Incident grave
Un incident ayant un effet néfaste réel sur la sécurité des systèmes d'information et de réseau d'un fabricant, utilisés pour le développement, la production ou la maintenance d'un produit comportant des éléments numériques. La découverte d'un tel incident déclenche une obligation de notification au CSIRT compétent et à l'ENISA dans les 24 heures.
Citations sources
Texte réglementaire
L'article 14(3) du règlement (UE) 2024/2847 exige que le fabricant notifie sans délai, et au plus tard 24 heures après en avoir eu connaissance :
« tout incident grave ayant un impact sur la sécurité du produit comportant des éléments numériques ».
L'article 3(49) définit l'incident grave comme un incident :
« ayant un effet néfaste réel sur la sécurité des systèmes d'information et de réseau du fabricant utilisés pour le développement, la production ou la maintenance du produit ».
Chronologie des notifications
| Délai | Action |
|---|---|
| Dans les 24 h après prise de connaissance | Alerte précoce au CSIRT et à l'ENISA |
| Dans les 72 h | Notification initiale avec plus de détails |
| Dans les 14 jours | Rapport final complet |
Différence avec un incident de sécurité ordinaire
Un incident classique peut affecter des systèmes sans impact sur la sécurité du produit. Un incident grave atteint la chaîne de développement ou de production de manière à compromettre la conformité aux exigences essentielles de cybersécurité.