Recital 68 Actively exploited vulnerabilities

Les vulnérabilités activement exploitées concernent les cas où un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; établit qu’une faille de sécurité touchant ses utilisateurs ou toute autre personne physique ou morale résulte de l’utilisation par une personne malveillante d’une faille dans l’un des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; mis à disposition sur le marché par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;. Il peut s’agir par exemple de vulnérabilités dans les fonctions d’identification et d’authentification d’un produit. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Les incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; sont, quant à eux, des situations dans lesquelles un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; perturbe les processus de développement, de production ou de maintenance du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’une manière telle qu’il pourrait en résulter un risque accru de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les utilisateurs ou d’autres personnes. Un tel incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave pourrait notamment désigner la situation dans laquelle un pirate aurait réussi à introduire un code malveillant dans le canal de diffusion par lequel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; publie ses mises à jour de sécurité à l’intention des utilisateurs.