Source: OJ L, 2026/881, 20.4.2026Current language: FR
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Article premier Objet
Summary What does Article 1 of the Terms and conditions for delaying notifications say?
This is the foundational scope article of the Regulation.
It establishes the core purpose: to define the specific terms and conditions under which a CSIRT designated as coordinator — the one that first receives a vulnerability or incident notification — may lawfully delay passing that notification on to other relevant CSIRTs.
This Regulation does not stand alone; it directly implements and gives substance to Article 16(2) of Regulation (EU) 2024/2847, which established the general grounds for such delays but left the detail to be filled in here.
Important points:
- The Regulation governs the CSIRT initially receiving a notification, setting out when it may delay sharing that notification with other coordinator CSIRTs.
- The delay mechanism applies specifically to notifications made under Articles 14 and 15 of Regulation (EU) 2024/2847, concerning products with digital elements.
- This article establishes the subject matter and scope only — the actual conditions justifying a delay are set out in the articles that follow.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le présent règlement précise les conditions d’application des motifs ayant trait à la cybersécurité visés à l’article 16, paragraphe 2, du règlement (UE) 2024/2847, qui permettent au CSIRT désigné comme coordinateur recevant initialement une notification conformément à l’article 14, paragraphes 1 et 3, et à l’article 15, paragraphes 1 et 2, dudit règlement de retarder la diffusion de la notification aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition.
Relevant recitals
Considérant 1 Terms and conditions for applying cybersecurity-related grounds
Dans des circonstances exceptionnelles et, en particulier, à la demande du fabricant et compte tenu du degré de sensibilité des informations notifiées, et pour des motifs justifiés ayant trait à la cybersécurité, le centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur qui reçoit initialement la notification d’une vulnérabilité activement exploitée ou d’un incident grave ayant des répercussions sur la sécurité d’un produit comportant des éléments numériques (ci-après le «CSIRT recevant initialement la notification») peut décider de retarder, pour la durée strictement nécessaire, la diffusion de la notification via la plateforme unique de signalement aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant soumettant la notification a indiqué que le produit comportant des éléments numériques a été mis à disposition (ci-après les «CSIRT concernés»). Par conséquent, il est nécessaire de définir les conditions d’application de ces motifs. Lorsque de tels motifs s’appliquent, le CSIRT recevant initialement la notification est autorisé à retarder la diffusion auprès des CSIRT concernés pour la durée strictement nécessaire, mais n’est pas tenu de le faire. En vertu de l’article 16, paragraphe 2, du règlement (UE) 2024/2847, lorsqu’un CSIRT recevant initialement la notification décide d’invoquer de tels motifs, il devrait immédiatement informer l’Agence de l’Union européenne pour la cybersécurité (ENISA) de sa décision de reporter la notification, ainsi que des raisons qui la motivent, et lui indiquer la date à laquelle il a l’intention de diffuser la notification.
Considérant 4 Information enabling creation of an exploitation technique
Les informations figurant dans la notification aideront les CSIRT à s’acquitter de leurs tâches dans le cadre de l’atténuation des risques et de la gestion des incidents. Toutefois, dans de rares cas, ces informations pourraient être suffisantes pour permettre, même à des acteurs disposant de compétences et de ressources limitées, de créer une technique d’exploitation sans recherche supplémentaire. Si ces informations devenaient accessibles à des acteurs malveillants, les répercussions sur la cybersécurité de l’Union seraient lourdes, compte tenu de la facilité d’exploitation. Cela pourrait se produire, par exemple, lorsque la version vulnérable d’un logiciel ne diffère que de manière marginale des versions antérieures non vulnérables. En pareil cas, si le CSIRT recevant initialement la notification juge impossible d’atténuer de manière adéquate les risques de cybersécurité découlant d’une diffusion plus large en imposant des restrictions en matière de traitement et de diffusion plus large, il peut décider de retarder la diffusion jusqu’à ce qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, soit disponible.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
CSIRT recevant initialement la notification
(En. CSIRT initially receiving the notification)
Definition
vulnérabilité activement exploitée
(En. actively exploited vulnerability)
Definition
cybermenace
(En. cyber threat)
Definition
CSIRT désigné comme coordinateur
(En. CSIRT designated as coordinator)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
vulnérabilité
(En. vulnerability)
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)