1. Elke lidstaat wijst een van zijn CSIRT's aan als coördinator met het oog op een gecoördineerd optreden van de lidstaten. kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) openbaarmaking. Het CSIRT dat als coördinator is aangewezen, treedt op als betrouwbare tussenpersoon en vergemakkelijkt waar nodig de interactie tussen de natuurlijke of rechtspersoon die een kwetsbaarheid meldt en de fabrikant of leverancier van de mogelijk kwetsbare ICT-producten of ICT-diensten, op verzoek van een van beide partijen. De taken van het als coördinator aangewezen CSIRT omvatten:
(a) het identificeren van en contact opnemen met de betrokken entiteiten;
(b) het bijstaan van de natuurlijke of rechtspersonen die een kwetsbaarheid melden, en
(c) onderhandelen over tijdschema's voor openbaarmaking en het beheren van kwetsbaarheden die van invloed zijn op meerdere entiteiten.
De lidstaten zorgen ervoor dat natuurlijke of rechtspersonen desgevraagd anoniem een kwetsbaarheid kunnen melden aan het CSIRT dat als coördinator is aangewezen. Het als coördinator aangewezen CSIRT zorgt ervoor dat er met betrekking tot de gemelde kwetsbaarheid nauwgezet follow-upactie wordt ondernomen en waarborgt de anonimiteit van de natuurlijke of rechtspersoon die de kwetsbaarheid meldt. Wanneer een gemelde kwetsbaarheid aanzienlijke gevolgen kan hebben voor entiteiten in meer dan één lidstaat, werkt het CSIRT dat als coördinator van elke betrokken lidstaat is aangewezen, in voorkomend geval samen met andere CSIRT's die binnen het CSIRT-netwerk als coördinator zijn aangewezen.
2. ENISA ontwikkelt en onderhoudt, na raadpleging van de samenwerkingsgroep, een Europese database met kwetsbaarheden. Daartoe creëert en onderhoudt ENISA de passende informatiesystemen, beleidslijnen en procedures, en neemt het de nodige technische en organisatorische maatregelen om de veiligheid en integriteit van de Europese database met kwetsbaarheden te waarborgen, met name om entiteiten, ongeacht of zij onder het toepassingsgebied van deze richtlijn vallen, en hun leveranciers van netwerk- en informatiesystemen in staat te stellen algemeen bekende kwetsbaarheden in ICT-producten of ICT-diensten op vrijwillige basis bekend te maken en te registreren. Alle belanghebbenden krijgen toegang tot de informatie over de kwetsbaarheden in de Europese database over kwetsbaarheden. Deze databank omvat:
(a) informatie die de kwetsbaarheid beschrijft;
(b) de getroffen ICT-producten of ICT-diensten en de ernst van de kwetsbaarheid in termen van de omstandigheden waaronder de kwetsbaarheid kan worden uitgebuit;
(c) de beschikbaarheid van patches en, bij gebrek aan patches, richtsnoeren van de bevoegde autoriteiten of de CSIRT's voor gebruikers van kwetsbare ICT-producten en ICT-diensten over de wijze waarop de risico's die voortvloeien uit openbaar gemaakte kwetsbaarheden, kunnen worden beperkt.