Kapitel II - PFLICHTEN DER WIRTSCHAFTSAKTEURE UND BESTIMMUNGEN IN BEZUG AUF FREIE UND QUELLOFFENE SOFTWARE
15

Artikel 15

Freiwillige Meldungen

Verordnung (EU) 2024/2847 — veröffentlicht 10. Dezember 2024 · Letzte Prüfung durch Kunnus: März 2026

Schnellantwort für Hersteller

Artikel 15 erlaubt freiwillige Meldungen anderer Akteure (Forscher, Importeure, Drittparteien) an die zuständige CSIRT — ohne Haftungsrisiko für den Melder. Eine wichtige Ergänzung zur Pflichtmeldung des Herstellers nach Artikel 14.

Diese Schnellantwort + FAQ ergänzen den Original-Rechtstext mit praxisorientierter Auslegung. Rechtsverbindlich ist allein der Originaltext.

(1)

Hersteller sowie andere natürliche oder juristische Personen können jede in einem Produkt mit digitalen Elementen enthaltene Schwachstelle sowie Cyberbedrohungen, die sich auf das Risikoprofil eines Produkts mit digitalen Elementen auswirken könnten, freiwillig einem als Koordinator benannten CSIRT oder der ENISA melden.

(2)

Hersteller sowie andere natürliche oder juristische Personen können jeden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt, sowie Beinahe-Vorfälle, die zu einem solchen Sicherheitsvorfall hätten führen können, auf freiwilliger Basis einem als Koordinator benannten CSIRT oder der ENISA melden.

(3)

Das als Koordinator benannte CSIRT oder die ENISA bearbeitet die in den Absätze 1 und 2 genannten Meldungen nach dem in Artikel 16 vorgesehenen Verfahren. Das als Koordinator benannte CSIRT kann verpflichtende Meldungen vorrangig vor freiwilligen Meldungen bearbeiten.

(4)

Meldet eine andere natürliche oder juristische Person als der Hersteller gemäß Absatz 1 oder 2 eine aktiv ausgenutzte Schwachstelle oder einen schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit eines Produkts mit digitalen Elementen, so unterrichtet das als Koordinator benannte CSIRT den Hersteller unverzüglich.

(5)

Die als Koordinator benannten CSIRTs und die ENISA stellen die Vertraulichkeit und den angemessenen Schutz der von einer meldenden natürlichen oder juristischen Person übermittelten Informationen sicher. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen die freiwilligen Meldungen nicht dazu führen, dass der meldenden natürlichen oder juristischen Person zusätzliche Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

Häufige Hersteller-Fragen

Wer kann freiwillig nach Artikel 15 melden?

Jede Person mit Kenntnis einer Schwachstelle oder eines Vorfalls — Sicherheitsforscher, Bug-Bounty-Teilnehmer, Importeure, Endkunden. Die Meldung erfolgt an die zuständige CSIRT oder direkt an die ENISA.

Gibt es Haftungsrisiko für den Melder?

Nein, sofern die Meldung in gutem Glauben erfolgt. Artikel 15 schützt freiwillige Melder ausdrücklich vor zivil- und strafrechtlichen Folgen, soweit nationales Recht das zulässt.

Wie verhält sich Artikel 15 zu Bug-Bounty-Programmen?

Artikel 15 schafft den rechtlichen Rahmen, der Bug-Bounty-Meldungen an Behörden absichert. Bug-Bounties an Hersteller bleiben davon unberührt; die freiwillige Behörden-Meldung ist ein zusätzlicher Kanal.

Verwandte Erwägungsgründe

(1)

CRA-Updates per E-Mail

Fristen, Guidance und Mythos-Faktenchecks rund um den Cyber Resilience Act — kompakt im Newsletter.

Newsletter ansehen

Dieser Text wurde aus der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 übernommen. Die Darstellung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Maßgeblich ist allein der im Amtsblatt der Europäischen Union veröffentlichte Wortlaut. Originaltext auf EUR-Lex