1. Os Estados-Membros devem assegurar que, para além da obrigação de notificação prevista no artigo 23.o, as notificações possam ser apresentadas às CSIRT ou, se aplicável, às autoridades competentes, a título voluntário, por:
a) |
Entidades essenciais e importantes em caso de incidentes, ciberameaças e quase incidentes; |
b) |
Entidades que não as referidas na alínea a), independentemente de serem ou não abrangidas pelo âmbito de aplicação da presente diretiva, em caso de incidentes significativos, ciberameaças e quase incidentes. |
2. Os Estados-Membros devem tratar as notificações a que se refere o n.o 1 do presente artigo de acordo com o procedimento previsto no artigo 23.o. Os Estados-Membros podem dar prioridade ao tratamento das notificações obrigatórias em relação às notificações voluntárias.
Se necessário, as CSIRT e, se aplicável, as autoridades competentes fornecem aos pontos de contacto único as informações sobre as notificações recebidas nos termos do presente artigo, garantindo simultaneamente a confidencialidade e a proteção adequada das informações fornecidas pela entidade notificadora. Sem prejuízo da prevenção, investigação, deteção e repressão de infrações penais, a notificação voluntária não pode dar origem à imposição de quaisquer obrigações adicionais à entidade notificadora, às quais não estaria sujeita se não tivesse apresentado a notificação.