Procédure
Notification d'incidents NIS2 : délais et procédures
Par l'équipe NIS2 Radar — Mis à jour janvier 2025
NIS2 impose un processus de notification en 3 étapes avec des délais stricts. Ne pas notifier dans les temps est une infraction sanctionnable, indépendamment de l'incident lui-même.
1. Les 3 étapes de notification obligatoire
| Étape | Délai | Contenu requis |
|---|---|---|
| Alerte initiale | 24 heures après détection | Nature de l'incident, impact estimé, mesures immédiates prises |
| Notification intermédiaire | 72 heures après détection | Évaluation approfondie, indicateurs de compromission, impact réel |
| Rapport final | 1 mois après détection | Analyse complète, causes profondes, mesures correctives, leçons apprises |
2. Qu'est-ce qu'un incident significatif NIS2 ?
Un incident est considéré significatif au sens NIS2 s'il :
- A causé ou est susceptible de causer une perturbation opérationnelle grave
- A entraîné des pertes financières significatives pour l'entité
- A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales
- A compromis la confidentialité, l'intégrité ou la disponibilité de systèmes critiques
3. À qui notifier ?
| Pays | Autorité principale | CSIRT national |
|---|---|---|
| 🇫🇷 France | ANSSI | CERT-FR (cert.ssi.gouv.fr) |
| 🇧🇪 Belgique | CCN (Centre for Cybersecurity Belgium) | CERT.be |
| 🇱🇺 Luxembourg | CNCS | CIRCL (circl.lu) |
4. Checklist de préparation
- ☐ Procédure de détection et qualification des incidents documentée
- ☐ Critères de déclenchement de la notification définis
- ☐ Responsable de la notification désigné (RSSI ou DG)
- ☐ Contacts des autorités nationales enregistrés (ANSSI / CCN / CNCS)
- ☐ Templates de notification préparés (alerte 24h, rapport 72h, rapport final)
- ☐ Canal de communication sécurisé avec l'autorité établi
- ☐ Exercice de simulation de notification réalisé
Attention : Le délai de 24h court dès la détection de l'incident, pas dès sa confirmation. En cas de doute sur la significativité, notifiez et qualifiez ensuite.