Article 16 Mise en place d’une plateforme unique de signalement

Les fabricants doivent notifier simultanément, via la plateforme unique de signalement, au centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur et à l’ENISA les vulnérabilités activement exploitées contenues dans les produits comportant des éléments numériques, ainsi que les incidents graves ayant des répercussions sur la sécurité de ces produits. Les notifications doivent être transmises au moyen du point terminal de notification électronique d’un CSIRT désigné comme coordinateur et doivent être simultanément mises à la disposition de l’ENISA.

Pour garantir que les notifications peuvent être diffusées rapidement à tous les CSIRT désignés comme coordinateurs et pour permettre aux fabricants de soumettre une seule notification à chaque étape du processus de notification, l’ENISA doit créer une plateforme unique de signalement avec des points finaux de notification électronique nationaux. Les opérations quotidiennes de la plateforme unique de signalement doivent être administrées par l’ENISA qui en assurera le fonctionnement. Les CSIRT désignés comme coordinateurs doivent informer leurs autorités de surveillance du marché respectives des vulnérabilités ou incidents qui ont été notifiés. La plateforme unique de signalement devrait être conçue de manière à garantir la confidentialité des notifications, en particulier en ce qui concerne les vulnérabilités pour lesquelles une mise à jour de sécurité n’est pas encore disponible. En outre, l’ENISA devrait mettre en place des procédures pour traiter les informations de manière sûre et confidentielle. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

Dans des circonstances exceptionnelles et en particulier à la demande du fabricant, le CSIRT désigné comme coordinateur qui reçoit le premier une notification devrait pouvoir décider de retarder sa diffusion aux autres CSIRT concernés désignés comme coordinateurs via la plateforme unique de signalement, lorsque cela peut être justifié par des motifs ayant trait à la cybersécurité et pour la durée strictement nécessaire. Le CSIRT désigné comme coordinateur doit immédiatement informer l’ENISA de la décision de retarder la diffusion et des raisons de ce retard, ainsi que de la date à laquelle il prévoit de procéder à cette diffusion. La Commission devrait élaborer, par voie d’un acte délégué, des spécifications sur les modalités et conditions d’application des motifs ayant trait à la cybersécurité et devrait coopérer avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer le projet d’acte délégué. Parmi les exemples de motifs ayant trait à la cybersécurité, figurent une procédure coordonnée de divulgation des vulnérabilités ou bien des situations dans lesquelles un fabricant est censé fournir une mesure d’atténuation à brève échéance et où les risques pour la cybersécurité d’une diffusion immédiate via la plateforme unique de signalement l’emportent sur les avantages qu’elle apporterait. Si le CSIRT désigné comme coordinateur le demande, l’ENISA doit être en mesure de l’aider à faire valoir les motifs liés à la cybersécurité pour retarder la diffusion de la notification sur la base des informations que l’ENISA a reçues de ce CSIRT sur la décision de ne pas diffuser une notification pour lesdits motifs. De plus, dans des circonstances tout à fait exceptionnelles, il y a lieu que l’ENISA ne reçoive pas simultanément tous les détails d’une notification de vulnérabilité activement exploitée. Ce serait le cas lorsque le fabricant indique dans sa notification que la vulnérabilité notifiée a été activement exploitée par une personne malveillante et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur auquel le fabricant a notifié la vulnérabilité, lorsque toute nouvelle diffusion immédiate de la vulnérabilité notifiée entraînerait probablement la transmission d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre, ou lorsque la vulnérabilité notifiée présente un risque élevé et imminent de cybersécurité du fait de sa diffusion ultérieure. Dans de tels cas, l’ENISA ne recevra simultanément que l’information qu’une notification a été effectuée par le fabricant, des informations générales sur le produit comportant des éléments numériques concerné, l’information sur la nature générale de l’exploitation et l’information sur le fait que ces motifs de sécurité ont été soulevés par le fabricant et que le contenu complet de la notification n’est donc pas divulgué. La notification complète doit alors être mise à la disposition de l’ENISA et d’autres CSIRT désignés comme coordinateurs lorsque le CSIRT désigné comme coordinateur qui reçoit le premier la notification constate que ces motifs de sécurité, en raison de circonstances particulièrement exceptionnelles telles qu’établies dans le présent règlement, ont disparu. Lorsque, sur la base des informations disponibles, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle doit recommander au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à l’ENISA elle-même.

Afin de simplifier la communication des informations requises au titre du présent règlement, compte tenu des autres exigences complémentaires en matière de communication prévues par le droit de l’Union, telles que le règlement (UE) 2016/679, le règlement (UE) 2022/2554 du Parlement européen et du Conseil(²⁵)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1)., la directive 2002/58/CE du Parlement européen et du Conseil(²⁶)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L 201 du 31.7.2002, p. 37). et la directive (UE) 2022/2555, et afin de réduire la charge administrative pesant sur les entités, les États membres sont incités à étudier la possibilité de mettre en place, au niveau national, des points d’entrée uniques pour lesdites exigences en matière de communication d’informations. L’utilisation de ces points d’entrée uniques nationaux pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement, l’ENISA doit prendre en compte la possibilité pour les points finaux nationaux de notification électronique visés dans le présent règlement d’être intégrés dans des points d’entrée uniques nationaux qui peuvent également regrouper d’autres notifications requises par le droit de l’Union.

Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement et afin de mettre à profit l’expérience acquise, l’ENISA devrait consulter d’autres institutions ou agences de l’Union qui gèrent des plateformes ou des bases de données soumises à de strictes exigences de sécurité, telles que l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice (eu-LISA). L’ENISA devrait également analyser les possibilités de complémentarité avec la base de données européenne sur les vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.