Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава II. Согласованные рамки кибербезопасности
- Статья 12. Согласованное раскрытие информации об уязвимостях и европейская база данных уязвимостей
Статья 12. Согласованное раскрытие информации об уязвимостях и европейская база данных уязвимостей
Статья 12
Согласованное раскрытие информации об уязвимостях и европейская база данных уязвимостей
1. Каждое государство-член ЕС должно назначить одну из своих групп CSIRTs координатором для целей согласованного раскрытия информации об уязвимостях. Назначенная в качестве координатора CSIRT должна выступать в роли доверенного посредника, оказывающего содействие, по мере необходимости, взаимодействию между физическим или юридическим лицом, сообщающим об уязвимости, и производителем или поставщиком потенциально уязвимых продуктов ICT или услуг ICT, по запросу одной из сторон. Задачи CSIRT, назначенной в качестве координатора, включают в себя:
(a) идентификацию заинтересованных организаций и установление с ними контактов;
(b) оказание помощи физическим или юридическим лицам, сообщающим об уязвимости; и
(c) согласование сроков раскрытия информации и управление уязвимостями, которые затрагивают несколько организаций.
Государства-члены ЕС должны гарантировать, что физические или юридические лица способны сообщать, по их просьбе анонимно, об уязвимости группе CSIRT, назначенной в качестве координатора. Назначенная в качестве координатора CSIRT должна гарантировать выполнение тщательно продуманных последующих действий в отношении заявленной уязвимости и должна обеспечить анонимность физического или юридического лица, сообщающего об уязвимости. В том случае, если заявленная уязвимость может оказать существенное влияние на организации более чем в одном государстве-члене ЕС, CSIRT, назначенная в качестве координатора каждого соответствующего государства-члена ЕС, должна, при необходимости, сотрудничать с другими группами CSIRTs, назначенными в качестве координаторов, в рамках сети CSIRTs.
2. Агентство Европейского Союза по обеспечению кибербезопасности (ENISA) после консультаций с Группой по сотрудничеству должно разработать европейскую базу данных уязвимостей и поддерживать ее функционирование. В этой связи ENISA должно создать и поддерживать в рабочем состоянии соответствующие информационные системы, принципы и процедуры, а также должно принять необходимые технические и организационные меры для обеспечения безопасности и целостности европейской базы данных уязвимостей в целях, в частности, предо