CRA Notification de vulnérabilités : ENISA SRP (art. 14)

Le Règlement sur la cyberrésilience de l'UE (Règlement (UE) 2024/2847) achemine chaque signalement d'un fabricant au titre de l'Article 14 par un canal unique : la plateforme unique de signalement (SRP) ENISA, établie en vertu de l'Article 16. La plateforme n'est pas encore opérationnelle. ENISA la développe en vertu de l'Article 16(5) ; elle entre en service lorsque l'Article 14 commence à s'appliquer le 11 septembre 2026 (Article 71(2)). Cette page traite de ce que les fabricants doivent préparer dès maintenant, du flux d'enregistrement attendu, et de la façon de câbler une escalade interne adaptée à l'horloge de 24 heures. Pour les cadences, voir le signalement des vulnérabilités.

Synthèse

  • La SRP est le seul canal au titre de l'Article 14. Les Articles 14(1) et 14(3) imposent aux fabricants de notifier l'ENISA et le CSIRT coordinateur « via la plateforme unique de signalement établie conformément à l'Article 16 ». Le courriel national envoyé à un CSIRT n'est pas un substitut.
  • Enregistrez-vous avant le premier événement déclarable. L'horloge de l'Article 14(1) ne s'interrompt pas pendant l'enregistrement. Une fenêtre d'intégration typique d'environ une semaine suppose que les identifiants, les contacts et les données de portefeuille de produits sont déjà en ordre.
  • Les fabricants sont les parties obligées. Les importateurs et les distributeurs ne déposent pas de signalements au titre de l'Article 14 ; ils informent le fabricant (Article 19(5) deuxième alinéa ; Article 20(4) deuxième alinéa). Les mandataires peuvent déposer au nom d'un fabricant non établi dans l'UE si le mandat de mandataire le prévoit.
  • Deux contacts, deux canaux. Le point de contact unique de l'Article 13(17) est le canal orienté vers les utilisateurs. Le contact d'enregistrement à la SRP est le canal orienté vers les autorités. Les deux sont obligatoires et ne doivent pas partager la même adresse.
  • Le routage CSIRT suit l'établissement principal. L'Article 14(7) envoie les notifications au CSIRT désigné comme coordinateur dans l'État membre de l'établissement principal, avec une chaîne de repli pour les fabricants non établis dans l'UE.
11 sep. 2026
Début des signalements
Article 71(2)
24h
Alerte précoce SRP
Article 14(1)
7 jours
Intégration typique
s'enregistrer avant tout événement déclarable
€15M / 2,5%
Amende maximale
Article 64(2)

L'intégration est une échéance, non un élément de carnet de backlog : l'enregistrement doit précéder le premier événement atteignant l'horloge de 24 heures.

Ce que dit le CRA sur la SRP

L'Article 16(1) est la disposition constitutive :

Aux fins des notifications visées à l'Article 14(1) et (3) et à l'Article 15(1) et (2) et afin de simplifier les obligations de signalement des fabricants, une plateforme unique de signalement est établie par l'ENISA. Les opérations quotidiennes de cette plateforme unique de signalement sont gérées et maintenues par l'ENISA. L'architecture de la plateforme unique de signalement permet aux États membres et à l'ENISA de mettre en place leurs propres points de contact électroniques de notification.

Trois faits opérationnels en découlent. Premièrement, l'ENISA exploite la plateforme, mais les États membres branchent leurs propres points de contact électroniques de notification. Deuxièmement, l'Article 14(7) précise que la notification « est soumise en utilisant le point de contact électronique du CSIRT désigné comme coordinateur de l'État membre où les fabricants ont leur établissement principal dans l'Union et est simultanément accessible à l'ENISA » : une seule soumission, deux destinataires. Troisièmement, l'Article 16(2) confie au CSIRT destinataire le devoir de diffuser la notification aux autres CSIRT dont le territoire a été signalé comme affecté par le fabricant. Le routage transfrontalier s'effectue à l'intérieur de la plateforme.

La SRP reçoit également les signalements volontaires au titre de l'Article 15 et constitue le canal pour la notification de 72 heures et le rapport final au titre des Articles 14(2) et 14(4). Les deux flux partagent la même SRP et le même enregistrement.

Qui doit s'enregistrer

L'Article 14 s'applique aux fabricants de produits comportant des éléments numériques. Les obligations de signalement des Articles 14(1) et 14(3) sont adressées au fabricant et au fabricant seul.

Les importateurs et les distributeurs ont des obligations plus légères. En vertu de l'Article 19(5) deuxième alinéa, un importateur qui prend connaissance d'une vulnérabilité « informe le fabricant sans retard injustifié de cette vulnérabilité » ; les distributeurs ont l'obligation équivalente en vertu de l'Article 20(4) deuxième alinéa. Ni les uns ni les autres ne s'enregistrent sur la SRP, ne déposent de signalements au titre de l'Article 14, ni n'héritent de l'horloge de 24 heures. Voir importateur et distributeur.

Un fabricant non établi dans l'UE peut acheminer les obligations de l'Article 14 via un mandataire en vertu de l'Article 18, à condition que le mandat couvre le signalement. L'Article 18(2) exclut les Articles 13(1) à (11), l'Article 13(12) premier alinéa et l'Article 13(14) du mandat du mandataire, mais n'exclut pas l'Article 14 ; un mandat écrit couvrant explicitement le signalement au titre de l'Article 14 est donc opposable. Le mandataire détient les identifiants SRP et soumet les notifications au nom du fabricant.

Prérequis à l'enregistrement

Six éléments que l'organisation doit avoir préparés avant l'enregistrement. L'absence de l'un d'entre eux bloque l'intégration au moment de l'enregistrement.

Exigence Ancrage dans l'Article Ce dont vous avez besoin
Entité juridique dans l'État membre de l'établissement principal Article 14(7) Un enregistrement d'entité juridique non ambigu permettant à la SRP d'attribuer le CSIRT coordinateur (l'État « où les décisions relatives à la cybersécurité de ses produits comportant des éléments numériques sont principalement prises »).
Point de contact unique de l'Article 13(17) Article 13(17) troisième alinéa Un canal orienté vers les utilisateurs qui « ne doit pas limiter ces moyens à des outils automatisés ». Les boîtes de réception avec réponse automatique uniquement ne satisfont pas à cette exigence. Publié dans les informations à l'attention des utilisateurs de l'Annexe II.
Contact de sécurité distinct orienté vers les autorités Article 14 + Article 16(5) (attendu) Un second contact pour l'ENISA et le CSIRT coordinateur, distinct du canal orienté vers les utilisateurs au titre de l'Article 13(17). La même boîte de réception ne doit pas gérer les deux.
Identifiants d'identification Article 16(5) (spécification en attente) Les fabricants établis dans l'UE doivent s'attendre à une identification électronique reconnue par eIDAS. Les fabricants non établis dans l'UE vérifient leur identité via la chaîne du mandataire. Les identifiants techniques exacts font partie des spécifications de l'Article 16(5).
Inventaire du portefeuille de produits Article 14(2)(a) Une liste à jour des produits et des États membres où chacun a été mis à disposition. Sans cela, l'alerte précoce ne peut pas indiquer correctement les territoires affectés.
Escalade interne documentée Article 14(1) Une procédure écrite permettant à l'organisation de passer de la détection à la soumission sur la SRP en moins de 24 heures, avec une couverture hors heures ouvrées. « Sans retard injustifié et en tout état de cause dans les 24 heures » ne laisse aucune place à une escalade ad hoc.

Calendrier : d'aujourd'hui au premier événement déclarable

Calendrier SRP : construction par l'ENISA et préparation du fabricant de part et d'autre de la bascule du 11 septembre 2026 Un diagramme deux-par-deux. Les lignes distinguent la responsabilité de l'ENISA de celle du fabricant. Les colonnes découpent le calendrier au 11 septembre 2026 : préparation avant bascule à gauche, exploitation en direct après bascule à droite. Avant bascule, l'ENISA construit la plateforme en vertu des spécifications de l'Article 16(5) et des actes d'exécution de l'Article 14(10) ; après bascule, l'ENISA exploite la SRP qui reçoit chaque notification au titre de l'Article 14. Avant bascule, le fabricant prépare l'entité juridique, les contacts distincts au titre de l'Article 13(17) et de la SRP, le portefeuille de produits, le SLA d'escalade 24h et le mandat du mandataire le cas échéant ; après bascule, le fabricant est enregistré et déclenche l'horloge d'alerte précoce de l'Article 14(1) au premier événement. Bascule SRP : construction ENISA et préparation fabricant de part et d'autre du 11 sep. 2026 11 sep. 2026 AVANT BASCULE (aujourd'hui → 11 sep. 2026) POST-BASCULE (Article 14 applicable) ENISA Fabricant Construction de la SRP Spécifications Art. 16(5) Actes d'exécution Art. 14(10) SRP opérationnelle Reçoit chaque signalement Article 14 Routage CSIRT Art. 14(7) + 16(2) Préparer Entité juridique, contacts distincts, portefeuille de produits, SLA 24h, mandat Enregistré, prêt 24h Le premier événement déclenche l'Art. 14(1) : prise de conscience → alerte précoce 24h
Le 11 septembre 2026 est fixé par l'Article 71(2). Avant bascule est une phase de préparation ; après bascule, le signalement est réglementé contre une horloge de 24 heures. Nous actualiserons cette page dès que l'ENISA publiera le flux d'enregistrement en ligne.
La SRP n'est pas encore opérationnelle

ENISA construit la plateforme en vertu de l'Article 16(5) en coopération avec le réseau des CSIRT. Les écrans d'enregistrement exacts, le mécanisme d'identification et les points de contact électroniques de notification sont soumis aux spécifications de l'Article 16(5) et aux actes d'exécution de l'Article 14(10). Le cadre ci-dessous reflète le texte du règlement et ce qui est publiquement connu au 2026-05-05 ; vérifiez auprès des orientations actuelles de l'ENISA avant de traiter toute étape d'interface spécifique comme définitive. La bascule du 11 septembre 2026 pour l'applicabilité de l'Article 14 est fixée par l'Article 71(2).

Flux d'enregistrement attendu

Les écrans d'enregistrement exacts dépendent des spécifications de l'Article 16(5) et des actes d'exécution de l'Article 14(10), qui sont tous deux encore en cours de finalisation. Nous actualiserons cette section dès que l'ENISA publiera le flux en ligne. D'après le texte du règlement, l'enregistrement devrait vérifier l'entité juridique, recueillir le contact SRP orienté vers les autorités (distinct du contact utilisateur de l'Article 13(17)), enregistrer le portefeuille de produits avec sa couverture par État membre, et attribuer le CSIRT coordinateur en vertu de l'Article 14(7). Après l'enregistrement, le même point de contact gère chaque soumission ultérieure : alerte précoce de 24 heures, notification de 72 heures, rapports intermédiaires sur demande du CSIRT (Article 14(6)), et rapport final.

Escalade interne : respecter l'horloge de 24 heures

L'Article 14(1) déclenche l'horloge à la prise de conscience, non à la confirmation. La difficulté consiste à passer de « nous venons d'apprendre » à « nous venons de soumettre » en moins de 24 heures, y compris hors heures ouvrées.

Étape Dans les 24h ? Notes
Détection Oui Ingénierie interne, signalements clients, supervision, renseignement sur les menaces, intégration de la DCV. Les chemins de triage pour « activement exploité » et « incident grave » doivent être distincts.
Triage Oui Utiliser les signaux de notation de gravité (CVSS / EPSS / KEV) comme éléments d'appréciation. La preuve d'exploitation est le déclencheur de l'Article 14(1) ; la gravité seule ne l'est pas.
Examen juridique En parallèle Une attente en série de la validation juridique fait manquer les 24h. L'Article 14(2)(a) permet au fabricant de signaler la sensibilité ; l'Article 16(2) permet à la plateforme de retenir la diffusion pour des raisons de sécurité.
Alerte précoce SRP Oui Article 14(2)(a) ou 14(4)(a).
Notification 72h Après 24h Article 14(2)(b) ou 14(4)(b).
Rapport final 14 jours (vulnérabilité) / 1 mois (incident) Article 14(2)(c) à compter de la disponibilité d'une mesure corrective ; Article 14(4)(c) à compter de la notification de 72h. Horloges différentes.

Un processus de triage qui « prend généralement 48 heures » est structurellement non conforme.

Routage CSIRT

L'Article 14(7) achemine la notification vers le CSIRT de l'État membre de l'établissement principal (« où les décisions relatives à la cybersécurité de ses produits comportant des éléments numériques sont principalement prises »). Pour les fabricants sans établissement principal dans l'Union, le troisième alinéa applique une chaîne de repli en quatre étapes : État membre du mandataire, puis de l'importateur, puis du distributeur, puis de la concentration d'utilisateurs. Après la soumission, l'Article 16(2) gère la diffusion transfrontalière aux CSIRT des autres États membres affectés.

Erreurs courantes

  • S'enregistrer seulement après le premier événement déclarable. L'horloge de 24 heures ne s'arrête pas pendant l'enregistrement. Enregistrez-vous bien avant le 11 septembre 2026.
  • Une adresse security@ générique avec réponse automatique. En contradiction avec l'Article 13(17) troisième alinéa pour le canal orienté vers les utilisateurs et inadaptée au canal SRP orienté vers les autorités.
  • Aucun produit ou des produits obsolètes liés à l'enregistrement. L'Article 14(2)(a) impose à l'alerte précoce d'indiquer les États membres affectés ; sans inventaire à jour, l'alerte précoce est incomplète.
  • Absence de SLA interne pour l'horloge de 24 heures. Le délai de la détection à la soumission requiert un budget temps explicite.
  • Soumission par courriel national au CSIRT. Les Articles 14(1) et 14(3) désignent la SRP. Un courriel à un CSIRT national n'est pas équivalent.
  • Traiter le mandataire comme une adresse de transfert. Le mandat du fabricant non établi dans l'UE en vertu de l'Article 18(1) doit couvrir explicitement le signalement au titre de l'Article 14 et le mandataire doit détenir les identifiants SRP.

Foire aux questions

La SRP est-elle opérationnelle aujourd'hui ?

Non. ENISA développe la plateforme en vertu de l'Article 16(5) en coopération avec le réseau des CSIRT. L'Article 71(2) fixe la date d'entrée en service au 11 septembre 2026, lorsque l'Article 14 commence à s'appliquer. Le flux d'enregistrement exact de la plateforme, le mécanisme d'identification et les points de contact électroniques de notification sont soumis aux spécifications de l'Article 16(5) et aux actes d'exécution de l'Article 14(10). Traitez les orientations publiques actuelles comme provisoires et vérifiez auprès de l'ENISA avant de vous appuyer sur toute étape d'interface spécifique.

Quand la SRP est-elle mise en service pour le signalement des fabricants ?

L'Article 71(2) dispose : « L'Article 14 s'applique à compter du 11 septembre 2026 ». C'est à cette date que les fabricants doivent être en mesure de soumettre via la SRP. La mise en service opérationnelle de la plateforme est fixée par l'ENISA en vertu de l'Article 16(5) et des actes d'exécution de l'Article 14(10) ; vérifiez auprès des orientations actuelles de l'ENISA à l'approche de cette date.

Les importateurs et les distributeurs s'enregistrent-ils sur la SRP ?

Non. Leur obligation consiste à informer le fabricant d'une vulnérabilité en vertu de l'Article 19(5) deuxième alinéa (importateurs) et de l'Article 20(4) deuxième alinéa (distributeurs). Le signalement au titre de l'Article 14 via la SRP est l'obligation du fabricant.

Un fabricant non établi dans l'UE peut-il s'enregistrer directement ?

La voie normale passe par un mandataire en vertu de l'Article 18(1), avec un mandat écrit couvrant le signalement au titre de l'Article 14. Le mandataire détient les identifiants SRP et dépose au nom du fabricant. Le mandataire ne peut pas remplacer le fabricant pour les obligations exclues par l'Article 18(2) (Articles 13(1) à (11), Article 13(12) premier alinéa, Article 13(14)).

Que faire si notre soumission à la SRP échoue ?

La SRP est le canal désigné par les Articles 14(1) et 14(3). Si la plateforme est indisponible, contactez le CSIRT coordinateur via le contact publié pour son point de contact électronique de notification et documentez la défaillance. L'horloge de 24 heures n'est pas suspendue par des problèmes techniques ; visez une notification au mieux dans la fenêtre impartie, accompagnée d'un enregistrement complet expliquant pourquoi la SRP était inaccessible.

Le point de contact unique de l'Article 13(17) est-il le même que le contact d'enregistrement à la SRP ?

Non. L'Article 13(17) est un canal orienté vers les utilisateurs qui « ne doit pas limiter ces moyens à des outils automatisés » et est publié dans les informations à l'attention des utilisateurs de l'Annexe II. Le contact d'enregistrement à la SRP est un canal orienté vers les autorités pour l'ENISA et le CSIRT coordinateur. Les deux sont obligatoires et ne doivent pas partager la même boîte de réception.

Prochaines étapes pour être prêt au 11 septembre 2026

  1. Suivez les orientations de l'ENISA sur la SRP et les spécifications de l'Article 16(5). Abonnez-vous aux mises à jour de l'ENISA et au bulletin du CSIRT coordinateur de l'État membre afin que l'équipe soit informée le jour où le flux d'enregistrement s'ouvre.
  2. Désignez un point de contact SRP distinct du point de contact unique orienté vers les utilisateurs au titre de l'Article 13(17).
  3. Documentez le flux d'escalade interne de la détection à l'alerte précoce, avec un SLA explicite inférieur à 24 heures et une couverture hors heures ouvrées.
  4. Réalisez un exercice de simulation qui reproduit une vulnérabilité activement exploitée et vérifie qu'une soumission sur la SRP peut être complétée dans la fenêtre de l'Article 14(1). Utilisez le modèle de formulaire de signalement publié par l'ENISA comme substitut jusqu'à ce que le formulaire définitif soit finalisé.
  5. Si vous vous appuyez sur un mandataire, confirmez que le mandat du mandataire au titre de l'Article 18(1) couvre le signalement au titre de l'Article 14 et que le mandataire détient les identifiants SRP et un mappage à jour du portefeuille de produits.
  6. Confirmez que le routage CSIRT de l'État membre en vertu de l'Article 14(7) correspond à votre établissement principal réel.
  7. Pour les cadences et la définition légale d'« activement exploité », poursuivez avec le signalement des vulnérabilités ; pour le régime de traitement, consultez la gestion des vulnérabilités ; pour les obligations du fabricant dans leur intégralité, consultez la page de rôle.