Source: OJ L, 2026/881, 20.4.2026Current language: FR
Terms and conditions for delaying notifications
RÈGLEMENT DÉLÉGUÉ (UE) 2026/881 DE LA COMMISSION
du 11 décembre 2025
complétant le règlement (UE) 2024/2847 du Parlement européen et du Conseil en précisant les conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne le report de la diffusion des notifications
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience)(1), et en particulier son article 14, paragraphe 9,
considérant ce qui suit:
Considérant 1Terms and conditions for applying cybersecurity-related grounds
Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant et compte tenu du degré de sensibilité des informations notifiées, et pour des motifs justifiés ayant trait à la cybersécurité, le centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur qui reçoit initialement la notification d’une vulnérabilité activement exploitée ou d’un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques (ci-après le «CSIRT recevant initialement la notification») peut décider de retarder, pour la durée strictement nécessaire, la diffusion de la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant soumettant la notification a indiqué que le produit comportant des éléments numériques a été mis à disposition (ci-après les «CSIRT concernés»). Par conséquent, il est nécessaire de définir les conditions d’application de ces motifs. Lorsque de tels motifs s’appliquent, le CSIRT recevant initialement la notification est autorisé à retarder la diffusion auprès des CSIRT concernés pour la durée strictement nécessaire, mais n’est pas tenu de le faire. En vertu de l’article 16, paragraphe 2, du règlement (UE) 2024/2847, lorsqu’un CSIRT recevant initialement la notification décide d’invoquer de tels motifs, il devrait immédiatement informer l’Agence de l’Union européenne pour la cybersécurité (ENISA) de sa décision de reporter la notification, ainsi que des raisons qui la motivent, et lui indiquer la date à laquelle il a l’intention de diffuser la notification.
Considérant 2Conditions for restricting the access of ENISA
Conformément à l’article 16, paragraphe 2, deuxième alinéa, du règlement (UE) 2024/2847, les conditions d’application des motifs ayant trait à la cybersécurité énoncées dans le présent règlement ne s’appliquent pas à l’accès de l’ENISA aux informations notifiées. L’accès de l’ENISA aux informations notifiées ne peut être restreint que dans des circonstances particulièrement exceptionnelles: lorsque le fabricant indique dans sa notification que l’une des trois conditions visées à l’article 16, paragraphe 2, troisième alinéa, points a), b) ou c), du règlement (UE) 2024/2847 est remplie, et uniquement en ce qui concerne la notification de vulnérabilité soumise dans les 72 heures visée à l’article 14, paragraphe 2, point b), du règlement (UE) 2024/2847. Dans de tels cas, les seules informations qui doivent être mises simultanément à la disposition de l’ENISA sont l’information qu’une notification a été effectuée par un fabricant, des informations générales sur le produit comportant des éléments numériques, des informations sur la nature générale du code d’exploitation et l’information indiquant que des motifs liés à la sécurité ont été invoqués.
Considérant 3Cybersecurity risks outweighing benefits of further dissemination
L’accès aux informations notifiées permet aux CSIRT d’avoir une vue d’ensemble de l’environnement de sécurité sur leur territoire et de mettre en place des mesures d’atténuation, ce qui relève le niveau global de cybersécurité dans l’Union. Par conséquent, il ne devrait être possible de restreindre davantage la diffusion des notifications eu égard à la nature des informations notifiées que dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité découlant d’une diffusion plus large l’emportent sur les avantages en matière de sécurité pour l’Union, et où ces risques ne peuvent être atténués de manière adéquate en imposant des restrictions au traitement et à la diffusion plus large de la notification au moyen de protocoles appropriés utilisés au sein du réseau des CSIRT, tels que les protocoles TLP ou PAP. Tel peut être le cas, par exemple, lorsqu’un fabricant a informé le CSIRT recevant initialement la notification qu’il prévoit de fournir prochainement une mesure d’atténuation (telle qu’un correctif). Cela peut également se produire lorsque le CSIRT recevant initialement la notification décide de ne partager que certaines parties d’une notification, et que ces parties sont néanmoins suffisantes pour permettre aux CSIRT concernés de s’assurer qu’ils sont en mesure de mettre en place des mesures adéquates d’atténuation des risques. En outre, et afin d’encourager la coopération en matière d’identification et de divulgation des vulnérabilités entre les fabricants, les CSIRT et les spécialistes de la recherche sur la sécurité, cela peut aussi être le cas lorsque le CSIRT fait office d’intermédiaire de confiance pour une procédure de divulgation coordonnée des vulnérabilités (DCV) en cours, telle que mentionnée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555 du Parlement européen et du Conseil(2). Dans un tel cas, lorsque le CSIRT décide de retarder la diffusion d’une notification, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, il doit la reporter pour une durée qui n’excède pas ce qui est strictement nécessaire et jusqu’à ce que les parties concernées par la DCV aient donné leur consentement à la divulgation.
Considérant 4Information enabling creation of an exploitation technique
Les informations figurant dans la notification aideront les CSIRT à s’acquitter de leurs tâches dans le cadre de l’atténuation des risques et de la gestion des incidents. Toutefois, dans de rares cas, ces informations pourraient être suffisantes pour permettre, même à des acteurs disposant de compétences et de ressources limitées, de créer une technique d’exploitation sans recherche supplémentaire. Si ces informations devenaient accessibles à des acteurs malveillants, les répercussions sur la cybersécurité de l’Union seraient lourdes, compte tenu de la facilité d’exploitation. Cela pourrait se produire, par exemple, lorsque la version vulnérable d’un logiciel ne diffère que de manière marginale des versions antérieures non vulnérables. En pareil cas, si le CSIRT recevant initialement la notification juge impossible d’atténuer de manière adéquate les risques de cybersécurité découlant d’une diffusion plus large en imposant des restrictions en matière de traitement et de diffusion plus large, il peut décider de retarder la diffusion jusqu’à ce qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, soit disponible.
Considérant 5Serious concerns about confidentiality in relevant CSIRTs
Si un CSIRT concerné n’est pas en mesure de protéger de manière adéquate les informations notifiées, des acteurs malveillants pourraient accéder à des informations sensibles et des codes d’exploitation pourraient être mis en place dans l’ensemble du marché unique. Par conséquent, lorsqu’il existe de sérieuses réserves quant à la capacité d’un CSIRT concerné à garantir la confidentialité des informations notifiées, le CSIRT recevant initialement la notification peut décider de reporter la diffusion d’une notification uniquement à ce CSIRT concerné jusqu’à ce que ces réserves aient été levées. Tel peut être le cas lorsqu’un CSIRT concerné a été touché par un incident de cybersécurité affectant sa capacité à fonctionner en toute sécurité, ou lorsqu’il existe des preuves ou des informations indiquant que des lacunes importantes dans les capacités de ce CSIRT ont été détectées, telles que de fortes contraintes en matière de ressources compromettant sa capacité à exercer ses fonctions, ou l’utilisation de logiciels obsolètes ou vulnérables.
Considérant 6Compromise of the single reporting platform
Afin d’empêcher des acteurs malveillants d’accéder à des informations sensibles, lorsque la plateforme unique de signalement établie en vertu de l’article 16 du règlement (UE) 2024/2847 a été compromise par un incident de cybersécurité, le CSIRT recevant initialement la notification devrait retarder la diffusion via la plateforme unique de signalement jusqu’à ce que la capacité de cette plateforme à garantir la confidentialité des informations notifiées ait été rétablie.
Considérant 7Availability of product restricted to one market
Conformément à l’article 16, paragraphe 2, premier alinéa, du règlement (UE) 2024/2847, le CSIRT recevant initialement la notification n’est pas tenu de diffuser une notification à tout autre CSIRT concerné si le fabricant indique que le produit comportant des éléments numériques n’est mis à disposition que sur le marché de l’État membre du CSIRT recevant initialement la notification.
Considérant 8Consultation of relevant stakeholders and expert group
La Commission a consulté et sollicité l’avis des parties prenantes concernées lors de l’élaboration du projet d’acte délégué et a consulté le groupe d’experts sur la cybersécurité des produits comportant des éléments numériques.
Considérant 9Cooperation with the CSIRTs Network and ENISA
Conformément à l’article 14, paragraphe 9, du règlement (UE) 2024/2847, la Commission a coopéré étroitement avec le réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555 et avec l’ENISA lors de l’élaboration du projet d’acte délégué,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierObjet
- Article 2Définitions
- Article 3Conditions d’application des motifs ayant trait à la cybersécurité découlant de la nature des informations déclarées
- Article 4Conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne un CSIRT particulier
- Article 5Conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne la plateforme unique de signalement
- Article 6
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 11 décembre 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
Definition
cybersécurité
(En. cybersecurity)
Definition
CSIRT recevant initialement la notification
(En. CSIRT initially receiving the notification)
Definition
vulnérabilité activement exploitée
(En. actively exploited vulnerability)
Definition
cybermenace
(En. cyber threat)
Definition
CSIRT concerné
(En. relevant CSIRT)
Definition
CSIRT désigné comme coordinateur
(En. CSIRT designated as coordinator)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
vulnérabilité
(En. vulnerability)
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)
Footnote 2