Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Recital 70 Delayed dissemination of notifications

Dans des circonstances exceptionnelles et en particulier à la demande du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit le premier une notification devrait pouvoir décider de retarder sa diffusion aux autres CSIRT concernés désignés comme coordinateurs via la plateforme unique de signalement, lorsque cela peut être justifié par des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et pour la durée strictement nécessaire. Le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. doit immédiatement informer l’ENISA de la décision de retarder la diffusion et des raisons de ce retard, ainsi que de la date à laquelle il prévoit de procéder à cette diffusion. La Commission devrait élaborer, par voie d’un acte délégué, des spécifications sur les modalités et conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et devrait coopérer avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer le projet d’acte délégué. Parmi les exemples de motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, figurent une procédure coordonnée de divulgation des vulnérabilités ou bien des situations dans lesquelles un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; est censé fournir une mesure d’atténuation à brève échéance et où les risques pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’une diffusion immédiate via la plateforme unique de signalement l’emportent sur les avantages qu’elle apporterait. Si le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. le demande, l’ENISA doit être en mesure de l’aider à faire valoir les motifs liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour retarder la diffusion de la notification sur la base des informations que l’ENISA a reçues de ce CSIRT sur la décision de ne pas diffuser une notification pour lesdits motifs. De plus, dans des circonstances tout à fait exceptionnelles, il y a lieu que l’ENISA ne reçoive pas simultanément tous les détails d’une notification de vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système;. Ce serait le cas lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique dans sa notification que la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée a été activement exploitée par une personne malveillante et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. auquel le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a notifié la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace;, lorsque toute nouvelle diffusion immédiate de la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée entraînerait probablement la transmission d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre, ou lorsque la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; notifiée présente un risque élevé et imminent de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; du fait de sa diffusion ultérieure. Dans de tels cas, l’ENISA ne recevra simultanément que l’information qu’une notification a été effectuée par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, des informations générales sur le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné, l’information sur la nature générale de l’exploitation et l’information sur le fait que ces motifs de sécurité ont été soulevés par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et que le contenu complet de la notification n’est donc pas divulgué. La notification complète doit alors être mise à la disposition de l’ENISA et d’autres CSIRT désignés comme coordinateurs lorsque le CSIRT désigné comme coordinateur: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. qui reçoit le premier la notification constate que ces motifs de sécurité, en raison de circonstances particulièrement exceptionnelles telles qu’établies dans le présent règlement, ont disparu. Lorsque, sur la base des informations disponibles, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle doit recommander au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à l’ENISA elle-même.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod