIRT designado coordinador actuará como intermediario de confianza, facilitando, cuando sea necesario, la interacción entre la persona física o jurídica que notifique una vulnerabilidad y el fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables, a petición de cualquiera de las partes. Las tareas del CSIRT designado coordinador incluirán:
(a) identificar y ponerse en contacto con las entidades afectadas;
(b) ayudar a las personas físicas o jurídicas que notifiquen una vulnerabilidad; y
(c) negociar los plazos de divulgación y gestionar las vulnerabilidades que afectan a múltiples entidades.
Los Estados miembros velarán por que las personas físicas o jurídicas puedan notificar, de forma anónima cuando así lo soliciten, una vulnerabilidad al CSIRT designado como coordinador. El CSIRT designado coordinador velará por que se lleve a cabo un seguimiento diligente de la vulnerabilidad notificada y garantizará el anonimato de la persona física o jurídica que haya notificado la vulnerabilidad. Cuando una vulnerabilidad notificada pueda tener un impacto significativo en entidades de más de un Estado miembro, el CSIRT designado como coordinador de cada Estado miembro afectado cooperará, cuando proceda, con otros CSIRT designados como coordinadores dentro de la red de CSIRT.
2. La ENISA desarrollará y mantendrá, previa consulta al Grupo de cooperación, una base de datos europea sobre vulnerabilidades. A tal fin, la ENISA establecerá y mantendrá los sistemas de información, las políticas y los procedimientos adecuados, y adoptará las medidas técnicas y organizativas necesarias para garantizar la seguridad y la integridad de la base de datos europea de vulnerabilidades, con vistas, en particular, a permitir a las entidades, con independencia de que entren o no en el ámbito de aplicación de la presente Directiva, y a sus proveedores de sistemas de redes y de información, divulgar y registrar, con carácter voluntario, las vulnerabilidades públicamente conocidas de los productos o servicios de TIC. Se facilitará a todas las partes interesadas el acceso a la información sobre las vulnerabilidades contenida en la base de datos europea sobre vulnerabilidades. Dicha base de datos incluirá:
(a) información que describa la vulnerabilidad;
(b) los productos de TIC o servicios de TIC afectados y la gravedad de la vulnerabilidad en términos de las circunstancias en que puede ser explotada;
(c) la disponibilidad de parches relacionados y, en ausencia de parches disponibles, las orientaciones facilitadas por las autoridades competentes o los CSIRT dirigidas a los usuarios de productos y servicios vulnerables de TIC sobre cómo pueden mitigarse los riesgos derivados de las vulnerabilidades reveladas.