Terms and conditions for delaying notifications

Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et compte tenu du degré de sensibilité des informations notifiées, et pour des motifs justifiés ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, le centre de réponse aux incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de sécurité informatique (CSIRT) désigné comme coordinateur qui reçoit initialement la notification d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou d’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; (ci-après le «CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847;») peut décider de retarder, pour la durée strictement nécessaire, la diffusion de la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soumettant la notification a indiqué que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été mis à disposition (ci-après les «CSIRT concernés»). Par conséquent, il est nécessaire de définir les conditions d’application de ces motifs. Lorsque de tels motifs s’appliquent, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; est autorisé à retarder la diffusion auprès des CSIRT concernés pour la durée strictement nécessaire, mais n’est pas tenu de le faire. En vertu de l’article 16, paragraphe 2, du règlement (UE) 2024/2847, lorsqu’un CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; décide d’invoquer de tels motifs, il devrait immédiatement informer l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA) de sa décision de reporter la notification, ainsi que des raisons qui la motivent, et lui indiquer la date à laquelle il a l’intention de diffuser la notification.

Conformément à l’article 16, paragraphe 2, deuxième alinéa, du règlement (UE) 2024/2847, les conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement ne s’appliquent pas à l’accès de l’ENISA aux informations notifiées. L’accès de l’ENISA aux informations notifiées ne peut être restreint que dans des circonstances particulièrement exceptionnelles: lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique dans sa notification que l’une des trois conditions visées à l’article 16, paragraphe 2, troisième alinéa, points a), b) ou c), du règlement (UE) 2024/2847 est remplie, et uniquement en ce qui concerne la notification de vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; soumise dans les 72 heures visée à l’article 14, paragraphe 2, point b), du règlement (UE) 2024/2847. Dans de tels cas, les seules informations qui doivent être mises simultanément à la disposition de l’ENISA sont l’information qu’une notification a été effectuée par un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, des informations générales sur le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, des informations sur la nature générale du code d’exploitation et l’information indiquant que des motifs liés à la sécurité ont été invoqués.

L’accès aux informations notifiées permet aux CSIRT d’avoir une vue d’ensemble de l’environnement de sécurité sur leur territoire et de mettre en place des mesures d’atténuation, ce qui relève le niveau global de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union. Par conséquent, il ne devrait être possible de restreindre davantage la diffusion des notifications eu égard à la nature des informations notifiées que dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; découlant d’une diffusion plus large l’emportent sur les avantages en matière de sécurité pour l’Union, et où ces risques ne peuvent être atténués de manière adéquate en imposant des restrictions au traitement et à la diffusion plus large de la notification au moyen de protocoles appropriés utilisés au sein du réseau des CSIRT, tels que les protocoles TLP ou PAP. Tel peut être le cas, par exemple, lorsqu’un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a informé le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; qu’il prévoit de fournir prochainement une mesure d’atténuation (telle qu’un correctif). Cela peut également se produire lorsque le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; décide de ne partager que certaines parties d’une notification, et que ces parties sont néanmoins suffisantes pour permettre aux CSIRT concernés de s’assurer qu’ils sont en mesure de mettre en place des mesures adéquates d’atténuation des risques. En outre, et afin d’encourager la coopération en matière d’identification et de divulgation des vulnérabilités entre les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, les CSIRT et les spécialistes de la recherche sur la sécurité, cela peut aussi être le cas lorsque le CSIRT fait office d’intermédiaire de confiance pour une procédure de divulgation coordonnée des vulnérabilités (DCV) en cours, telle que mentionnée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555 du Parlement européen et du Conseil(²)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).. Dans un tel cas, lorsque le CSIRT décide de retarder la diffusion d’une notification, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, il doit la reporter pour une durée qui n’excède pas ce qui est strictement nécessaire et jusqu’à ce que les parties concernées par la DCV aient donné leur consentement à la divulgation.