Source: OJ L, 2026/881, 20.4.2026

Current language: FR

Article 3 Conditions d’application des motifs ayant trait à la cybersécurité découlant de la nature des informations déclarées

Le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; peut décider de retarder, pendant une période limitée à ce qui est strictement nécessaire, la diffusion des notifications ou de parties de celles-ci aux CSIRT concernés dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; liés à la diffusion l’emportent sur les avantages en matière de sécurité qu’elle procure, et où il est impossible d’atténuer ces risques en imposant des restrictions au traitement ou à la diffusion plus large de la notification au moyen de protocoles appropriés, tels que les protocoles «Traffic Light Protocol» (TLP) ou «Permissible Actions Protocol» (PAP), et lorsqu’au moins une des conditions suivantes est remplie:

  1. le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a informé le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, devrait être mise à disposition dans un délai de 72 heures; si aucune mesure efficace d’atténuation des risques n’est mise à disposition dans ce délai, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; diffuse la notification aux CSIRT concernés;

  2. les informations figurant dans la notification sont jugées suffisantes, compte tenu de la nature de la vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; notifiée, pour créer une technique d’exploitation, en particulier lorsque la vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; peut être facilement identifiée et exploitée par des acteurs disposant de compétences et de ressources limitées; dès lors qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, est mise à disposition, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; diffuse la notification aux CSIRT concernés;

  3. le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; est en mesure de partager avec les CSIRT concernés des informations suffisantes pour faire en sorte que les CSIRT concernés puissent mettre en place des mesures adéquates d’atténuation des risques; dès lors qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, est mise à disposition, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; diffuse la notification complète aux CSIRT concernés;

  4. le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; de la vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; en a été informé dans le cadre d’une divulgation coordonnée des vulnérabilités (DCV) pour laquelle il fait office d’intermédiaire de confiance conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555; dans ce cas, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; la diffuse aux CSIRT concernés lorsqu’il n’est plus strictement nécessaire d’en reporter la diffusion et que les parties concernées par la DCV ont donné leur consentement à la divulgation.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod