Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 16 Mise en place d’une plateforme unique de signalement

    1. Aux fins des notifications visées à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, et afin de simplifier les obligations de signalement des fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, l’ENISA met en place une plateforme unique de signalement. Les opérations quotidiennes de la plateforme unique de signalement sont administrées par l’ENISA, qui en assure le fonctionnement. L’architecture de la plateforme unique de signalement permet aux États membres et à l’ENISA de mettre en place leurs propres points finaux de notification électronique.

    1. Après réception d’une notification, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit initialement la notification diffuse, sans retard, la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a indiqué que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été mis à disposition.

    2. Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et compte tenu du degré de sensibilité des informations notifiées indiqué par celui-ci en vertu de l’article 14, paragraphe 2, point a), du présent règlement, la diffusion de la notification peut être retardée pour des motifs justifiés ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour une période limitée à ce qui est strictement nécessaire, y compris lorsqu’une vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; fait l’objet d’une procédure de divulgation coordonnée des vulnérabilités au titre de l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Lorsqu’un CSIRT décide de retarder la diffusion d’une notification, il en informe immédiatement l’ENISA et fournit à la fois une justification du report de la diffusion de la notification et une indication de la date à laquelle il diffusera la notification conformément à la procédure de diffusion prévue au présent paragraphe. L’ENISA peut soutenir le CSIRT pour l’application de motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en ce qui concerne le report de la diffusion de la notification.

    3. Dans des circonstances particulièrement exceptionnelles, lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique, dans la notification visée à l’article 14, paragraphe 2, point b):

      1. que la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée a été activement exploitée par un acteur malveillant et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. auquel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a notifié la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;;

      2. que toute diffusion ultérieure immédiate de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée entraînerait probablement la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre; ou

      3. que la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée présente un risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; imminent élevé en cas de poursuite de la diffusion.

    4. Seules l’information qu’une notification a été effectuée par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, les informations générales sur le produit, les informations sur la nature générale de l’exploitation et les informations indiquant que des motifs ayant trait à la sécurité ont été soulevés sont mises simultanément à la disposition de l’ENISA jusqu’à ce que la notification complète soit diffusée aux CSIRT concernés et à l’ENISA. Lorsque, sur la base de ces informations, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle recommande au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à elle-même.

    1. Après avoir reçu notification d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou d’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, les CSIRT désignés comme coordinateurs fournissent aux autorités de surveillance du marché de leurs États membres respectifs les informations notifiées dont elles ont besoin pour s’acquitter des obligations qui leur incombent en vertu du présent règlement.

    1. L’ENISA prend des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de la plateforme unique de signalement et des informations soumises ou diffusées par l’intermédiaire de cette plateforme. Elle notifie sans retard injustifié tout incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de sécurité affectant la plateforme unique de signalement au réseau des CSIRT ainsi qu’à la Commission.

    1. L’ENISA, en coopération avec le réseau des CSIRT, fournit et met en œuvre des spécifications pour les mesures techniques, opérationnelles et organisationnelles relatives à la mise en place, à la maintenance et au fonctionnement sécurisé de la plateforme unique de signalement visée au paragraphe 1, comprenant au moins les dispositions de sécurité liées à la mise en place, au fonctionnement et à la maintenance de la plateforme unique de signalement, ainsi que les points finaux de notification électronique mis en place par les CSIRT désignés comme coordinateurs au niveau national et par l’ENISA au niveau de l’Union, y compris les aspects procéduraux visant à garantir que, lorsqu’une vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée ne comporte pas de mesures correctives ou d’atténuation des risques, les informations relatives à cette vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; sont partagées conformément à des protocoles de sécurité stricts et sur la base du besoin d’en connaître.

    1. Lorsqu’un CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. a été informé d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; dans le cadre d’une procédure de divulgation coordonnée des vulnérabilités visée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit initialement la notification peut retarder la diffusion de la notification en question par l’intermédiaire de la plateforme unique de signalement pour des motifs justifiés ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour une période limitée à ce qui est strictement nécessaire et jusqu’à ce que les parties à la divulgation coordonnée des vulnérabilités concernées aient donné leur consentement. Cette exigence n’empêche pas les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de notifier une telle vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; de manière volontaire conformément à la procédure prévue au présent article.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod