1. Cada Estado-Membro deve designar uma das suas CSIRT como coordenadora para efeitos da divulgação coordenada de vulnerabilidades. A CSIRT designada coordenadora deve desempenhar o papel de intermediário de confiança, facilitando, quando necessário, a interação entre a pessoa singular ou coletiva notificadora e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de TIC que sejam potencialmente vulneráveis, a pedido de qualquer uma das partes. As funções da CSIRT designada coordenadora devem incluir:
|
a) |
A identificação e o contacto das entidades em causa; |
|
b) |
A prestação de apoio às pessoas singulares ou coletivas que notifiquem as vulnerabilidades; e |
|
c) |
A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades. |
Os Estados-Membros devem assegurar que as pessoas singulares ou coletivas possam comunicar uma vulnerabilidade à CSIRT designada coordenadora, de forma anónima se assim o solicitarem. A CSIRT designada coordenadora assegura a realização de ações de acompanhamento diligentes no que diz respeito à vulnerabilidade comunicada e assegura o anonimato da pessoa singular ou coletiva que comunica a vulnerabilidade. Nos casos em que a vulnerabilidade notificada possa ter um impacto importante sobre entidades em mais do que um Estado-Membro, a CSIRT designada como coordenadora por cada Estado-Membro em causa deve, se for caso disso, cooperar com outras CSIRT designadas como coordenadoras no âmbito da rede de CSIRT.
2. Após consulta do grupo de cooperação, a ENISA deve criar e manter uma base de dados europeia de vulnerabilidades. Para tal, deve estabelecer e manter sistemas de informação, políticas e procedimentos adequados, e adotar as medidas técnicas e organizativas necessárias para assegurar a segurança e a integridade da base de dados europeia de vulnerabilidades, tendo em vista, em especial, permitir que entidades, independentemente de estarem abrangidas pelo âmbito da presente diretiva, e os respetivos fornecedores de sistemas de rede e informação, divulguem e registem, a título voluntário, vulnerabilidades publicamente conhecidas presentes nos produtos de TIC ou serviços de TIC. Todas as partes interessadas devem ter acesso às informações sobre as vulnerabilidades constantes da base de dados europeia de vulnerabilidades. A referida base de dados deve incluir:
|
a) |
Informações que descrevam a vulnerabilidade; |
|
b) |
Os produtos de TIC ou os serviços de TIC afetados e a gravidade da vulnerabilidade em termos das circunstâncias em que pode ser explorada; |
|
c) |
A disponibilidade de correções e, na falta de correções, orientações fornecidas pelas autoridades competentes ou CSIRT destinadas aos utilizadores de produtos de TIC e serviços de TIC vulneráveis sobre formas de minimizar os riscos resultantes das vulnerabilidades divulgadas. |
