Article 17

1. L’ENISA peut soumettre au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs. Afin de déterminer cette pertinence, l’ENISA peut prendre en considération les analyses techniques effectuées par le réseau des CSIRT, lorsqu’elles existent.

2. Lorsque la sensibilisation du public est nécessaire pour prévenir ou atténuer un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques ou pour traiter un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, le CSIRT désigné comme coordinateur de l’État membre concerné peut, après consultation du fabricant concerné et, le cas échéant, en coopération avec l’ENISA, informer le public de l’incident ou exiger du fabricant qu’il le fasse.

3. Sur la base des notifications reçues conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, l’ENISA élabore tous les 24 mois un rapport technique sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues à l’article 14, paragraphes 1 et 3. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité dans l’Union établi conformément à l’article 18 de la directive (UE) 2022/2555.

4. Le simple acte de notification conformément à l’article 14, paragraphes 1 et 3, ou à l’article 15, paragraphes 1 et 2, ne soumet pas la personne physique ou morale à l’origine de la notification à une responsabilité accrue.

5. Après qu’une mise à jour de sécurité ou une autre forme de mesure corrective ou d’atténuation est mise à disposition, l’ENISA ajoute, en accord avec le fabricant du produit comportant des éléments numériques concerné, la vulnérabilité connue du public notifiée conformément à l’article 14, paragraphe 1, ou à l’article 15, paragraphe 1, du présent règlement à la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.

6. Les CSIRT désignés comme coordinateurs fournissent aux fabricants, et en particulier aux fabricants qui peuvent être considérés comme des microentreprises ou des petites ou moyennes entreprises, un service d’assistance en ce qui concerne les obligations de signalement énoncées à l’article 14.