Source: OJ L, 2026/881, 20.4.2026Current language: FR
- Cyber resilience for products with digital elements
Delegated acts
- Terms and conditions for delaying notifications
Article 4 Conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne un CSIRT particulier
Summary What does Article 4 of the Terms and conditions for delaying notifications say?
This article deals with a more targeted scenario compared to Article 3, which addresses delays in dissemination broadly.
Here, the focus is on situations where the CSIRT initially receiving the notification may withhold sharing notification information with a specific relevant CSIRT, rather than all relevant CSIRTs.
The basis for this targeted delay is concern over that specific CSIRT's ability to maintain the confidentiality of the notified information, either because it has suffered a cybersecurity incident or because its general capabilities are considered inadequate.
The article also sets out the conditions under which dissemination may resume, tying the end of the delay to the relevant CSIRT demonstrating that the confidentiality concern has been resolved.
Important points:
- The CSIRT initially receiving the notification may delay dissemination to a specific relevant CSIRT if that CSIRT has been hit by a cybersecurity incident or is considered to lack adequate capability to protect the confidentiality of the information.
- The delay triggered by a cybersecurity incident lasts until the affected CSIRT notifies the CSIRTs Network that its confidentiality capabilities have been restored.
- Where the delay is based on inadequate capabilities, the relevant CSIRT must provide evidence that it has addressed the identified shortcomings before dissemination resumes.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le CSIRT recevant initialement la notification peut décider de retarder pour une période limitée à ce qui est strictement nécessaire la diffusion des notifications ou de parties de celles-ci à un CSIRT concerné particulier dans les cas où:
le CSIRT concerné a été touché par un incident de cybersécurité remettant en cause sa capacité à garantir la confidentialité des informations notifiées;
il a des raisons suffisantes de penser que les capacités du CSIRT concerné sont insuffisantes pour garantir la confidentialité des informations notifiées.
Dans les cas visés au premier alinéa, point a), le CSIRT recevant initialement la notification peut retarder la diffusion jusqu’à ce que le CSIRT concerné ait informé le réseau des CSIRT mentionné à l’article 15 de la directive (UE) 2022/2555 que sa capacité à garantir la confidentialité des notifications a été rétablie.
Dans les cas visés au premier alinéa, point b), le CSIRT recevant initialement la notification peut retarder la diffusion au CSIRT concerné jusqu’à ce que ce dernier ait fourni la preuve qu’il a remédié aux lacunes constatées.
Relevant recitals
Considérant 5 Serious concerns about confidentiality in relevant CSIRTs
Si un CSIRT concerné n’est pas en mesure de protéger de manière adéquate les informations notifiées, des acteurs malveillants pourraient accéder à des informations sensibles et des codes d’exploitation pourraient être mis en place dans l’ensemble du marché unique. Par conséquent, lorsqu’il existe de sérieuses réserves quant à la capacité d’un CSIRT concerné à garantir la confidentialité des informations notifiées, le CSIRT recevant initialement la notification peut décider de reporter la diffusion d’une notification uniquement à ce CSIRT concerné jusqu’à ce que ces réserves aient été levées. Tel peut être le cas lorsqu’un CSIRT concerné a été touché par un incident de cybersécurité affectant sa capacité à fonctionner en toute sécurité, ou lorsqu’il existe des preuves ou des informations indiquant que des lacunes importantes dans les capacités de ce CSIRT ont été détectées, telles que de fortes contraintes en matière de ressources compromettant sa capacité à exercer ses fonctions, ou l’utilisation de logiciels obsolètes ou vulnérables.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
CSIRT recevant initialement la notification
(En. CSIRT initially receiving the notification)
Definition
CSIRT concerné
(En. relevant CSIRT)
Definition
CSIRT désigné comme coordinateur
(En. CSIRT designated as coordinator)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
traitement de données à distance
(En. remote data processing)