Code de la défense / Partie législative / PARTIE 2 : RÉGIMES JURIDIQUES DE DÉFENSE / LIVRE III : RÉGIMES JURIDIQUES DE DÉFENSE D'APPLICATION PERMANENTE / TITRE II : SÉCURITÉ DES SYSTÈMES D'INFORMATION / Chapitre Ier : Responsabilités
Article L2321-4-1 du Code de la défense
Chronologie des versions de l'article
Entrée en vigueur le 3 août 2023
Est créé par : LOI n°2023-703 du 1er août 2023 - art. 66
En cas de vulnérabilité significative affectant un de leurs produits ou en cas d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l'autorité nationale de sécurité des systèmes d'information cette vulnérabilité ou cet incident ainsi que l'analyse de ses causes et de ses conséquences. Cette obligation s'applique aux éditeurs qui fournissent ce produit :
1° Sur le territoire français ;
2° A des sociétés ayant leur siège social sur le territoire français ;
3° Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.
Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l'autorité nationale de sécurité des systèmes d'information et déterminé en fonction de l'urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l'autorité nationale de sécurité des systèmes d'information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n'a pas été mise en œuvre.
Pour l'application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.
Pour l'application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.
Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il précise notamment les critères d'appréciation du caractère significatif de la vulnérabilité ou de l'incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis.
Commentaires • 5
[…] Examen d'un projet de délibération portant avis sur un projet de décret pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques ;
Lire la suite…La loi n°2023-703 du 1er août 2023 relative à la programmation militaire (« LPM ») a inséré un nouvel article L. 2321-4-1 dans le Code de la défense imposant aux éditeurs de logiciels : · L'obligation de notifier à l'ANSSI (i) les vulnérabilités significatives affectant un de leurs produits […] Seules certaines catégories d'opérateurs (les opérateurs d'importance vitale visés par l'article L. 1332-6-2 du Code de la défense, et les opérateurs de services essentiels visés par la loi n°2018-133 du 26 février 2018) étaient concernées par des obligations de notification des menaces cyber. […]
Lire la suite…
Sanction: Le texte n'indique pas de sanction spécifique Références : Article L2321-4-1 du Code de la défense Créé par l'article 66 de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense
Lire la suite…