Signaler à l'ENISA les vulnérabilités activement exploitées et les incidents
- S'applique à
- Manufacturer
- Citations sources
- Art. 14(1)Art. 14(2)Art. 14(3)
- Classes de produits
- DefaultImportant — Class IImportant — Class IICritical
Langage clair
Si une vulnérabilité dans le produit est activement exploitée par des attaquants — que cela soit découvert directement ou signalé — ce fait doit être immédiatement notifié à l'ENISA. Un avertissement précoce doit être transmis dans les 24 heures, une notification complète dans les 72 heures, et un rapport final avec le plan de remédiation dans les 14 jours. Le non-respect de ces délais constitue une violation réglementaire. Ce délai court à compter du 11 septembre 2026.
Texte juridique
L'article 14(1) du règlement (UE) 2024/2847 dispose que les fabricants qui ont connaissance d'une vulnérabilité activement exploitée ou d'un incident grave affectant leur produit en notifient l'ENISA sans délai injustifié, via la plateforme unique de signalement.
Délais de signalement (art. 14(2)–(3)) :
| Rapport | Délai |
|---|---|
| Avertissement précoce | 24 heures à compter de la prise de connaissance |
| Notification de vulnérabilité / incident | 72 heures à compter de la prise de connaissance |
| Rapport final | 14 jours à compter de la prise de connaissance |
Applicable à compter du
11 septembre 2026 — les obligations de l'art. 14 s'appliquent avant l'entrée en vigueur intégrale du règlement (11 décembre 2027). Il convient de préparer en conséquence le processus de réponse aux incidents.
Exigences clés
- Avertissement précoce de 24 heures — signal à l'ENISA qu'un événement grave est en cours
- Notification de 72 heures — détails sur la vulnérabilité ou l'incident
- Rapport final de 14 jours — mesures de remédiation, cause profonde, chronologie
- Plateforme unique de signalement ENISA — utiliser la plateforme dès son opérationnalité
- Notification des utilisateurs affectés — l'art. 14(8) exige la notification des utilisateurs affectés sans délai injustifié
Preuves éventuellement requises
- Documentation du processus de réponse aux incidents / PSIRT
- Politique de divulgation des vulnérabilités
- Enregistrements de soumission via la plateforme de signalement ENISA
- Suivi interne des délais (date de prise de connaissance, date de signalement)