Article 15 Signalement volontaire

Summary What does Article 15 of the CRA regulation say?

This article establishes a voluntary reporting channel that runs alongside the mandatory notification obligations set out in Article 14.

It opens the door for manufacturers and any other natural or legal persons to report vulnerabilities, cyber threats, security incidents, and near misses to the relevant CSIRT designated as coordinator or to ENISA on a purely voluntary basis.

A key protection is built in: submitting a voluntary notification cannot trigger any additional obligations that would not otherwise have applied, encouraging open disclosure without fear of regulatory penalty.

The article also addresses the situation where a third party — rather than the manufacturer — raises an actively exploited vulnerability or severe incident, requiring the receiving CSIRT to inform the manufacturer without undue delay.

Important points:

Manufacturers and any other natural or legal persons may voluntarily report vulnerabilities, cyber threats, incidents, and near misses to a CSIRT designated as coordinator or ENISA — no obligation to do so arises from this article alone.
CSIRTs designated as coordinators and ENISA are required to protect the confidentiality of information provided by voluntary reporters, and voluntary reporting must not result in additional obligations being imposed on the notifying party.
CSIRTs designated as coordinators may prioritise the processing of mandatory notifications over voluntary ones.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les fabricants mais aussi d’autres personnes physiques ou morales peuvent notifier toute vulnérabilité contenue dans un produit comportant des éléments numériques ainsi que les cybermenaces susceptibles d’affecter le profil de risque d’un produit comportant des éléments numériques, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.
1. Les fabricants ainsi que d’autres personnes physiques ou morales peuvent notifier tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que des incidents évités qui auraient pu entraîner un tel incident, de manière volontaire, à un CSIRT désigné comme coordinateur ou à l’ENISA.
1. Le CSIRT désigné comme coordinateur ou l’ENISA traite les notifications visées au paragraphes 1 et 2 du présent article conformément à la procédure prévue à l’article 16.
2. Le CSIRT désigné comme coordinateur peut accorder la priorité au traitement des notifications obligatoires par rapport aux notifications volontaires.
1. Lorsqu’une personne physique ou morale autre que le fabricant notifie une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques conformément au paragraphe 1 ou 2, le CSIRT désigné comme coordinateur en informe le fabricant sans retard injustifié.
1. Les CSIRT désignés comme coordinateurs ainsi que l’ENISA garantissent la confidentialité et une protection appropriée des informations fournies par la personne physique ou morale à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à la personne physique ou morale à l’origine de la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas fait la notification.

Relevant recitals

Considérant 68 Actively exploited vulnerabilities

Les vulnérabilités activement exploitées concernent les cas où un fabricant établit qu’une faille de sécurité touchant ses utilisateurs ou toute autre personne physique ou morale résulte de l’utilisation par une personne malveillante d’une faille dans l’un des produits comportant des éléments numériques mis à disposition sur le marché par le fabricant. Il peut s’agir par exemple de vulnérabilités dans les fonctions d’identification et d’authentification d’un produit. Les vulnérabilités qui sont découvertes sans intention malveillante pour les besoins d’essais, d’enquêtes, de correction ou de divulgation de bonne foi afin de renforcer la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs ne devraient pas faire l’objet de notifications obligatoires. Les incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques sont, quant à eux, des situations dans lesquelles un incident de cybersécurité perturbe les processus de développement, de production ou de maintenance du fabricant d’une manière telle qu’il pourrait en résulter un risque accru de cybersécurité pour les utilisateurs ou d’autres personnes. Un tel incident grave pourrait notamment désigner la situation dans laquelle un pirate aurait réussi à introduire un code malveillant dans le canal de diffusion par lequel le fabricant publie ses mises à jour de sécurité à l’intention des utilisateurs.

Considérant 71 Sensitivity of information in notification

Lorsque les fabricants notifient une vulnérabilité activement exploitée ou un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ils doivent indiquer la nature sensible qu’ils estiment devoir attribuer à l’information notifiée. Le CSIRT désigné comme coordinateur qui reçoit le premier la notification doit tenir compte de ces informations lorsqu’il évalue si la notification donne lieu à des circonstances exceptionnelles qui justifient de retarder la diffusion de la notification aux autres CSIRT concernés désignés comme coordinateurs, pour des motifs justifiés ayant trait à la cybersécurité. Il doit également tenir compte de ces informations lorsqu’il évalue si la notification d’une vulnérabilité activement exploitée donne lieu à des circonstances particulièrement exceptionnelles qui justifient que la notification complète ne soit pas mise à la disposition de l’ENISA au même moment. Enfin, les CSIRT désignés comme coordinateurs devraient être en mesure de prendre en considération ces informations lorsqu’ils définissent les mesures appropriées pour atténuer les risques découlant de ces vulnérabilités et incidents.

Considérant 74 Voluntary notification of vulnerabilities and incidents

Les fabricants et autres personnes physiques et morales devraient pouvoir notifier à un CSIRT désigné comme coordinateur ou à l’ENISA, à titre volontaire, toute vulnérabilité contenue dans un produit comportant des éléments numériques, les cybermenaces qui pourraient influer sur le profil de risque d’un produit comportant des éléments numériques, tout incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques ainsi que les incidents évités de justesse qui auraient pu déboucher sur un tel incident.

Considérant 75 Vulnerability researchers

Les États membres devraient s’efforcer de traiter, dans la mesure du possible, les difficultés auxquelles sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à une responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Considérant 119 Respect for confidentiality

Afin de garantir une coopération constructive et de confiance entre les autorités de surveillance du marché au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.