I. - Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :

1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;

2° Le nombre de produits intégrant le produit affecté ;

3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;

4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;

5° L'exploitation imminente ou avérée de la vulnérabilité ;

6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.

II. - S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.

III. - L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.

I. - Après analyse conjointe de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16 avec l'éditeur, l'autorité nationale de sécurité des systèmes d'information notifie à ce dernier le délai dans lequel il informe ses utilisateurs de la vulnérabilité ou de l'incident mentionné au I de l'article R. 2321-1-16. Ce délai ne peut être inférieur à dix jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai.

II. - L'éditeur de logiciel informe les utilisateurs du produit affecté par un message d'information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. Il rend compte à l'autorité nationale de sécurité des systèmes d'information de l'envoi de ce message.

L'injonction adressée par l'autorité nationale de sécurité des systèmes d'information aux éditeurs de logiciel en application du cinquième alinéa de l'article L. 2321-4-1 est motivée et mentionne le délai imparti, qui ne peut être inférieur à dix jours, ainsi que les mesures requises pour s'y conformer. L'éditeur de logiciel peut présenter des observations dans ce délai. L'injonction est notifiée à l'éditeur de logiciel par lettre recommandée avec avis de réception. L'éditeur de logiciel est informé que l'autorité nationale de sécurité des systèmes d'information peut informer les utilisateurs ou rendre public la vulnérabilité ou l'incident ainsi que l'injonction si celle-ci n'a pas été mise en œuvre.

En application du cinquième alinéa de l'article L. 2321-4-1, l'autorité nationale de sécurité des systèmes d'information peut :

1° Procéder à l'information des utilisateurs ou du public, relative à la vulnérabilité ou à l'incident, sur le site du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques ;

2° Rendre publique l'injonction, sur son site Internet, lorsque celle-ci a été partiellement ou totalement inexécutée.