Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 14 Obligations en matière de communication d’informations incombant aux fabricants

    1. Un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifie toute vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; contenue dans le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont il prend connaissance simultanément au CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. conformément au paragraphe 7 du présent article, et à l’ENISA. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifie cette vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.

    1. Aux fins de la notification visée au paragraphe 1, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soumet:

      1. une alerte précoce de vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système;, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, en indiquant, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été mis à disposition;

      2. à moins que les informations pertinentes n’aient déjà été communiquées, une notification de vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de la vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système;, fournissant les informations générales disponibles sur le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné, la nature générale de l’exploitation et de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; concernée, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, s’il y a lieu, le degré de sensibilité qu’il attribue aux informations notifiées;

      3. à moins que les informations pertinentes n’aient déjà été communiquées, un rapport final, au plus tard 14 jours après la mise à disposition d’une mesure de correction ou d’atténuation, comprenant au moins les éléments suivants:

        1. une description de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, y compris de sa gravité et de ses répercussions;

        2. le cas échéant, des informations concernant tout acteur malveillant ayant exploité ou exploitant la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;;

        3. des précisions concernant la mise à jour de sécurité ou les autres mesures correctives qui ont été mises en place pour remédier à la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;.

    1. Un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifie tout incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont il prend connaissance simultanément au CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. conformément au paragraphe 7 du présent article et à l’ENISA. Le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; notifie cet incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.

    1. Aux fins de la notification visée au paragraphe 3, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soumet:

      1. une alerte précoce d’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, indiquant, au minimum, si l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; pourrait avoir été causé par des actes illicites ou malveillants et, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été mis à disposition;

      2. à moins que les informations pertinentes n’aient déjà été communiquées, une notification d’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, fournissant les informations générales, lorsqu’elles sont disponibles, sur la nature de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, l’évaluation initiale de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, le cas échéant, le degré de sensibilité qu’il attribue aux informations notifiées;

      3. à moins que les informations pertinentes n’aient déjà été communiquées, dans un délai d’un mois à compter de la présentation de la notification d’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; visée au point b), un rapport final comprenant au moins les éléments suivants:

        1. une description détaillée de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, y compris de sa gravité et de ses répercussions;

        2. le type de menace ou la cause profonde qui a probablement déclenché l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;;

        3. les mesures d’atténuation appliquées et en cours.

    1. Aux fins du paragraphe 3, un incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions; est considéré comme grave lorsque:

      1. il entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions sensibles ou importantes; ou

      2. il a conduit ou est susceptible de conduire à l’introduction ou à l’exécution d’un code malveillant dans un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou dans le réseau et les systèmes d’information d’un utilisateur du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

    1. Si nécessaire, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit initialement la notification peut demander au fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de fournir un rapport intermédiaire de situation concernant la vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

    1. Les notifications visées aux paragraphes 1 et 3 du présent article sont soumises par l’intermédiaire de la plateforme unique de signalement visée à l’article 16 en utilisant l’un des points finaux de notification électronique visés à l’article 16, paragraphe 1. La notification est soumise au moyen du point final de notification électronique du CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. de l’État membre dans lequel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a son établissement principal dans l’Union et est simultanément mise à la disposition de l’ENISA.

    2. Aux fins du présent règlement, un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est réputé avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; concerné possède l’établissement comptant le plus grand nombre de salariés dans l’Union.

    3. Lorsqu’un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; n’a pas d’établissement principal dans l’Union, il soumet les notifications visées aux paragraphes 1 et 3 en utilisant le point final de notification électronique du CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. dans l’État membre déterminé conformément à l’ordre suivant, selon les informations dont dispose le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;:

      1. l’État membre dans lequel le mandataire: une personne physique ou morale établie dans l’Union ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées; agissant au nom du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pour le plus grand nombre de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; de ce fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est établi;

      2. l’État membre dans lequel l’importateur: une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union; qui met sur le marché le plus grand nombre de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; de ce fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est établi;

      3. l’État membre dans lequel le distributeur: une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés; qui met à disposition sur le marché le plus grand nombre de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; de ce fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est établi;

      4. l’État membre dans lequel se trouvent le plus grand nombre d’utilisateurs de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; de ce fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;.

    4. En ce qui concerne le troisième alinéa, point d), un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; peut soumettre des notifications relatives à tout nouveau cas de vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou d’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant un impact sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; au même CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. que celui avec lequel il a communiqué la première fois.

    1. Après avoir pris connaissance d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou d’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; informe les utilisateurs du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; touchés et, s’il y a lieu, tous les utilisateurs de ladite vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; ou dudit incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; et, si nécessaire, de toute mesure corrective ou d’atténuation des risques que les utilisateurs peuvent mettre en place pour atténuer les répercussions de cette vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; ou de cet incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;, s’il y a lieu dans un format structuré, lisible par machine pouvant être facilement traité automatiquement. Lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; n’informe pas les utilisateurs du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; en temps utile, les CSIRT notifiés désignés comme coordinateurs peuvent fournir ces informations aux utilisateurs lorsqu’ils le jugent proportionné et nécessaire pour prévenir ou atténuer les répercussions de cette vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; ou de cet incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;.

    1. Au plus tard le 11 décembre 2025, la Commission adopte des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en lien avec les retards de diffusion des notifications prévus à l’article 16, paragraphe 2, du présent règlement. La Commission coopère avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer les projets d’actes délégués.

    1. La Commission peut, par voie d’actes d’exécution, préciser plus en détail le format et les procédures des notifications visées au présent article ainsi qu’aux articles 15 et 16. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2. La Commission coopère avec le réseau des CSIRT et l’ENISA pour préparer les projets d’actes d’exécution.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod