1. Chaque État membre désigne l'un de ses CSIRT en tant que coordinateur aux fins de l'exécution coordonnée des missions de l'Union européenne. vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) divulgation. Le CSIRT désigné comme coordinateur agit en tant qu'intermédiaire de confiance, facilitant, si nécessaire, l'interaction entre la personne physique ou morale qui signale une vulnérabilité et le fabricant ou le fournisseur des produits ou services TIC potentiellement vulnérables, à la demande de l'une ou l'autre partie. Les tâches du CSIRT désigné comme coordinateur sont notamment les suivantes
(a) identifier et contacter les entités concernées ;
(b) aider les personnes physiques ou morales qui signalent une vulnérabilité ; et
(c) la négociation des délais de divulgation et la gestion des vulnérabilités qui affectent plusieurs entités.
Les États membres veillent à ce que les personnes physiques ou morales puissent signaler, de manière anonyme si elles le demandent, une vulnérabilité au CSIRT désigné comme coordinateur. Le CSIRT désigné comme coordinateur veille à ce qu'un suivi diligent soit assuré en ce qui concerne la vulnérabilité signalée et garantit l'anonymat de la personne physique ou morale qui signale la vulnérabilité. Lorsqu'une vulnérabilité signalée pourrait avoir un impact significatif sur des entités situées dans plusieurs États membres, le CSIRT désigné comme coordinateur de chaque État membre concerné coopère, le cas échéant, avec d'autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT.
2. L'ENISA développe et maintient, après consultation du groupe de coopération, une base de données européenne des vulnérabilités. À cette fin, l'ENISA établit et maintient les systèmes d'information, les politiques et les procédures appropriés, et adopte les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et l'intégrité de la base de données européenne des vulnérabilités, en vue notamment de permettre aux entités, qu'elles relèvent ou non du champ d'application de la présente directive, et à leurs fournisseurs de réseaux et de systèmes d'information, de divulguer et d'enregistrer, sur une base volontaire, les vulnérabilités connues du public dans les produits TIC ou les services TIC. Toutes les parties prenantes ont accès aux informations sur les vulnérabilités contenues dans la base de données européenne sur les vulnérabilités. Cette base de données comprendra
(a) des informations décrivant la vulnérabilité ;
(b) les produits ou services TIC concernés et la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée ;
(c) la disponibilité des correctifs correspondants et, en l'absence de correctifs disponibles, les orientations fournies par les autorités compétentes ou les CSIRT aux utilisateurs de produits et de services TIC vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.