1. Cada Estado miembro designará a uno de sus CSIRT como coordinador a efectos de la divulgación coordinada de las vulnerabilidades. El CSIRT designado como coordinador ejercerá de intermediario de confianza y facilitará, cuando sea necesario, la interacción entre la persona física o jurídica que notifique una vulnerabilidad y el fabricante o proveedor de los productos de TIC o los servicios de TIC potencialmente vulnerables, a petición de cualquiera de las partes. Los cometidos del CSIRT designado como coordinador incluirán:
|
a) |
identificar y contactar a las entidades afectadas; |
|
b) |
prestar asistencia a las personas físicas o jurídicas que notifican una vulnerabilidad, y |
|
c) |
negociar los plazos de divulgación y gestionar las vulnerabilidades que afectan a múltiples entidades. |
Los Estados miembros velarán por que las personas físicas o jurídicas que así lo soliciten puedan notificar de forma anónima una vulnerabilidad al CSIRT designado como coordinador. El CSIRT designado como coordinador velará por que se lleve a cabo un seguimiento diligente de la vulnerabilidad notificada y garantizará el anonimato de la persona física o jurídica que notifique la vulnerabilidad. Cuando la vulnerabilidad notificada pueda repercutir significativamente en entidades de más de un Estado miembro, el CSIRT designado como coordinador de cada Estado miembro afectado cooperará, cuando proceda, con los demás CSIRT designados como coordinadores en el marco de la red de CSIRT.
2. La ENISA desarrollará y mantendrá, previa consulta con el Grupo de Cooperación, una base de datos europea de vulnerabilidades. Para ello, la ENISA establecerá y mantendrá los sistemas de información, las políticas y los procedimientos apropiados, y adoptará las medidas técnicas y organizativas necesarias para garantizar la seguridad y la integridad de la base de datos europea de vulnerabilidades, con vistas, en particular, a permitir que las entidades, con independencia de si están incluidas en el ámbito de aplicación de la presente Directiva y sus proveedores de sistemas de redes y de información divulguen y registren, de manera voluntaria, vulnerabilidades conocidas públicamente presentes en los productos de TIC o los servicios de TIC. Se facilitará a todas las partes interesadas acceso a la información sobre las vulnerabilidades que figura en la base de datos europea de vulnerabilidades. Dicha base de datos incluirá:
|
a) |
información que describa la vulnerabilidad; |
|
b) |
los productos de TIC o los servicios de TIC afectados y la gravedad de la vulnerabilidad por lo que respecta a las circunstancias en que puede explotarse; |
|
c) |
la disponibilidad de parches de seguridad asociados y, a falta de ellos, las orientaciones proporcionadas por las autoridades competentes o los CSIRT dirigidas a los usuarios de productos de TIC y los servicios de TIC vulnerables sobre la forma de reducir los riesgos derivados de las vulnerabilidades reveladas. |
