Article 14

Obligations en matière de communication d’informations incombant aux fabricants

1. Un fabricant notifie toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques dont il prend connaissance simultanément au CSIRT désigné comme coordinateur conformément au paragraphe 7 du présent article, et à l’ENISA. Le fabricant notifie cette vulnérabilité activement exploitée par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.

2. Aux fins de la notification visée au paragraphe 1, le fabricant soumet:

  • a) une alerte précoce de vulnérabilité activement exploitée, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, en indiquant, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques a été mis à disposition;
  • b) à moins que les informations pertinentes n’aient déjà été communiquées, une notification de vulnérabilité, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de la vulnérabilité activement exploitée, fournissant les informations générales disponibles sur le produit comportant des éléments numériques concerné, la nature générale de l’exploitation et de la vulnérabilité concernée, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, s’il y a lieu, le degré de sensibilité qu’il attribue aux informations notifiées;
  • c) à moins que les informations pertinentes n’aient déjà été communiquées, un rapport final, au plus tard 14 jours après la mise à disposition d’une mesure de correction ou d’atténuation, comprenant au moins les éléments suivants:
    • i) une description de la vulnérabilité, y compris de sa gravité et de ses répercussions;
    • ii) le cas échéant, des informations concernant tout acteur malveillant ayant exploité ou exploitant la vulnérabilité;
    • iii) des précisions concernant la mise à jour de sécurité ou les autres mesures correctives qui ont été mises en place pour remédier à la vulnérabilité.

3. Un fabricant notifie tout incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques dont il prend connaissance simultanément au CSIRT désigné comme coordinateur conformément au paragraphe 7 du présent article et à l’ENISA. Le fabricant notifie cet incident par l’intermédiaire de la plateforme unique de signalement établie en vertu de l’article 16.

4. Aux fins de la notification visée au paragraphe 3, le fabricant soumet:

  • a) une alerte précoce d’incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir eu connaissance, indiquant, au minimum, si l’incident pourrait avoir été causé par des actes illicites ou malveillants et, le cas échéant, les États membres sur le territoire desquels il a connaissance que son produit comportant des éléments numériques a été mis à disposition;
  • b) à moins que les informations pertinentes n’aient déjà été communiquées, une notification d’incident, sans retard injustifié et, en tout état de cause, au plus tard 72 heures après avoir eu connaissance de l’incident, fournissant les informations générales, lorsqu’elles sont disponibles, sur la nature de l’incident, l’évaluation initiale de l’incident, ainsi que toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, et précisant, le cas échéant, le degré de sensibilité qu’il attribue aux informations notifiées;
  • c) à moins que les informations pertinentes n’aient déjà été communiquées, dans un délai d’un mois à compter de la présentation de la notification d’incident visée au point b), un rapport final comprenant au moins les éléments suivants:
    • i) une description détaillée de l’incident, y compris de sa gravité et de ses répercussions;
    • ii) le type de menace ou la cause profonde qui a probablement déclenché l’incident;
    • iii) les mesures d’atténuation appliquées et en cours.

5. Aux fins du paragraphe 3, un incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques est considéré comme grave lorsque:

  • a) il entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions sensibles ou importantes; ou
  • b) il a conduit ou est susceptible de conduire à l’introduction ou à l’exécution d’un code malveillant dans un produit comportant des éléments numériques ou dans le réseau et les systèmes d’information d’un utilisateur du produit comportant des éléments numériques.

6. Si nécessaire, le CSIRT désigné comme coordinateur qui reçoit initialement la notification peut demander au fabricant de fournir un rapport intermédiaire de situation concernant la vulnérabilité activement exploitée ou l’incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques.

7. Les notifications visées aux paragraphes 1 et 3 du présent article sont soumises par l’intermédiaire de la plateforme unique de signalement visée à l’article 16 en utilisant l’un des points finaux de notification électronique visés à l’article 16, paragraphe 1. La notification est soumise au moyen du point final de notification électronique du CSIRT désigné comme coordinateur de l’État membre dans lequel le fabricant a son établissement principal dans l’Union et est simultanément mise à la disposition de l’ENISA.

Aux fins du présent règlement, un fabricant est réputé avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives à la cybersécurité des produits comportant des éléments numériques. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où le fabricant concerné possède l’établissement comptant le plus grand nombre de salariés dans l’Union.

Lorsqu’un fabricant n’a pas d’établissement principal dans l’Union, il soumet les notifications visées aux paragraphes 1 et 3 en utilisant le point final de notification électronique du CSIRT désigné comme coordinateur dans l’État membre déterminé conformément à l’ordre suivant, selon les informations dont dispose le fabricant:

  • a) l’État membre dans lequel le mandataire agissant au nom du fabricant pour le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
  • b) l’État membre dans lequel l’importateur qui met sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
  • c) l’État membre dans lequel le distributeur qui met à disposition sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
  • d) l’État membre dans lequel se trouvent le plus grand nombre d’utilisateurs de produits comportant des éléments numériques de ce fabricant.

En ce qui concerne le troisième alinéa, point d), un fabricant peut soumettre des notifications relatives à tout nouveau cas de vulnérabilité activement exploitée ou d’incident grave ayant un impact sur la sécurité du produit comportant des éléments numériques au même CSIRT désigné comme coordinateur que celui avec lequel il a communiqué la première fois.

8. Après avoir pris connaissance d’une vulnérabilité activement exploitée ou d’un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, le fabricant informe les utilisateurs du produit comportant des éléments numériques touchés et, s’il y a lieu, tous les utilisateurs de ladite vulnérabilité ou dudit incident et, si nécessaire, de toute mesure corrective ou d’atténuation des risques que les utilisateurs peuvent mettre en place pour atténuer les répercussions de cette vulnérabilité ou de cet incident, s’il y a lieu dans un format structuré, lisible par machine pouvant être facilement traité automatiquement. Lorsque le fabricant n’informe pas les utilisateurs du produit comportant des éléments numériques en temps utile, les CSIRT notifiés désignés comme coordinateurs peuvent fournir ces informations aux utilisateurs lorsqu’ils le jugent proportionné et nécessaire pour prévenir ou atténuer les répercussions de cette vulnérabilité ou de cet incident.

9. Au plus tard le 11 décembre 2025, la Commission adopte des actes délégués conformément à l’article 61 du présent règlement pour compléter le présent règlement en précisant les conditions d’application des motifs ayant trait à la cybersécurité en lien avec les retards de diffusion des notifications prévus à l’article 16, paragraphe 2, du présent règlement. La Commission coopère avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et l’ENISA pour préparer les projets d’actes délégués.

10. La Commission peut, par voie d’actes d’exécution, préciser plus en détail le format et les procédures des notifications visées au présent article ainsi qu’aux articles 15 et 16. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2. La Commission coopère avec le réseau des CSIRT et l’ENISA pour préparer les projets d’actes d’exécution.