Réponse GRC

Comment fonctionne la notification des incidents au titre de NIS2 ?

Réponse directe

En vertu de l’article 23 de NIS2, les entités essentielles et importantes doivent signaler les incidents significatifs à leur CSIRT national ou à l’autorité compétente par étapes : une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident, une notification d’incident plus complète dans les 72 heures, et un rapport final dans le mois suivant cette notification. En France, l’ANSSI est l’autorité nationale de cybersécurité chargée de recevoir ces signalements. Un incident est significatif s’il a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière importante, ou s’il a affecté d’autres personnes par des dommages matériels ou immatériels considérables. Ces délais sont fixés à l’article 23(4) de la directive et sont identiques dans chaque État membre. La structure par étapes permet aux autorités d’obtenir un signal rapide, puis une image complète au fil de la résolution. Le délai de signalement ne commence qu’une fois l’incident qualifié de significatif — d’où l’importance d’une classification rapide et exacte, autant que du signalement lui-même. Le signalement est une séquence, et non un dépôt unique : alerte précoce à 24 heures, notification à 72 heures avec une évaluation plus détaillée, rapport final dans le mois couvrant la cause racine et les mesures d’atténuation. Si l’incident est toujours ouvert au bout d’un mois, vous déposez un rapport d’avancement puis un rapport final une fois résolu.

Et maintenant

Solution NIS2 par Acuna