Preamble Recitals

Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; et compte tenu du degré de sensibilité des informations notifiées, et pour des motifs justifiés ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, le centre de réponse aux incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de sécurité informatique (CSIRT) désigné comme coordinateur qui reçoit initialement la notification d’une vulnérabilité activement exploitée: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; ou d’un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; (ci-après le «CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847;») peut décider de retarder, pour la durée strictement nécessaire, la diffusion de la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; soumettant la notification a indiqué que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; a été mis à disposition (ci-après les «CSIRT concernés»). Par conséquent, il est nécessaire de définir les conditions d’application de ces motifs. Lorsque de tels motifs s’appliquent, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; est autorisé à retarder la diffusion auprès des CSIRT concernés pour la durée strictement nécessaire, mais n’est pas tenu de le faire. En vertu de l’article 16, paragraphe 2, du règlement (UE) 2024/2847, lorsqu’un CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; décide d’invoquer de tels motifs, il devrait immédiatement informer l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA) de sa décision de reporter la notification, ainsi que des raisons qui la motivent, et lui indiquer la date à laquelle il a l’intention de diffuser la notification.

Conformément à l’article 16, paragraphe 2, deuxième alinéa, du règlement (UE) 2024/2847, les conditions d’application des motifs ayant trait à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans le présent règlement ne s’appliquent pas à l’accès de l’ENISA aux informations notifiées. L’accès de l’ENISA aux informations notifiées ne peut être restreint que dans des circonstances particulièrement exceptionnelles: lorsque le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique dans sa notification que l’une des trois conditions visées à l’article 16, paragraphe 2, troisième alinéa, points a), b) ou c), du règlement (UE) 2024/2847 est remplie, et uniquement en ce qui concerne la notification de vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; soumise dans les 72 heures visée à l’article 14, paragraphe 2, point b), du règlement (UE) 2024/2847. Dans de tels cas, les seules informations qui doivent être mises simultanément à la disposition de l’ENISA sont l’information qu’une notification a été effectuée par un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, des informations générales sur le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, des informations sur la nature générale du code d’exploitation et l’information indiquant que des motifs liés à la sécurité ont été invoqués.

L’accès aux informations notifiées permet aux CSIRT d’avoir une vue d’ensemble de l’environnement de sécurité sur leur territoire et de mettre en place des mesures d’atténuation, ce qui relève le niveau global de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union. Par conséquent, il ne devrait être possible de restreindre davantage la diffusion des notifications eu égard à la nature des informations notifiées que dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; découlant d’une diffusion plus large l’emportent sur les avantages en matière de sécurité pour l’Union, et où ces risques ne peuvent être atténués de manière adéquate en imposant des restrictions au traitement et à la diffusion plus large de la notification au moyen de protocoles appropriés utilisés au sein du réseau des CSIRT, tels que les protocoles TLP ou PAP. Tel peut être le cas, par exemple, lorsqu’un fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; a informé le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; qu’il prévoit de fournir prochainement une mesure d’atténuation (telle qu’un correctif). Cela peut également se produire lorsque le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; décide de ne partager que certaines parties d’une notification, et que ces parties sont néanmoins suffisantes pour permettre aux CSIRT concernés de s’assurer qu’ils sont en mesure de mettre en place des mesures adéquates d’atténuation des risques. En outre, et afin d’encourager la coopération en matière d’identification et de divulgation des vulnérabilités entre les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, les CSIRT et les spécialistes de la recherche sur la sécurité, cela peut aussi être le cas lorsque le CSIRT fait office d’intermédiaire de confiance pour une procédure de divulgation coordonnée des vulnérabilités (DCV) en cours, telle que mentionnée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555 du Parlement européen et du Conseil(²)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).. Dans un tel cas, lorsque le CSIRT décide de retarder la diffusion d’une notification, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, il doit la reporter pour une durée qui n’excède pas ce qui est strictement nécessaire et jusqu’à ce que les parties concernées par la DCV aient donné leur consentement à la divulgation.

Les informations figurant dans la notification aideront les CSIRT à s’acquitter de leurs tâches dans le cadre de l’atténuation des risques et de la gestion des incidents: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555;. Toutefois, dans de rares cas, ces informations pourraient être suffisantes pour permettre, même à des acteurs disposant de compétences et de ressources limitées, de créer une technique d’exploitation sans recherche supplémentaire. Si ces informations devenaient accessibles à des acteurs malveillants, les répercussions sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de l’Union seraient lourdes, compte tenu de la facilité d’exploitation. Cela pourrait se produire, par exemple, lorsque la version vulnérable d’un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; ne diffère que de manière marginale des versions antérieures non vulnérables. En pareil cas, si le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; juge impossible d’atténuer de manière adéquate les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; découlant d’une diffusion plus large en imposant des restrictions en matière de traitement et de diffusion plus large, il peut décider de retarder la diffusion jusqu’à ce qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, soit disponible.

Si un CSIRT concerné: le CSIRT désigné comme coordinateur sur le territoire duquel le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition. n’est pas en mesure de protéger de manière adéquate les informations notifiées, des acteurs malveillants pourraient accéder à des informations sensibles et des codes d’exploitation pourraient être mis en place dans l’ensemble du marché unique. Par conséquent, lorsqu’il existe de sérieuses réserves quant à la capacité d’un CSIRT concerné: le CSIRT désigné comme coordinateur sur le territoire duquel le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition. à garantir la confidentialité des informations notifiées, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; peut décider de reporter la diffusion d’une notification uniquement à ce CSIRT concerné: le CSIRT désigné comme coordinateur sur le territoire duquel le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition. jusqu’à ce que ces réserves aient été levées. Tel peut être le cas lorsqu’un CSIRT concerné: le CSIRT désigné comme coordinateur sur le territoire duquel le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition. a été touché par un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; affectant sa capacité à fonctionner en toute sécurité, ou lorsqu’il existe des preuves ou des informations indiquant que des lacunes importantes dans les capacités de ce CSIRT ont été détectées, telles que de fortes contraintes en matière de ressources compromettant sa capacité à exercer ses fonctions, ou l’utilisation de logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; obsolètes ou vulnérables.

Afin d’empêcher des acteurs malveillants d’accéder à des informations sensibles, lorsque la plateforme unique de signalement établie en vertu de l’article 16 du règlement (UE) 2024/2847 a été compromise par un incident: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; devrait retarder la diffusion via la plateforme unique de signalement jusqu’à ce que la capacité de cette plateforme à garantir la confidentialité des informations notifiées ait été rétablie.

Conformément à l’article 16, paragraphe 2, premier alinéa, du règlement (UE) 2024/2847, le CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847; n’est pas tenu de diffuser une notification à tout autre CSIRT concerné: le CSIRT désigné comme coordinateur sur le territoire duquel le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition. si le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; indique que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; n’est mis à disposition que sur le marché de l’État membre du CSIRT recevant initialement la notification: le CSIRT désigné comme coordinateur qui reçoit initialement la notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du règlement (UE) 2024/2847;.

La Commission a consulté et sollicité l’avis des parties prenantes concernées lors de l’élaboration du projet d’acte délégué et a consulté le groupe d’experts sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;.

Conformément à l’article 14, paragraphe 9, du règlement (UE) 2024/2847, la Commission a coopéré étroitement avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et avec l’ENISA lors de l’élaboration du projet d’acte délégué,