Article 15

1. Les fabricants mais aussi d’autres personnes physiques ou morales peuvent notifier toute vulnérabilité contenue dans un produit comportant des éléments numériques ainsi que les cybermenaces susceptibles d’affecter le profil de risque d’un produit comportant des éléments numériques, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.

2. Les fabricants ainsi que d’autres personnes physiques ou morales peuvent notifier tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que des incidents évités qui auraient pu entraîner un tel incident, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.

3. Le CSIRT désigné comme coordinateur ou l’ENISA traite les notifications visées au paragraphes 1 et 2 du présent article conformément à la procédure prévue à l’article 16.

Le CSIRT désigné comme coordinateur peut accorder la priorité au traitement des notifications obligatoires par rapport aux notifications volontaires.

4. Lorsqu’une personne physique ou morale autre que le fabricant notifie une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques conformément au paragraphe 1 ou 2, le CSIRT désigné comme coordinateur en informe le fabricant sans retard injustifié.

5. Les CSIRT désignés comme coordinateurs ainsi que l’ENISA garantissent la confidentialité et une protection appropriée des informations fournies par la personne physique ou morale à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à la personne physique ou morale à l’origine de la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas fait la notification.