Член 12

Координирано оповестяване на уязвимости и Европейска база данни за уязвимостите

1.Всяка държава членка определя един от своите екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС) като координатор за целите на координираното оповестяване на уязвимости. Определеният за координатор ЕРИКС действа като доверен посредник, улесняващ при необходимост взаимодействието между физическото или юридическото лице, докладващо за уязвимост, и производителя или доставчика на ИКТ продукти или ИКТ услуги, които са потенциално уязвими, при поискване от която и да е от страните. Задачите на определения за координатор ЕРИКС включват:

а) идентифициране и установяване на контакт със засегнатите субекти;

б) подпомагане на физическите или юридическите лица, докладващи за уязвимост; и

в) договаряне на срокове за оповестяване и управление на уязвимостите, които засягат множество субекти.

Държавите членки гарантират, че физическите или юридическите лица могат да докладват анонимно на определения за координатор ЕРИКС за уязвимост, при поискване от тяхна страна в тази връзка. Определеният за координатор ЕРИКС гарантира, че се извършват надлежни последващи действия по отношение на докладваната уязвимост, и гарантира анонимността на физическото или юридическото лице, докладващо за уязвимостта. Когато докладвана уязвимост би могла да окаже значително въздействие върху субекти в повече от една държава членка, определеният за координатор ЕРИКС на всяка засегната държава членка, по целесъобразност, си сътрудничи с други определени за координатори ЕРИКС в рамките на мрежата на ЕРИКС.

2.ENISA разработва и поддържа, след консултация с групата за сътрудничество, Европейска база данни за уязвимостите. За тази цел ENISA създава и поддържа подходящите информационни системи, политики и процедури и приема необходимите технически и организационни мерки, за да гарантира сигурността и целостта на Европейската база данни за уязвимостите, по-специално за да даде възможност на субектите, независимо дали попадат в обхвата на настоящата директива, и техните доставчици на мрежови и информационни системи да оповестяват и регистрират, на доброволна основа, публично известни уязвимости, налични в ИКТ продукти или ИКТ услуги. На всички заинтересовани страни се предоставя достъп до информацията за уязвимостите, съдържаща се в Европейската база данни за уязвимостите. Тази база данни включва:

а) информация, описваща уязвимостта;

б) засегнатите ИКТ продукти или ИКТ услуги и тежестта на уязвимостта с оглед на обстоятелствата, при които тя може да бъде използвана злонамерено;

в) наличността на съответните корекции и, при липса на налични корекции, насоки, предоставени от компетентните органи или ЕРИКС, насочени към потребителите на уязвими ИКТ продукти и ИКТ услуги за това как да бъде ограничен рискът, произтичащ от оповестените уязвимости.