Depuis le 11 septembre 2026, les fabricants sont tenus de signaler les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité des produits comportant des éléments numériques.
Quelles sont les règles principales?
L'ARC exige que les fabricants notifient les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité de leur produit comportant des éléments numériques. Ils doivent soumettre une alerte précoce dans les 24 heures suivant la prise de connaissance, et une notification complète dans les 72 heures. Un rapport final doit être soumis au plus tard 14 jours après qu’une mesure corrective est disponible pour les vulnérabilités activement exploitées et dans un délai d’un mois pour les incidents graves.
Les fabricants ne déclarent qu'une seule fois par l'intermédiaire de la plateforme de déclaration unique (SRP) de l'ARC. La notification est adressée à l’équipe d’intervention en cas d’incident de sécurité informatique (CSIRT) dans laquelle elle a son établissement principal et, sauf circonstances particulièrement exceptionnelles, les informations sont mises simultanément à la disposition de l’ENISA. Le CSIRT qui reçoit initialement la notification la partagera sans délai avec tous les autres CSIRT sur le territoire desquels le produit comportant des éléments numériques a été mis à disposition.
Dans des circonstances exceptionnelles et sur la base de motifs justifiés liés à la cybersécurité, le CSIRT peut décider de retarder la diffusion à d’autres CSIRT: le 11 décembre 2025, la Commission a adopté un acte délégué précisant davantage les modalités et conditions d’application de ces motifs liés à la cybersécurité.
Quand la plateforme de déclaration unique des agences de notation sera-t-elle finalisée?
Conformément à l’article 16 de l’ARC, l’ENISA est chargée de la mise en place de la plateforme unique de déclaration des agences de notation.
L’ENISA a lancé un appel d’offres public et a obtenu des services d’un contractant pour contribuer à l’élaboration du PRS.
La plateforme de déclaration unique sera opérationnelle au plus tard le 11 septembre 2026 (date d’entrée en application des exigences de déclaration de l’ARC), avec une période de test avant cette date.
L’ENISA publiée tient à jour une FAQ sur le PRS de l’ARC, disponible à ce lien.
Organismes de coopération compétents
Documents de référence et liens
Foire aux questions sur la mise en œuvre de l'ARC
Foire aux questions sur le PRS de l'ARC
Acte délégué relatif aux CSIRT retenant les notifications à diffuser par l’intermédiaire de la plateforme de déclaration unique (adopté, publication en attendant la période d’objection)
Contenu associé
Vue d’ensemble