Source: OJ L, 2026/881, 20.4.2026Current language: FR
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Article 3 Conditions d’application des motifs ayant trait à la cybersécurité découlant de la nature des informations déclarées
Summary What does Article 3 of the Terms and conditions for delaying notifications say?
Article 3 sets out the substantive cybersecurity grounds under which the CSIRT initially receiving a notification may delay passing that notification on to the relevant CSIRTs in other Member States.
It builds directly on Article 1 of this Regulation, which establishes the overall purpose of specifying when such delays are permissible under Regulation (EU) 2024/2847.
The core threshold is a two-part test: the cybersecurity risks of dissemination must outweigh its security benefits given the sensitivity of the information, and those risks must not be manageable through information-handling protocols such as TLP or PAP.
Only where that threshold is met can one of four specific triggering conditions then justify a delay — ranging from an imminent manufacturer fix, to exploitation risk, to partial information sharing being sufficient, to an ongoing coordinated vulnerability disclosure process.
Important points:
- The CSIRT initially receiving the notification is the body empowered to decide on a delay, but the delay is strictly time-limited to what is necessary and is subject to a mandatory overarching test before any of the four conditions can apply.
- In all four scenarios, the delay is temporary — dissemination to relevant CSIRTs must occur once a risk mitigation measure becomes available, the CVD process concludes, or the 72-hour window lapses without a fix being delivered.
- Where the vulnerability is part of a coordinated vulnerability disclosure process and the receiving CSIRT is acting as trusted intermediary, dissemination is additionally conditional on consent from the parties involved in that process.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le CSIRT recevant initialement la notification peut décider de retarder, pendant une période limitée à ce qui est strictement nécessaire, la diffusion des notifications ou de parties de celles-ci aux CSIRT concernés dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité liés à la diffusion l’emportent sur les avantages en matière de sécurité qu’elle procure, et où il est impossible d’atténuer ces risques en imposant des restrictions au traitement ou à la diffusion plus large de la notification au moyen de protocoles appropriés, tels que les protocoles «Traffic Light Protocol» (TLP) ou «Permissible Actions Protocol» (PAP), et lorsqu’au moins une des conditions suivantes est remplie:
le fabricant a informé le CSIRT recevant initialement la notification qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, devrait être mise à disposition dans un délai de 72 heures; si aucune mesure efficace d’atténuation des risques n’est mise à disposition dans ce délai, le CSIRT recevant initialement la notification diffuse la notification aux CSIRT concernés;
les informations figurant dans la notification sont jugées suffisantes, compte tenu de la nature de la vulnérabilité activement exploitée notifiée, pour créer une technique d’exploitation, en particulier lorsque la vulnérabilité peut être facilement identifiée et exploitée par des acteurs disposant de compétences et de ressources limitées; dès lors qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, est mise à disposition, le CSIRT recevant initialement la notification diffuse la notification aux CSIRT concernés;
le CSIRT recevant initialement la notification est en mesure de partager avec les CSIRT concernés des informations suffisantes pour faire en sorte que les CSIRT concernés puissent mettre en place des mesures adéquates d’atténuation des risques; dès lors qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, est mise à disposition, le CSIRT recevant initialement la notification diffuse la notification complète aux CSIRT concernés;
le CSIRT recevant initialement la notification de la vulnérabilité activement exploitée en a été informé dans le cadre d’une divulgation coordonnée des vulnérabilités (DCV) pour laquelle il fait office d’intermédiaire de confiance conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555; dans ce cas, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, le CSIRT recevant initialement la notification la diffuse aux CSIRT concernés lorsqu’il n’est plus strictement nécessaire d’en reporter la diffusion et que les parties concernées par la DCV ont donné leur consentement à la divulgation.
Relevant recitals
Considérant 3 Cybersecurity risks outweighing benefits of further dissemination
L’accès aux informations notifiées permet aux CSIRT d’avoir une vue d’ensemble de l’environnement de sécurité sur leur territoire et de mettre en place des mesures d’atténuation, ce qui relève le niveau global de cybersécurité dans l’Union. Par conséquent, il ne devrait être possible de restreindre davantage la diffusion des notifications eu égard à la nature des informations notifiées que dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité découlant d’une diffusion plus large l’emportent sur les avantages en matière de sécurité pour l’Union, et où ces risques ne peuvent être atténués de manière adéquate en imposant des restrictions au traitement et à la diffusion plus large de la notification au moyen de protocoles appropriés utilisés au sein du réseau des CSIRT, tels que les protocoles TLP ou PAP. Tel peut être le cas, par exemple, lorsqu’un fabricant a informé le CSIRT recevant initialement la notification qu’il prévoit de fournir prochainement une mesure d’atténuation (telle qu’un correctif). Cela peut également se produire lorsque le CSIRT recevant initialement la notification décide de ne partager que certaines parties d’une notification, et que ces parties sont néanmoins suffisantes pour permettre aux CSIRT concernés de s’assurer qu’ils sont en mesure de mettre en place des mesures adéquates d’atténuation des risques. En outre, et afin d’encourager la coopération en matière d’identification et de divulgation des vulnérabilités entre les fabricants, les CSIRT et les spécialistes de la recherche sur la sécurité, cela peut aussi être le cas lorsque le CSIRT fait office d’intermédiaire de confiance pour une procédure de divulgation coordonnée des vulnérabilités (DCV) en cours, telle que mentionnée à l’article 12, paragraphe 1, de la directive (UE) 2022/2555 du Parlement européen et du Conseil(2). Dans un tel cas, lorsque le CSIRT décide de retarder la diffusion d’une notification, et conformément à l’article 16, paragraphe 6, du règlement (UE) 2024/2847, il doit la reporter pour une durée qui n’excède pas ce qui est strictement nécessaire et jusqu’à ce que les parties concernées par la DCV aient donné leur consentement à la divulgation.
Considérant 4 Information enabling creation of an exploitation technique
Les informations figurant dans la notification aideront les CSIRT à s’acquitter de leurs tâches dans le cadre de l’atténuation des risques et de la gestion des incidents. Toutefois, dans de rares cas, ces informations pourraient être suffisantes pour permettre, même à des acteurs disposant de compétences et de ressources limitées, de créer une technique d’exploitation sans recherche supplémentaire. Si ces informations devenaient accessibles à des acteurs malveillants, les répercussions sur la cybersécurité de l’Union seraient lourdes, compte tenu de la facilité d’exploitation. Cela pourrait se produire, par exemple, lorsque la version vulnérable d’un logiciel ne diffère que de manière marginale des versions antérieures non vulnérables. En pareil cas, si le CSIRT recevant initialement la notification juge impossible d’atténuer de manière adéquate les risques de cybersécurité découlant d’une diffusion plus large en imposant des restrictions en matière de traitement et de diffusion plus large, il peut décider de retarder la diffusion jusqu’à ce qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, soit disponible.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
CSIRT recevant initialement la notification
(En. CSIRT initially receiving the notification)
Definition
vulnérabilité activement exploitée
(En. actively exploited vulnerability)
Definition
cybermenace
(En. cyber threat)
Definition
CSIRT désigné comme coordinateur
(En. CSIRT designated as coordinator)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
vulnérabilité
(En. vulnerability)
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)
Footnote 2