Статья 12. Согласованное раскрытие информации об уязвимостях и европейская база данных уязвимостей. Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14.12.2022 о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)

Статья 12
Согласованное раскрытие информации об уязвимостях и европейская база данных уязвимостей

1. Каждое государство-член ЕС должно назначить одну из своих групп CSIRTs координатором для целей согласованного раскрытия информации об уязвимостях. Назначенная в качестве координатора CSIRT должна выступать в роли доверенного посредника, оказывающего содействие, по мере необходимости, взаимодействию между физическим или юридическим лицом, сообщающим об уязвимости, и производителем или поставщиком потенциально уязвимых продуктов ICT или услуг ICT, по запросу одной из сторон. Задачи CSIRT, назначенной в качестве координатора, включают в себя:

(a) идентификацию заинтересованных организаций и установление с ними контактов;

(b) оказание помощи физическим или юридическим лицам, сообщающим об уязвимости; и

(c) согласование сроков раскрытия информации и управление уязвимостями, которые затрагивают несколько организаций.

Государства-члены ЕС должны гарантировать, что физические или юридические лица способны сообщать, по их просьбе анонимно, об уязвимости группе CSIRT, назначенной в качестве координатора. Назначенная в качестве координатора CSIRT должна гарантировать выполнение тщательно продуманных последующих действий в отношении заявленной уязвимости и должна обеспечить анонимность физического или юридического лица, сообщающего об уязвимости. В том случае, если заявленная уязвимость может оказать существенное влияние на организации более чем в одном государстве-члене ЕС, CSIRT, назначенная в качестве координатора каждого соответствующего государства-члена ЕС, должна, при необходимости, сотрудничать с другими группами CSIRTs, назначенными в качестве координаторов, в рамках сети CSIRTs.

2. Агентство Европейского Союза по обеспечению кибербезопасности (ENISA) после консультаций с Группой по сотрудничеству должно разработать европейскую базу данных уязвимостей и поддерживать ее функционирование. В этой связи ENISA должно создать и поддерживать в рабочем состоянии соответствующие информационные системы, принципы и процедуры, а также должно принять необходимые технические и организационные меры для обеспечения безопасности и целостности европейской базы данных уязвимостей в целях, в частности, предоставления организациям, вне зависимости от того, подпадают ли они под сферу применения настоящей Директивы, и обеспечения их поставщикам сетевых и информационных систем возможности раскрывать и регистрировать на добровольной основе информацию об общеизвестных уязвимостях в продуктах ICT или в услугах ICT. Всем заинтересованным сторонам должен быть предоставлен доступ к информации об уязвимостях, содержащейся в европейской базе данных уязвимостей. Указанная база данных должна включать в себя:

(a) информацию с описанием уязвимости;

(b) затрагиваемые продукты ICT или услуги ICT, а также степень уязвимости с точки зрения обстоятельств, при которых они могут быть использованы;

(c) соответствующие исправления и, при отсутствии доступных исправлений, рекомендации компетентных органов или групп CSIRTs, адресованные пользователям уязвимых продуктов ICT и услуг ICT, относительно того, как можно минимизировать риски, возникающие в результате выявленных уязвимостей.