Art. 17 Autres dispositions liées au signalement | CRA regulation | CRA

1. L’ENISA peut soumettre au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs. Afin de déterminer cette pertinence, l’ENISA peut prendre en considération les analyses techniques effectuées par le réseau des CSIRT, lorsqu’elles existent.
1. Lorsque la sensibilisation du public est nécessaire pour prévenir ou atténuer un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques ou pour traiter un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, le CSIRT désigné comme coordinateur de l’État membre concerné peut, après consultation du fabricant concerné et, le cas échéant, en coopération avec l’ENISA, informer le public de l’incident ou exiger du fabricant qu’il le fasse.
1. Sur la base des notifications reçues conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, l’ENISA élabore tous les 24 mois un rapport technique sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues à l’article 14, paragraphes 1 et 3. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité dans l’Union établi conformément à l’article 18 de la directive (UE) 2022/2555.
1. Le simple acte de notification conformément à l’article 14, paragraphes 1 et 3, ou à l’article 15, paragraphes 1 et 2, ne soumet pas la personne physique ou morale à l’origine de la notification à une responsabilité accrue.
1. Après qu’une mise à jour de sécurité ou une autre forme de mesure corrective ou d’atténuation est mise à disposition, l’ENISA ajoute, en accord avec le fabricant du produit comportant des éléments numériques concerné, la vulnérabilité connue du public notifiée conformément à l’article 14, paragraphe 1, ou à l’article 15, paragraphe 1, du présent règlement à la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.
1. Les CSIRT désignés comme coordinateurs fournissent aux fabricants, et en particulier aux fabricants qui peuvent être considérés comme des microentreprises ou des petites ou moyennes entreprises, un service d’assistance en ce qui concerne les obligations de signalement énoncées à l’article 14.

Afin de simplifier la communication des informations requises au titre du présent règlement, compte tenu des autres exigences complémentaires en matière de communication prévues par le droit de l’Union, telles que le règlement (UE) 2016/679, le règlement (UE) 2022/2554 du Parlement européen et du Conseil(²⁵)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1)., la directive 2002/58/CE du Parlement européen et du Conseil(²⁶)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L 201 du 31.7.2002, p. 37). et la directive (UE) 2022/2555, et afin de réduire la charge administrative pesant sur les entités, les États membres sont incités à étudier la possibilité de mettre en place, au niveau national, des points d’entrée uniques pour lesdites exigences en matière de communication d’informations. L’utilisation de ces points d’entrée uniques nationaux pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement, l’ENISA doit prendre en compte la possibilité pour les points finaux nationaux de notification électronique visés dans le présent règlement d’être intégrés dans des points d’entrée uniques nationaux qui peuvent également regrouper d’autres notifications requises par le droit de l’Union.

Article 17 Autres dispositions liées au signalement

Relevant recitals