Soumettre à l'ENISA une notification détaillée de vulnérabilité dans les 72 heures
- S'applique à
- Manufacturer
- Citations sources
- Art. 14(2)Art. 14(5)
- Classes de produits
- DefaultImportant — Class IImportant — Class IICritical
Langage clair
Après l'avertissement précoce de 24 heures adressé à l'ENISA, une notification de suivi plus détaillée doit être envoyée dans les 72 heures suivant la première prise de connaissance. Celle-ci doit inclure les informations sur le produit, les détails de la vulnérabilité et les mesures de sécurité prises ou prévues. Le délai court à partir du moment où l'exploitation active est connue — et non à partir de la confirmation des détails complets.
Texte juridique
L'article 14(2) du règlement (UE) 2024/2847 exige que les fabricants, sans délai injustifié et en tout état de cause au plus tard 72 heures après avoir eu connaissance d'une vulnérabilité activement exploitée, notifient l'ENISA :
- De la vulnérabilité
- Des produits concernés
- De la gravité et de l'impact de la vulnérabilité
- Des mesures correctives ou d'atténuation prises ou prévues
- De la divulgation publique éventuelle de la vulnérabilité
L'article 14(5) précise que les notifications sont soumises via la plateforme unique de signalement ENISA, qui transmet les informations aux CSIRT nationaux compétents.
Date d'entrée en vigueur
Cette obligation s'applique à compter du 11 septembre 2026.
Contenu requis de la notification
La notification de 72 heures doit inclure :
- Identification du produit — nom, version, coordonnées du fabricant
- Description de la vulnérabilité — détails techniques, y compris le CVE (s'il a été attribué)
- Score CVSS — évaluation de la sévérité
- Preuve d'exploitation active — comment l'exploitation active a été constatée
- Population d'utilisateurs affectés — portée de l'impact
- Mesures d'atténuation — mesures déjà prises pour contenir le risque
- Plan de remédiation — calendrier prévu pour le correctif et mécanisme de livraison
- Statut de notification des utilisateurs — si les utilisateurs ont été informés
Lien avec l'avertissement précoce de 24 heures
| Étape | Délai | Contenu requis |
|---|---|---|
| Avertissement précoce (OBL-ART14-01) | 24 heures | Existence d'une vulnérabilité activement exploitée |
| Notification détaillée | 72 heures | Détails techniques, sévérité, mesures correctives |
| Rapport final (OBL-ART14-03) | 14 jours | Analyse complète et détails de la remédiation totale |
Preuves éventuellement requises
- Enregistrements de soumission horodatés depuis la plateforme de signalement ENISA
- Chronologie interne établissant la date de prise de connaissance
- Copie de la notification soumise (expurgée si nécessaire pour des raisons de sécurité)
- Enregistrements prouvant que la notification a été envoyée dans les 72 heures suivant la prise de connaissance