Article 15 Signalement volontaire

Les vulnérabilités activement exploitées concernent les cas où un fabricant établit qu’une faille de sécurité touchant ses utilisateurs ou toute autre personne physique ou morale résulte de l’utilisation par une personne malveillante d’une faille dans l’un des produits comportant des éléments numériques mis à disposition sur le marché par le fabricant. Il peut s’agir par exemple de vulnérabilités dans les fonctions d’identification et d’authentification d’un produit. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Les incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques sont, quant à eux, des situations dans lesquelles un incident de cybersécurité perturbe les processus de développement, de production ou de maintenance du fabricant d’une manière telle qu’il pourrait en résulter un risque accru de cybersécurité pour les utilisateurs ou d’autres personnes. Un tel incident grave pourrait notamment désigner la situation dans laquelle un pirate aurait réussi à introduire un code malveillant dans le canal de diffusion par lequel le fabricant publie ses mises à jour de sécurité à l’intention des utilisateurs.

Lorsque les fabricants notifient une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ils doivent indiquer la nature sensible qu’ils estiment devoir attribuer à l’information notifiée. Le CSIRT désigné comme coordinateur qui reçoit le premier la notification doit tenir compte de ces informations lorsqu’il évalue si la notification donne lieu à des circonstances exceptionnelles qui justifient de retarder la diffusion de la notification aux autres CSIRT concernés désignés comme coordinateurs, pour des motifs justifiés ayant trait à la cybersécurité. Il doit également tenir compte de ces informations lorsqu’il évalue si la notification d’une vulnérabilité activement exploitée donne lieu à des circonstances particulièrement exceptionnelles qui justifient que la notification complète ne soit pas mise à la disposition de l’ENISA au même moment. Enfin, les CSIRT désignés comme coordinateurs devraient être en mesure de prendre en considération ces informations lorsqu’ils définissent les mesures appropriées pour atténuer les risques découlant de ces vulnérabilités et incidents.

Les fabricants et autres personnes physiques et morales devraient pouvoir notifier à un CSIRT désigné comme coordinateur ou à l’ENISA, à titre volontaire, toute vulnérabilité contenue dans un produit comportant des éléments numériques, les cybermenaces qui pourraient influer sur le profil de risque d’un produit comportant des éléments numériques, tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que les incidents évités de justesse qui auraient pu déboucher sur un tel incident.

Les États membres devraient s’efforcer de traiter, dans la mesure du possible, les difficultés auxquelles sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à une responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Afin de garantir une coopération constructive et de confiance entre les autorités de surveillance du marché au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches.