Règlement délégué (UE) 2026/881 de la Commission du 11 décembre 2025 complétant le règlement (UE) 2024/2847 du Parlement européen et du Conseil en précisant les conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne le report de la diffusion des notifications

JOUE Série L du 20 avril 2026

Ce texte complète le règlement 2024/2847 du 23 octobre 2024 en précisant les conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne le report de la diffusion des notifications.
Précisément, il fixe les motifs ayant trait à la cybersécurité qui permettent au centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur recevant initialement une notification de retarder la diffusion de la notification aux CSIRT désignés comme coordinateurs sur le territoire desquels le fabricant a indiqué que le produit comportant des éléments numériques a été mis à disposition.
Dans ce cadre, il établit :
– les conditions d’application des motifs ayant trait à la cybersécurité découlant de la nature des informations déclarées. Ainsi, le CSIRT recevant initialement la notification peut décider de retarder, pendant une période limitée à ce qui est strictement nécessaire, la diffusion des notifications ou de parties de celles-ci aux CSIRT concernés dans les cas où, compte tenu de la sensibilité des informations notifiées, les risques en matière de cybersécurité liés à la diffusion l’emportent sur les avantages en matière de sécurité qu’elle procure, et où il est impossible d’atténuer ces risques en imposant des restrictions au traitement ou à la diffusion plus large de la notification au moyen de protocoles appropriés, tels que les protocoles «Traffic Light Protocol» (TLP) ou «Permissible Actions Protocol» (PAP). Pour ce faire, certaines conditions listées par le texte doivent être réunies. Parmi celles-ci figure notamment la suivante : le fabricant doit avoir informé le CSIRT recevant initialement la notification qu’une mesure efficace d’atténuation des risques, telle qu’une mise à jour de sécurité ou des orientations à l’intention des utilisateurs, devrait être mise à disposition dans un délai de 72 heures. Si aucune mesure efficace d’atténuation des risques n’est mise à disposition dans ce délai, le CSIRT recevant initialement la notification diffuse la notification aux CSIRT concernés ;
– les conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne un CSIRT particulier. Le CSIRT recevant initialement la notification peut décider de retarder pour une période limitée à ce qui est strictement nécessaire la diffusion des notifications ou de parties de celles-ci à un CSIRT concerné particulier dans les cas où :
– le CSIRT concerné a été touché par un incident de cybersécurité remettant en cause sa capacité à garantir la confidentialité des informations notifiées ;
– il a des raisons suffisantes de penser que les capacités du CSIRT concerné sont insuffisantes pour garantir la confidentialité des informations notifiées. Le texte fixe le moment limite à l’issu duquel le CSIRT recevant initialement la notification peut retarder la diffusion (prise en compte de certaines actions à mener) ;
– les conditions d’application des motifs ayant trait à la cybersécurité en ce qui concerne la plateforme unique de signalement. Le CSIRT recevant initialement la notification peut décider de retarder la diffusion des notifications via la plateforme unique de signalement lorsque l’Agence de l’Union européenne pour la cybersécurité (ENISA) a informé le réseau des CSIRT que la plateforme unique de signalement a été touchée par un incident de cybersécurité remettant en cause sa capacité à garantir la confidentialité des informations notifiées. Dans un tel cas, le CSIRT recevant initialement la notification peut retarder la diffusion via la plateforme unique de signalement jusqu’à ce que l’ENISA ait informé le réseau des CSIRT que la capacité de la plateforme à garantir la confidentialité des notifications a été rétablie.