Recital 58 Vulnerability disclosure

Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les entités qui mettent au point ou administrent des réseaux et systèmes d’information devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et divulguées par des tiers, le fabricant de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou le fournisseur de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; internationales ISO/CEI 30111 et ISO/CEI 29147 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités. Le renforcement de la coordination entre les personnes physiques et morales effectuant le signalement et les fabricants de produits ou les fournisseurs de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées au fabricant ou au fournisseur de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; potentiellement vulnérables, de manière à leur donner la possibilité de diagnostiquer la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre la personne physique ou morale effectuant le signalement et le fabricant ou le fournisseur de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; potentiellement vulnérables en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.