Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 12 Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités

    1. Chaque État membre désigne l’un de ses CSIRT comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné comme coordinateur fait office d’intermédiaire de confiance en facilitant, si nécessaire, les interactions entre la personne physique ou morale qui signale une vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; et le fabricant ou le fournisseur des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; potentiellement vulnérables, à la demande de l’une des deux parties. Les tâches du CSIRT désigné comme coordinateur consistent:

      1. à identifier et contacter les entités concernées;

      2. à apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;; et

      3. à négocier des délais de divulgation et gérer les vulnérabilités qui touchent plusieurs entités.

    2. Les États membres veillent à ce que les personnes physiques ou morales soient en mesure de signaler une vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;, de manière anonyme lorsqu’elles le demandent, au CSIRT désigné comme coordinateur. Le CSIRT désigné comme coordinateur veille à ce que des mesures de suivi diligentes soient prises en ce qui concerne la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; signalée et veille à l’anonymat de la personne physique ou morale signalant la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;. Lorsque la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; signalée est susceptible d’avoir un impact important sur des entités dans plusieurs États membres, le CSIRT désigné comme coordinateur de chaque État membre concerné coopère, le cas échéant, avec les autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT.

    1. L’ENISA élabore et tient à jour, après consultation du groupe de coopération, une base de données européenne des vulnérabilités. À cette fin, l’ENISA établit et gère les systèmes d’information, les politiques et les procédures appropriés, et adopte les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et l’intégrité de la base de données européenne des vulnérabilités, en vue notamment de permettre aux entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, et à leurs fournisseurs de réseaux et de systèmes d’information, de divulguer et d’enregistrer, à titre volontaire, les vulnérabilités publiquement connues présentes dans les produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;. Toutes les parties prenantes ont accès aux informations sur les vulnérabilités contenues dans la base de données européenne sur les vulnérabilités. Cette base de données comprend:

      1. des informations décrivant la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;;

      2. les produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; affectés ainsi que la gravité de la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; rapportée aux circonstances dans lesquelles elle peut être exploitée;

      3. la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations fournies par les autorités compétentes ou les CSIRT, adressées aux utilisateurs des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; vulnérables, sur la manière dont les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; résultant des vulnérabilités divulguées peuvent être atténués.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod