1. Ciascuno Stato membro designa uno dei propri CSIRT come coordinatore ai fini del coordinamento delle attività. vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) divulgazione. Il CSIRT designato come coordinatore agisce come intermediario di fiducia, facilitando, se necessario, l'interazione tra la persona fisica o giuridica che segnala una vulnerabilità e il fabbricante o il fornitore dei prodotti o servizi TIC potenzialmente vulnerabili, su richiesta di una delle parti. I compiti del CSIRT designato come coordinatore comprendono:
(a) identificare e contattare gli enti interessati;
(b) assistere le persone fisiche o giuridiche che segnalano una vulnerabilità; e
(c) negoziare le tempistiche di divulgazione e gestire le vulnerabilità che interessano più entità.
Gli Stati membri assicurano che le persone fisiche o giuridiche possano segnalare, in forma anonima se lo richiedono, una vulnerabilità al CSIRT designato come coordinatore. Il CSIRT designato come coordinatore assicura che venga svolta un'azione di follow-up diligente in relazione alla vulnerabilità segnalata e garantisce l'anonimato della persona fisica o giuridica che segnala la vulnerabilità. Quando una vulnerabilità segnalata potrebbe avere un impatto significativo su entità in più di uno Stato membro, il CSIRT designato come coordinatore di ciascuno Stato membro interessato collabora, se del caso, con altri CSIRT designati come coordinatori all'interno della rete dei CSIRT.
2. L'ENISA sviluppa e mantiene, previa consultazione del gruppo di cooperazione, una banca dati europea sulle vulnerabilità. A tal fine, l'ENISA istituisce e mantiene i sistemi informativi, le politiche e le procedure appropriate e adotta le misure tecniche e organizzative necessarie per garantire la sicurezza e l'integrità della banca dati europea sulle vulnerabilità, in particolare per consentire ai soggetti, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente direttiva, e ai loro fornitori di reti e sistemi informativi, di divulgare e registrare, su base volontaria, le vulnerabilità pubblicamente note dei prodotti o dei servizi TIC. Tutte le parti interessate avranno accesso alle informazioni sulle vulnerabilità contenute nella banca dati europea delle vulnerabilità. Tale banca dati comprende:
(a) informazioni che descrivono la vulnerabilità;
(b) i prodotti o servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze in cui può essere sfruttata;
(c) la disponibilità delle relative patch e, in assenza di patch, le indicazioni fornite dalle autorità competenti o dai CSIRT agli utenti di prodotti e servizi TIC vulnerabili su come attenuare i rischi derivanti dalle vulnerabilità divulgate.