Signalement des incidents NIS 2 : délais et obligations
L'un des changements les plus significatifs de NIS 2 par rapport à la directive originale est l'introduction d'un cadre strict de signalement des incidents en plusieurs étapes. Les organisations doivent signaler les incidents de cybersécurité significatifs à leur équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) ou à l'autorité compétente dans des délais spécifiques. Comprendre ces obligations est essentiel pour la conformité.
Points clés
| Point | Résumé |
|---|---|
| Alerte précoce | Dans les 24 heures suivant la prise de connaissance d'un incident significatif |
| Notification d'incident | Dans les 72 heures avec une évaluation mise à jour |
| Rapport final | Dans un délai d'un mois après la notification d'incident |
| À qui notifier | CSIRT national ou autorité compétente |
| S'applique à | Les entités essentielles et importantes |
Réponse rapide : NIS 2 exige un processus de signalement des incidents en trois étapes : alerte précoce dans les 24 heures, notification d'incident dans les 72 heures et rapport final dans un délai d'un mois. Ces délais s'appliquent aux entités essentielles et importantes pour tout incident significatif.
Qu'est-ce qu'un incident significatif ?
Tout événement de cybersécurité ne déclenche pas d'obligations de signalement. NIS 2 définit un "incident significatif" comme un incident qui :
- A causé ou est susceptible de causer une perturbation opérationnelle grave des services ou une perte financière pour l'entité
- A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables
| Type d'incident | Probablement significatif | Probablement non significatif |
|---|---|---|
| Attaque par ransomware affectant les opérations | Oui | - |
| Violation de données exposant des données clients | Oui | - |
| Attaque DDoS perturbant les services pendant des heures | Oui | - |
| Malware de routine bloqué par l'antivirus | - | Oui |
| Tentatives de connexion échouées | - | Oui |
| Erreur de configuration mineure rapidement corrigée | - | Oui |
| Compromission de la chaîne d'approvisionnement affectant les services | Oui | - |
La détermination de la significativité doit considérer à la fois l'impact immédiat et les conséquences potentielles si l'incident devait s'aggraver.
Le processus de signalement en trois étapes
Étape 1 : Alerte précoce (dans les 24 heures)
L'alerte précoce doit être soumise à l'autorité compétente ou au CSIRT dans les 24 heures suivant la prise de connaissance de l'incident significatif.
Contenu requis :
- Indication qu'un incident significatif s'est produit
- Si l'incident est suspecté d'être causé par des actes illégaux ou malveillants
- Si l'incident pourrait avoir un impact transfrontalier
Objectif : Cette notification initiale alerte rapidement les autorités afin qu'elles puissent coordonner les efforts de réponse et avertir d'autres entités potentiellement affectées. Elle ne nécessite pas d'analyse détaillée à ce stade.
Pour les incidents impliquant des actes illégaux ou malveillants, l'alerte précoce doit également l'indiquer pour permettre une éventuelle implication des forces de l'ordre.
Étape 2 : Notification d'incident (dans les 72 heures)
Dans les 72 heures suivant la prise de connaissance de l'incident, l'entité doit soumettre une notification mise à jour.
Contenu requis :
- Mise à jour des informations fournies dans l'alerte précoce
- Évaluation initiale de l'incident, incluant sa gravité et son impact
- Indicateurs de compromission, si disponibles
Objectif : Cela fournit aux autorités une image plus claire de la portée et de l'impact de l'incident, permettant une coordination et un soutien plus efficaces.
Étape 3 : Rapport final (dans un délai d'un mois)
Dans un délai d'un mois après la notification d'incident, l'entité doit soumettre un rapport final détaillé.
Contenu requis :
- Description détaillée de l'incident, incluant sa gravité et son impact
- Le type de menace ou la cause profonde qui a probablement déclenché l'incident
- Mesures d'atténuation appliquées et en cours
- Le cas échéant, l'impact transfrontalier de l'incident
Objectif : Ce rapport complet soutient l'analyse post-incident, aide à améliorer la sécurité à l'échelle du secteur et permet aux autorités d'évaluer la réponse et la conformité de l'entité.
Rapports intermédiaires
Si l'incident est toujours en cours au moment où le rapport final est dû, l'entité doit fournir :
- Un rapport d'avancement à l'échéance d'un mois
- Un rapport final dans un délai d'un mois après la résolution de l'incident
Résumé du calendrier de signalement
| Événement | Délai | Contenu |
|---|---|---|
| Incident détecté | T=0 | L'évaluation interne commence |
| Alerte précoce | T+24 heures | Notification de base, indication d'acte malveillant, potentiel transfrontalier |
| Notification d'incident | T+72 heures | Évaluation de la gravité, analyse d'impact, indicateurs de compromission |
| Rapport final | T+1 mois | Cause profonde, description complète, mesures d'atténuation, impact transfrontalier |
| Rapport d'avancement (si en cours) | T+1 mois | Mise à jour du statut si l'incident n'est pas encore résolu |
| Rapport final (si retardé) | Résolution +1 mois | Rapport complet après résolution de l'incident |
Qui reçoit les rapports ?
Les rapports doivent être soumis à l'autorité nationale compétente :
| Destinataire | Rôle |
|---|---|
| Autorité compétente | L'autorité nationale responsable de la supervision NIS 2 dans votre secteur |
| CSIRT | L'équipe nationale de réponse aux incidents de sécurité informatique |
| Point de contact unique | Point de coordination national pour les questions transfrontalières |
Les États membres peuvent établir des canaux et formats de signalement spécifiques. Les organisations doivent identifier leur autorité nationale et leur CSIRT avant qu'un incident ne survienne et établir des procédures de communication à l'avance.
Signalement volontaire
NIS 2 permet également le signalement volontaire :
- Les entités peuvent signaler des incidents qui ne répondent pas au seuil "significatif"
- Les entités hors périmètre de NIS 2 peuvent également soumettre des rapports volontaires
- Les rapports volontaires sont traités de la même manière que les rapports obligatoires
- Aucune obligation supplémentaire n'est imposée à l'entité déclarante suite à un signalement volontaire
Comparaison avec d'autres exigences de signalement
| Cadre | Délai de signalement | Périmètre |
|---|---|---|
| NIS 2 | 24h alerte précoce, 72h notification, 1 mois final | Incidents de cybersécurité |
| RGPD | 72 heures à l'autorité de contrôle | Violations de données personnelles |
| DORA | 4 heures initial, 72 heures intermédiaire, 1 mois final | Incidents liés aux TIC (secteur financier) |
| NIS 1 | "Sans retard injustifié" | Incidents significatifs |
Les organisations soumises à plusieurs cadres doivent cartographier leurs obligations de signalement pour s'assurer de respecter tous les délais. Un seul incident peut déclencher un signalement sous NIS 2 et le RGPD, par exemple.
Préparer votre processus de signalement des incidents
Étape 1 : Établir des capacités de détection
Mettez en œuvre des outils de surveillance et de détection capables d'identifier rapidement les incidents significatifs. Le délai de 24 heures commence lorsque vous "prenez connaissance" de l'incident, donc une détection plus rapide signifie plus de temps pour l'évaluation et le signalement.
Étape 2 : Définir les procédures d'escalade internes
Créez des chemins d'escalade clairs pour que lorsqu'un incident potentiellement significatif est détecté, les bonnes personnes soient notifiées immédiatement. Définissez qui a l'autorité de classifier un incident comme significatif et d'initier le signalement externe.
Étape 3 : Préparer des modèles de rapport
Ayez des modèles préformatés prêts pour chaque étape du signalement. Cela réduit le temps nécessaire pour compiler et soumettre les rapports sous pression.
Étape 4 : Identifier vos autorités
Sachez quel CSIRT et quelle autorité compétente vous devez contacter avant qu'un incident ne survienne. Établissez des canaux de communication et testez-les périodiquement.
Étape 5 : Mener des exercices réguliers
Réalisez des exercices sur table et des simulations d'incidents qui incluent le processus de signalement. Cela aide les équipes à s'entraîner à respecter les délais stricts dans des conditions réalistes.
Questions fréquentes
Que se passe-t-il si nous manquons le délai de 24 heures ?
Manquer les délais de signalement constitue une non-conformité avec NIS 2 et peut entraîner des mesures d'application, y compris des amendes administratives. Cependant, la directive reconnaît que les délais précis peuvent être difficiles à respecter, et les autorités se concentrent généralement sur le fait que l'entité a fait des efforts raisonnables pour signaler rapidement.
Chaque cyberattaque doit-elle être signalée ?
Non. Seuls les "incidents significatifs" qui causent ou pourraient causer une perturbation opérationnelle grave, une perte financière ou des dommages considérables à d'autres personnes doivent être signalés. Les événements de sécurité de routine qui sont gérés par les processus normaux ne déclenchent pas d'obligations de signalement.
Pouvons-nous signaler à plusieurs autorités simultanément ?
Oui, et dans certains cas vous devrez le faire. Si un incident affecte à la fois la cybersécurité (NIS 2) et les données personnelles (RGPD), vous devez signaler à la fois au CSIRT/autorité compétente et à l'autorité de protection des données dans leurs délais respectifs.