Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités
1. Chaque État membre désigne l’un de ses CSIRT comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné comme coordinateur fait office d’intermédiaire de confiance en facilitant, si nécessaire, les interactions entre la personne physique ou morale qui signale une vulnérabilité et le fabricant ou le fournisseur des produits TIC ou des services TIC potentiellement vulnérables, à la demande de l’une des deux parties. Les tâches du CSIRT désigné comme coordinateur consistent:
| a) | à identifier et contacter les entités concernées; |
| b) | à apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité; et |
| c) | à négocier des délais de divulgation et gérer les vulnérabilités qui touchent plusieurs entités. |
Les États membres veillent à ce que les personnes physiques ou morales soient en mesure de signaler une vulnérabilité, de manière anonyme lorsqu’elles le demandent, au CSIRT désigné comme coordinateur. Le CSIRT désigné comme coordinateur veille à ce que des mesures de suivi diligentes soient prises en ce qui concerne la vulnérabilité signalée et veille à l’anonymat de la personne physique ou morale signalant la vulnérabilité. Lorsque la vulnérabilité signalée est susceptible d’avoir un impact important sur des entités dans plusieurs États membres, le CSIRT désigné comme coordinateur de chaque État membre concerné coopère, le cas échéant, avec les autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT.
2. L’ENISA élabore et tient à jour, après consultation du groupe de coopération, une base de données européenne des vulnérabilités. À cette fin, l’ENISA établit et gère les systèmes d’information, les politiques et les procédures appropriés, et adopte les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et l’intégrité de la base de données européenne des vulnérabilités, en vue notamment de permettre aux entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, et à leurs fournisseurs de réseaux et de systèmes d’information, de divulguer et d’enregistrer, à titre volontaire, les vulnérabilités publiquement connues présentes dans les produits TIC ou les services TIC. Toutes les parties prenantes ont accès aux informations sur les vulnérabilités contenues dans la base de données européenne sur les vulnérabilités. Cette base de données comprend:
| a) | des informations décrivant la vulnérabilité; |
| b) | les produits TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité rapportée aux circonstances dans lesquelles elle peut être exploitée; |
| c) | la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations fournies par les autorités compétentes ou les CSIRT, adressées aux utilisateurs des produits TIC et des services TIC vulnérables, sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués. |
Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (transposant NIS 2 et modifiee par la loi du 28 juillet 2025) confie a l'ILR le rôle d'autorité nationale competente et de point de contact unique, tandis que la divulgation coordonnee des vulnerabilites s'appuie sur les CSIRT nationaux (GOVCERT.LU pour le secteur étatique, CIRCL pour les acteurs privés et communaux). L'ILR désigné les operateurs essentiels et importants, recoit les notifications et peut infliger des sanctions administratives pouvant atteindre 10 M'EUR ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Le defaut de processus de gestion des vulnerabilites est apprecie comme une carence des mesures de l'article 21.
Pratique Luxgap : declarez votre CSIRT de référence (CIRCL pour la plupart des entités privées) dans votre politique de divulgation, publiez un security.txt pointant vers ce canal, et connectez le Luxgap Vulnerability Triage Agent a CIRCL pour automatiser l'escalade des vulnerabilites a impact transfrontalier.