Article 16

1. Aux fins des notifications visées à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, et afin de simplifier les obligations de signalement des fabricants, l’ENISA met en place une plateforme unique de signalement. Les opérations quotidiennes de la plateforme unique de signalement sont administrées par l’ENISA, qui en assure le fonctionnement. L’architecture de la plateforme unique de signalement permet aux États membres et à l’ENISA de mettre en place leurs propres points finaux de notification électronique.

2. Après réception d’une notification, le CSIRT désigné comme coordinateur qui reçoit initialement la notification diffuse, sans retard, la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition.

Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant et compte tenu du degré de sensibilité des informations notifiées indiqué par celui-ci en vertu de l’article 14, paragraphe 2, point a), du présent règlement, la diffusion de la notification peut être retardée pour des motifs justifiés ayant trait à la cybersécurité pour une période limitée à ce qui est strictement nécessaire, y compris lorsqu’une vulnérabilité fait l’objet d’une procédure de divulgation coordonnée des vulnérabilités au titre de l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Lorsqu’un CSIRT décide de retarder la diffusion d’une notification, il en informe immédiatement l’ENISA et fournit à la fois une justification du report de la diffusion de la notification et une indication de la date à laquelle il diffusera la notification conformément à la procédure de diffusion prévue au présent paragraphe. L’ENISA peut soutenir le CSIRT pour l’application de motifs ayant trait à la cybersécurité en ce qui concerne le report de la diffusion de la notification.

Dans des circonstances particulièrement exceptionnelles, lorsque le fabricant indique, dans la notification visée à l’article 14, paragraphe 2, point b):

• a) que la vulnérabilité notifiée a été activement exploitée par un acteur malveillant et que, selon les informations disponibles, elle n’a été exploitée dans aucun autre État membre que celui du CSIRT désigné comme coordinateur auquel le fabricant a notifié la vulnérabilité;
• b) que toute diffusion ultérieure immédiate de la vulnérabilité notifiée entraînerait probablement la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels de cet État membre; ou
• c) que la vulnérabilité notifiée présente un risque de cybersécurité imminent élevé en cas de poursuite de la diffusion.

Seules l’information qu’une notification a été effectuée par le fabricant, les informations générales sur le produit, les informations sur la nature générale de l’exploitation et les informations indiquant que des motifs ayant trait à la sécurité ont été soulevés sont mises simultanément à la disposition de l’ENISA jusqu’à ce que la notification complète soit diffusée aux CSIRT concernés et à l’ENISA. Lorsque, sur la base de ces informations, l’ENISA considère qu’il existe un risque systémique compromettant la sécurité du marché intérieur, elle recommande au CSIRT destinataire de diffuser la notification complète aux autres CSIRT désignés comme coordinateurs et à elle-même.

3. Après avoir reçu notification d’une vulnérabilité activement exploitée d’un produit comportant des éléments numériques ou d’un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques, les CSIRT désignés comme coordinateurs fournissent aux autorités de surveillance du marché de leurs États membres respectifs les informations notifiées dont elles ont besoin pour s’acquitter des obligations qui leur incombent en vertu du présent règlement.

4. L’ENISA prend des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de la plateforme unique de signalement et des informations soumises ou diffusées par l’intermédiaire de cette plateforme. Elle notifie sans retard injustifié tout incident de sécurité affectant la plateforme unique de signalement au réseau des CSIRT ainsi qu’à la Commission.

5. L’ENISA, en coopération avec le réseau des CSIRT, fournit et met en œuvre des spécifications pour les mesures techniques, opérationnelles et organisationnelles relatives à la mise en place, à la maintenance et au fonctionnement sécurisé de la plateforme unique de signalement visée au paragraphe 1, comprenant au moins les dispositions de sécurité liées à la mise en place, au fonctionnement et à la maintenance de la plateforme unique de signalement, ainsi que les points finaux de notification électronique mis en place par les CSIRT désignés comme coordinateurs au niveau national et par l’ENISA au niveau de l’Union, y compris les aspects procéduraux visant à garantir que, lorsqu’une vulnérabilité notifiée ne comporte pas de mesures correctives ou d’atténuation des risques, les informations relatives à cette vulnérabilité sont partagées conformément à des protocoles de sécurité stricts et sur la base du besoin d’en connaître.

6. Lorsqu’un CSIRT désigné comme coordinateur a été informé d’une vulnérabilité activement exploitée dans le cadre d’une procédure de divulgation coordonnée des vulnérabilités visée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555, le CSIRT désigné comme coordinateur qui reçoit initialement la notification peut retarder la diffusion de la notification en question par l’intermédiaire de la plateforme unique de signalement pour des motifs justifiés ayant trait à la cybersécurité pour une période limitée à ce qui est strictement nécessaire et jusqu’à ce que les parties à la divulgation coordonnée des vulnérabilités concernées aient donné leur consentement. Cette exigence n’empêche pas les fabricants de notifier une telle vulnérabilité de manière volontaire conformément à la procédure prévue au présent article.