Notifier les vulnérabilités activement exploitées et les incidents graves

L'article 24(2) du règlement (UE) 2024/2847 dispose que les gestionnaires de logiciels libres notifient, sans délai injustifié et en tout état de cause dans le délai établi par les actes d'exécution, le CSIRT désigné comme coordinateur en vertu de l'article 12(1) de la directive (UE) 2022/2555 :

• de toute vulnérabilité activement exploitée contenue dans les composants de logiciels libres qu'ils administrent ; et
• de tout incident grave ayant un impact sur la sécurité de ces composants de logiciels libres.

À la suite de la notification, le CSIRT traite les informations signalées de manière confidentielle et aide le gestionnaire de logiciels libres à divulguer la vulnérabilité conformément aux pratiques de divulgation coordonnée.

1. Déclencheur : exploitation active — l'obligation naît lorsque le gestionnaire prend connaissance d'une exploitation active d'une vulnérabilité dans son logiciel
2. Déclencheur : incident grave — l'obligation vaut également pour les incidents de sécurité graves affectant les propriétés de sécurité du logiciel
3. Destinataire : CSIRT coordinateur — notifier le CSIRT national désigné comme coordinateur en vertu de l'art. 12 de la directive NIS 2, et non directement l'ENISA
4. Sans délai injustifié — notification rapide ; le délai précis sera fixé par acte d'exécution
5. Confidentialité — le CSIRT traite les informations signalées de manière confidentielle et appuie la divulgation coordonnée

• Notification adressée au CSIRT coordinateur (date, contenu, méthode)
• Processus interne de surveillance et de détection de l'exploitation active
• Journal des incidents documentant la date de prise de connaissance et les actions entreprises
• Calendrier de divulgation coordonnée