Article 17 Autres dispositions liées au signalement

Summary What does Article 17 of the CRA regulation say?

This article directly follows the notification and reporting obligations established in Articles 14 and 15, and deals with what happens after those notifications are made.

It covers the downstream use of reported vulnerability and incident information across the EU's cybersecurity infrastructure.

The article assigns roles to ENISA and the CSIRTs designated as coordinators in terms of sharing information with wider EU bodies, publishing vulnerability data, producing periodic trend reports, and supporting manufacturers in meeting their reporting obligations.

Importantly, it also provides a liability protection, confirming that the act of notifying does not in itself expose the notifying party to greater legal risk.

Important points:

ENISA is required to produce a technical report on emerging cybersecurity risk trends in products with digital elements every 24 months, submitted to the Cooperation Group.
The act of notification under Articles 14 and 15 shall not subject the notifying person or entity to increased liability.
CSIRTs designated as coordinators are required to provide helpdesk support to manufacturers regarding their reporting obligations under Article 14, with particular attention to microenterprises and small and medium-sized enterprises.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. L’ENISA peut soumettre au réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe) institué par l’article 16 de la directive (UE) 2022/2555 les informations notifiées conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, si elles sont pertinentes pour la gestion coordonnée au niveau opérationnel des incidents et crises de cybersécurité majeurs. Afin de déterminer cette pertinence, l’ENISA peut prendre en considération les analyses techniques effectuées par le réseau des CSIRT, lorsqu’elles existent.
1. Lorsque la sensibilisation du public est nécessaire pour prévenir ou atténuer un incident grave ayant des répercussions sur la sécurité du produit comportant des éléments numériques ou pour traiter un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, le CSIRT désigné comme coordinateur de l’État membre concerné peut, après consultation du fabricant concerné et, le cas échéant, en coopération avec l’ENISA, informer le public de l’incident ou exiger du fabricant qu’il le fasse.
1. Sur la base des notifications reçues conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, du présent règlement, l’ENISA élabore tous les 24 mois un rapport technique sur les tendances émergentes en ce qui concerne les risques de cybersécurité dans les produits comportant des éléments numériques et le soumet au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555. Le premier rapport de ce type est présenté dans les 24 mois suivant le début de l’application des obligations prévues à l’article 14, paragraphes 1 et 3. L’ENISA inclut les informations pertinentes de ses rapports techniques dans son rapport sur l’état de la cybersécurité dans l’Union établi conformément à l’article 18 de la directive (UE) 2022/2555.
1. Le simple acte de notification conformément à l’article 14, paragraphes 1 et 3, ou à l’article 15, paragraphes 1 et 2, ne soumet pas la personne physique ou morale à l’origine de la notification à une responsabilité accrue.
1. Après qu’une mise à jour de sécurité ou une autre forme de mesure corrective ou d’atténuation est mise à disposition, l’ENISA ajoute, en accord avec le fabricant du produit comportant des éléments numériques concerné, la vulnérabilité connue du public notifiée conformément à l’article 14, paragraphe 1, ou à l’article 15, paragraphe 1, du présent règlement à la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555.
1. Les CSIRT désignés comme coordinateurs fournissent aux fabricants, et en particulier aux fabricants qui peuvent être considérés comme des microentreprises ou des petites ou moyennes entreprises, un service d’assistance en ce qui concerne les obligations de signalement énoncées à l’article 14.

Relevant recitals

Considérant 69 Single reporting platform and biennal report

Pour garantir que les notifications peuvent être diffusées rapidement à tous les CSIRT désignés comme coordinateurs et pour permettre aux fabricants de soumettre une seule notification à chaque étape du processus de notification, l’ENISA doit créer une plateforme unique de signalement avec des points finaux de notification électronique nationaux. Les opérations quotidiennes de la plateforme unique de signalement doivent être administrées par l’ENISA qui en assurera le fonctionnement. Les CSIRT désignés comme coordinateurs doivent informer leurs autorités de surveillance du marché respectives des vulnérabilités ou incidents qui ont été notifiés. La plateforme unique de signalement devrait être conçue de manière à garantir la confidentialité des notifications, en particulier en ce qui concerne les vulnérabilités pour lesquelles une mise à jour de sécurité n’est pas encore disponible. En outre, l’ENISA devrait mettre en place des procédures pour traiter les informations de manière sûre et confidentielle. Sur la base des informations qu’elle recueille, l’ENISA devrait préparer un rapport technique bisannuel sur les tendances émergentes concernant les risques de cybersécurité dans les produits comportant des éléments numériques et le soumettre au groupe de coopération institué en vertu de l’article 14 de la directive (UE) 2022/2555.

Considérant 72 National entry points for reporting

Afin de simplifier la communication des informations requises au titre du présent règlement, compte tenu des autres exigences complémentaires en matière de communication prévues par le droit de l’Union, telles que le règlement (UE) 2016/679, le règlement (UE) 2022/2554 du Parlement européen et du Conseil(²⁵), la directive 2002/58/CE du Parlement européen et du Conseil(²⁶) et la directive (UE) 2022/2555, et afin de réduire la charge administrative pesant sur les entités, les États membres sont incités à étudier la possibilité de mettre en place, au niveau national, des points d’entrée uniques pour lesdites exigences en matière de communication d’informations. L’utilisation de ces points d’entrée uniques nationaux pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. Lors de la mise en place de la plateforme unique de signalement visée dans le présent règlement, l’ENISA doit prendre en compte la possibilité pour les points finaux nationaux de notification électronique visés dans le présent règlement d’être intégrés dans des points d’entrée uniques nationaux qui peuvent également regrouper d’autres notifications requises par le droit de l’Union.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.