Art. 17 Autres dispositions liées au signalement | CRA regulation | CRA

1. L’ENISA peut soumettre au réseau européen d’organisations de liaison en cas de crises de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (UE-CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; et crises de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; majeurs. Afin de déterminer cette pertinence, l’ENISA peut prendre en considération les analyses techniques effectuées par le réseau des CSIRT, lorsqu’elles existent.
1. Lorsque la sensibilisation du public est nécessaire pour prévenir ou atténuer un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; ou pour traiter un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; en cours, ou lorsque la divulgation de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; est par ailleurs dans l’intérêt public, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. de l’État membre concerné peut, après consultation du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; concerné et, le cas échéant, en coopération avec l’ENISA, informer le public de l’incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; ou exiger du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qu’il le fasse.
1. Sur la base des notifications reçues conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, l’ENISA élabore tous les 24 mois un rapport technique sur les tendances émergentes en ce qui concerne les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; dans les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et le soumet au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues à l’article 14, paragraphes 1 et 3. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union établi conformément à l’article 18 de la directive (UE) 2022/2555.
1. Le simple acte de notification conformément à l’article 14, paragraphes 1 et 3, ou à l’article 15, paragraphes 1 et 2, ne soumet pas la personne physique ou morale à l’origine de la notification à une responsabilité accrue.
1. Après qu’une mise à jour de sécurité ou une autre forme de mesure corrective ou d’atténuation est mise à disposition, l’ENISA ajoute, en accord avec le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné, la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; connue du public notifiée conformément à l’article 14, paragraphe 1, ou à l’article 15, paragraphe 1, du présent règlement à la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.
1. Les CSIRT désignés comme coordinateurs fournissent aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, et en particulier aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; qui peuvent être considérés comme des microentreprises, «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE; ou des petites ou moyennes entreprises, un service d’assistance en ce qui concerne les obligations de signalement énoncées à l’article 14.