European flag

Uradni list
Evropske unije

SL

Serija L


2026/881

20.4.2026

DELEGIRANA UREDBA KOMISIJE (EU) 2026/881

z dne 11. decembra 2025

o dopolnitvi Uredbe (EU) 2024/2847 Evropskega parlamenta in Sveta z določitvijo pogojev za uporabo razlogov, povezanih s kibernetsko varnostjo, v zvezi z odložitvijo posredovanja obvestil

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2024/2847 Evropskega parlamenta in Sveta z dne 23. oktobra 2024 o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi uredb (EU) št. 168/2013 in (EU) 2019/1020 ter Direktive (EU) 2020/1828 (Akt o kibernetski odpornosti) (1) in zlasti člena 14(9) Uredbe,

ob upoštevanju naslednjega:

(1)

V izjemnih okoliščinah in zlasti na zahtevo proizvajalca ter ob upoštevanju stopnje občutljivosti sporočenih informacij in iz utemeljenih razlogov, povezanih s kibernetsko varnostjo, se lahko skupina za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupina CSIRT), imenovana za koordinatorja, ki je prvotno prejela obvestilo o aktivno izrabljeni ranljivosti ali resnem incidentu, ki vpliva na varnost izdelka z digitalnimi elementi (v nadaljnjem besedilu: skupina CSIRT, ki je prvotno prejela obvestilo), odloči, da za obdobje, ki je nujno potrebno, odloži posredovanje obvestila prek enotne platforme za poročanje skupinam CSIRT, imenovanim za koordinatorje na ozemlju, za katerega je proizvajalec, ki je predložil obvestilo, navedel, da je bil izdelek z digitalnimi elementi dan na voljo (v nadaljnjem besedilu: zadevne skupine CSIRT). Zato je treba določiti pogoje za uporabo takih razlogov. Kadar se uporabljajo taki razlogi, lahko skupina CSIRT, ki je prvotno prejela obvestilo, posredovanje zadevnim skupinam CSIRT odloži za obdobje, ki je nujno potrebno, ni pa k temu zavezana. V skladu s členom 16(2) Uredbe (EU) 2024/2847 bi morala skupina CSIRT, ki je prvotno prejela obvestilo in se odloči, da se bo sklicevala na take razloge, Agencijo Evropske unije za kibernetsko varnost (ENISA) nemudoma obvestiti o svoji odločitvi o odložitvi in razlogih zanjo ter o tem, kdaj namerava to obvestilo posredovati naprej.

(2)

V skladu s členom 16(2), drugi pododstavek, Uredbe (EU) 2024/2847 se pogoji za uporabo razlogov, povezanih s kibernetsko varnostjo, iz te uredbe ne uporabljajo za dostop agencije ENISA do sporočenih informacij. Dostop agencije ENISA do sporočenih informacij se lahko omeji le v posebnih izjemnih okoliščinah: kadar proizvajalec v svojem obvestilu navede, da je izpolnjen eden od treh pogojev iz člena 16(2), tretji pododstavek, točke (a), (b) ali (c), Uredbe (EU) 2024/2847, in sicer samo v zvezi z obvestilom o ranljivosti, ki se predloži v 72 urah, iz člena 14(2), točka (b), Uredbe (EU) 2024/2847. V takih primerih so edine informacije, ki jih je treba sočasno dati na voljo agenciji ENISA, informacije o tem, da je proizvajalec poslal obvestilo, splošne informacije o izdelku z digitalnimi elementi, informacije o splošni naravi izrabljene ranljivosti ter informacijo, da so bili navedeni razlogi, povezani z varnostjo.

(3)

Dostop do sporočenih informacij skupinam CSIRT omogoča pregled nad varnostnim okoljem na njihovem ozemlju in uvedbo blažilnih ukrepov, s čimer se zviša splošna raven kibernetske varnosti v Uniji. Zato bi morale biti nadaljnje omejitve posredovanja obvestil glede na naravo informacij, o katerih se obvešča, mogoče le v primerih, ko so glede na občutljivost sporočenih informacij tveganja za kibernetsko varnost, ki izhajajo iz nadaljnjega posredovanja, večja od varnostnih koristi za Unijo in teh tveganj ni mogoče ustrezno ublažiti z uvedbo omejitev za obravnavo in nadaljnje posredovanje obvestil z ustreznimi protokoli, ki se uporabljajo v mreži skupin CSIRT, kot sta semaforski protokol (protokol TLP) ali protokol dovoljenih ukrepov (protokol PAP). To se lahko na primer zgodi, če je proizvajalec skupino CSIRT, ki je prvotno prejela obvestilo, obvestil, da bo predvidoma v kratkem zagotovil blažilni ukrep (kot na primer popravek). Prav tako se to lahko zgodi tudi, kadar se skupina CSIRT, ki je prvotno prejela obvestilo, odloči posredovati le dele obvestila, ti deli pa kljub temu zadostujejo, da lahko zadevne skupine CSIRT zagotovijo uvedbo ustreznih ukrepov za blažitev tveganja. Poleg tega in za spodbujanje sodelovanja pri prepoznavanju in razkrivanju ranljivosti med proizvajalci, skupinami CSIRT in raziskovalci na področju varnosti se to lahko zgodi tudi, kadar skupina CSIRT deluje kot zaupanja vreden posrednik za tekoči postopek usklajenega razkrivanja ranljivosti iz člena 12(1) Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta (2). Kadar se skupina CSIRT v takem primeru odloči odložiti posredovanje obvestila, ga mora v skladu s členom 16(6) Uredbe (EU) 2024/2847 odložiti za obdobje, ki ni daljše od nujno potrebnega, in dokler strani, vpletene v usklajeno razkrivanje ranljivosti, ne podajo soglasja za razkritje.

(4)

Informacije, vključene v obvestilo, bodo skupinam CSIRT pomagale pri izpolnjevanju njihovih nalog v okviru blažitve tveganj in obvladovanja incidentov. V redkih primerih pa bi take informacije lahko zadostovale za oblikovanje tehnike izrabljanja brez dodatnih raziskav, tudi s strani akterjev z omejenimi znanji in viri. Če bi do teh informacij dostopali zlonamerni akterji, bi to glede na enostavnost izrabljanja močno vplivalo na kibernetsko varnost Unije. Do tega bi lahko na primer prišlo, kadar se ranljiva različica programske opreme le za spoznanje razlikuje od prejšnjih, neranljivih različic. V takih primerih velja, da če skupina CSIRT, ki je prvotno prejela obvestilo, meni, da tveganj za kibernetsko varnost, ki izhajajo iz nadaljnjega posredovanja, ni mogoče ustrezno ublažiti z uvedbo omejitev glede obravnave in nadaljnjega posredovanja, se lahko odloči, da posredovanje odloži, dokler ni na voljo učinkovit ukrep za blažitev tveganja, kot so na primer varnostna posodobitev ali smernice za uporabnike.

(5)

Če zadevna skupina CSIRT ne more ustrezno zaščititi sporočenih informacij, lahko do občutljivih informacij dostopajo zlonamerni akterji, te informacije pa bi se lahko izrabljale na celotnem enotnem trgu. Zato se lahko skupina CSIRT, ki je prvotno prejela obvestilo, v primeru resnih pomislekov glede zmožnosti zadevne skupine CSIRT, da zagotovi zaupnost sporočenih informacij, odloči, da posredovanje obvestila odloži samo v primeru te določene skupine CSIRT, dokler tovrstni pomisleki niso odpravljeni. To se lahko zgodi v primerih, ko je zadevno skupino CSIRT prizadel kibernetski incident, ki je vplival na njeno zmožnost varnega delovanja, ali kadar obstajajo dokazi ali informacije, da so bile odkrite znatne pomanjkljivosti v zmogljivostih zadevne skupine CSIRT, kot so resne omejitve virov, ki ogrožajo njeno zmožnost opravljanja funkcij, ali zanašanje na zastarelo ali ranljivo programsko opremo.

(6)

Da bi se zlonamernim akterjem preprečil dostop do občutljivih informacij, bi morala skupina CSIRT, ki je prvotno prejela obvestilo, v primeru, da je bila enotna platforma za poročanje, vzpostavljena na podlagi člena 16 Uredbe (EU) 2024/2847, ogrožena zaradi kibernetskega incidenta, odložiti posredovanje prek enotne platforme za poročanje, dokler se ponovno ne vzpostavi zmožnost platforme, da zagotovi zaupnost sporočenih informacij.

(7)

V skladu s prvim pododstavkom člena 16(2) Uredbe (EU) 2024/2847 skupini CSIRT, ki je prvotno prejela obvestilo, ni treba posredovati obvestila nobeni drugi zadevni skupini CSIRT, če proizvajalec navede, da je izdelek z digitalnimi elementi dostopen le na trgu države članice skupine CSIRT, ki je prvotno prejela obvestilo.

(8)

Komisija se je pri pripravi osnutka delegiranega akta posvetovala z ustreznimi deležniki in jih zaprosila za mnenja, posvetovala pa se je tudi s strokovno skupino za kibernetsko varnost izdelkov z digitalnimi elementi.

(9)

Komisija je v skladu s členom 14(9) Uredbe (EU) 2024/2847 pri pripravi osnutka delegiranega akta tesno sodelovala z mrežo skupin CSIRT, ustanovljeno na podlagi člena 15 Direktive (EU) 2022/2555, in agencijo ENISA –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Predmet urejanja

Ta uredba določa pogoje za uporabo razlogov, povezanih s kibernetsko varnostjo, iz člena 16(2) Uredbe (EU) 2024/2847, ki skupini CSIRT, imenovani za koordinatorja, ki je prvotno prejela obvestilo v skladu s členom 14(1) in (3) ter členom 15(1) in (2) navedene uredbe, omogočajo, da odloži posredovanje obvestila skupinam CSIRT, imenovanim za koordinatorje na ozemlju, za katerega je proizvajalec navedel, da je bil na njem izdelek z digitalnimi elementi dan na voljo.

Člen 2

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„skupina CSIRT, ki je prvotno prejela obvestilo“ pomeni skupino CSIRT, ki je imenovana za koordinatorja in ki je prvotno prejela obvestilo v skladu s členom 14(1) in (3) ter členom 15(1) in (2) Uredbe (EU) 2024/2847;

(2)

„zadevna skupina CSIRT“ pomeni skupino CSIRT, ki je imenovana za koordinatorja na ozemlju, za katerega je proizvajalec navedel, da je na njem izdelek z digitalnimi elementi dan na voljo.

Člen 3

Pogoji za uporabo razlogov, povezanih s kibernetsko varnostjo, ki izhajajo iz narave sporočenih informacij

Skupina CSIRT, ki je prvotno prejela obvestilo, se lahko odloči, da posredovanje obvestil ali njihovih delov zadevnim skupinam CSIRT odloži za obdobje, ki je omejeno na nujno potrebno, kadar so glede na občutljivost sporočenih informacij tveganja za kibernetsko varnost, ki jih predstavlja posredovanje, večja od njegovih varnostnih koristi in teh tveganj ni mogoče ublažiti z uvedbo omejitev za obravnavo ali nadaljnje posredovanje obvestila z ustreznimi protokoli, kot sta semaforski protokol (protokol TLP) ali protokol dovoljenih ukrepov (protokol PAP), in kadar je izpolnjen vsaj eden od naslednjih pogojev:

(a)

proizvajalec je skupino CSIRT, ki je prvotno prejela obvestilo, obvestil, da se pričakuje, da bo v 72 urah na voljo učinkovit ukrep za ublažitev tveganja, kot na primer varnostna posodobitev ali navodila za uporabnike; če v tem roku ni na voljo učinkovit ukrep za ublažitev tveganja, skupina CSIRT, ki je prvotno prejela obvestilo, to obvestilo posreduje zadevnim skupinam CSIRT;

(b)

informacije, vključene v obvestilo, se glede na naravo sporočene aktivno izrabljene ranljivosti štejejo za zadostne, da se oblikuje tehnika izrabljanja, zlasti kadar lahko akterji z omejenimi spretnostmi in viri ranljivost zlahka prepoznajo in izrabijo; ko je na voljo učinkovit ukrep za ublažitev tveganja, kot na primer varnostna posodobitev ali navodila za uporabnike, skupina CSIRT, ki je prvotno prejela obvestilo, to obvestilo posreduje zadevnim skupinam CSIRT;

(c)

skupina CSIRT, ki je prvotno prejela obvestilo, lahko z zadevnimi skupinami CSIRT deli zadostne informacije za zagotovitev, da lahko zadevne skupine CSIRT uvedejo ustrezne ukrepe za ublažitev tveganja; ko je na voljo učinkovit ukrep za ublažitev tveganja, kot na primer varnostna posodobitev ali navodila za uporabnike, skupina CSIRT, ki je prvotno prejela obvestilo, celotno obvestilo posreduje zadevnim skupinam CSIRT;

(d)

skupina CSIRT, ki je prvotno prejela obvestilo o aktivno izrabljeni ranljivosti, je bila o tem obveščena v okviru usklajenega razkrivanja ranljivosti, za katero ta skupina CSIRT deluje kot zaupanja vreden posrednik v skladu s členom 12(1) Direktive (EU) 2022/2555; v takem primeru in v skladu s členom 16(6) Uredbe (EU) 2024/2847 skupina CSIRT, ki je prvotno prejela obvestilo, to obvestilo posreduje zadevnim skupinam CSIRT, ko odložitev ni več nujno potrebna in strani, vključene v usklajeno razkrivanje ranljivosti, soglašajo z razkritjem.

Člen 4

Pogoji za uporabo razlogov, povezanih s kibernetsko varnostjo, v zvezi z določeno skupino CSIRT

Skupina CSIRT, ki je prvotno prejela obvestilo, se lahko odloči, da posredovanje obvestil ali njihovih delov določeni zadevni skupini CSIRT odloži za obdobje, ki je nujno potrebno, kadar:

(a)

je na zadevno skupino CSIRT vplival kibernetski incident, ki je vzbudil dvom o njeni zmožnosti zagotavljanja zaupnosti sporočenih informacij;

(b)

ima zadostne razloge za domnevo, da zmogljivosti zadevne skupine CSIRT ne zadostujejo za zagotovitev zaupnosti sporočenih informacij.

V primerih iz točke (a) prvega pododstavka lahko skupina CSIRT, ki je prvotno prejela obvestilo, posredovanje odloži, dokler zadevna skupina CSIRT mreže skupin CSIRT iz člena 15 Direktive 2022/2555 ne obvesti, da je njena zmožnost zagotavljanja zaupnosti obvestil ponovno vzpostavljena.

V primerih iz točke (b) prvega pododstavka lahko skupina CSIRT, ki je prvotno prejela obvestilo, posredovanje zadevni skupini CSIRT odloži, dokler ta skupina CSIRT ne predloži dokazov, da je odpravila ugotovljene pomanjkljivosti.

Člen 5

Pogoji za uporabo razlogov, povezanih s kibernetsko varnostjo, v zvezi z enotno platformo za poročanje

Skupina CSIRT, ki je prvotno prejela obvestilo, se lahko odloči odložiti posredovanje obvestil prek enotne platforme za poročanje, vzpostavljene s členom 16 Uredbe (EU) 2024/2847, kadar agencija ENISA mrežo skupin CSIRT v skladu s členom 16(4) navedene uredbe obvesti, da je na enotno platformo za poročanje vplival kibernetski incident, ki vzbuja dvom o njeni zmožnosti zagotavljanja zaupnosti sporočenih informacij. V takih primerih lahko skupina CSIRT, ki je prvotno prejela obvestilo, odloži posredovanje prek enotne platforme za poročanje, dokler agencija ENISA mreže skupin CSIRT ne obvesti, da je bila zmožnost platforme za zagotavljanje zaupnosti obvestil ponovno vzpostavljena.

Člen 6

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 11. decembra 2025

Za Komisijo

predsednica

Ursula VON DER LEYEN


(1)   UL L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj.

(2)  Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).


ELI: http://data.europa.eu/eli/reg_del/2026/881/oj

ISSN 1977-0804 (electronic edition)