Schéma de notification d'incident NIS2

Catégorie au titre de laquelle cette notification est soumise. L'art. 23(3) NIS2 n'impose la notification que des incidents importants ; la notification des quasi-incidents et des incidents non importants est volontaire au titre de l'art. 30 NIS2.

Évaluation initiale de la gravité de l'incident. L'art. 23(4)(b) NIS2 exige que la notification d'incident (72h) contienne une évaluation initiale de la gravité et de l'impact. Le CIR 2024/2690 quantifie les seuils d'importance pour les catégories de fournisseurs de services numériques qu'il couvre.

Résumé en langage clair de ce qui s'est produit. L'art. 23(4)(a) NIS2 exige que l'alerte précoce indique si l'on soupçonne que l'incident important est de nature illicite ou malveillante : ce champ porte ce récit initial.

Conformément au libellé de l'art. 23(4)(d) NIS2 : le rapport final contient 'une description détaillée de l'incident, y compris sa gravité et son impact'. Ce champ accumule les constatations tout au long du cycle de notification.

L'art. 23(4)(a) NIS2 exige que l'alerte précoce des 24 heures indique si l'on soupçonne que l'incident important a été causé par des actes illicites ou malveillants.

Art. 23(2) NIS2 : le cas échéant, l'entité communique sans retard injustifié aux destinataires de ses services potentiellement affectés par une cybermenace importante toutes les mesures ou tous les remèdes qu'ils peuvent prendre.

Message en langage clair adressé aux destinataires des services de l'entité concernant la menace et les mesures correctives recommandées. Obligatoire si customerNotificationRequired est vrai.

Heure connue la plus ancienne à laquelle l'incident s'est produit. Peut être 'inconnue' si la chronologie forensique est incomplète.

Heure à laquelle l'entité a eu connaissance de l'incident important. Déclenche les délais de 24h / 72h / 1m au titre de l'art. 23(4) NIS 2.

Heure à laquelle l'incident a été circonscrit et corrigé. Requis pour le rapport final au titre de l'art. 23(4)(d) NIS 2.

Conformément au libellé de l'art. 23(4)(d)(ii) NIS2 : le rapport final indique 'le type de menace ou la cause racine ayant probablement déclenché l'incident'.

Analyse rédigée étayant la classification de la cause racine. Lorsque l'analyse est incomplète, indiquer l'hypothèse la mieux étayée et les preuves qui la sous-tendent.

Évaluation par l'entité indiquant s'il s'agit d'une attaque ciblée (spécifique à l'entité ou au secteur) ou non ciblée (opportuniste / campagne de masse).

Lesquelles parmi la confidentialité, l'intégrité, la disponibilité l'incident a affectées. L'art. 6(6) NIS2 définit l''incident important' notamment au regard de ces propriétés.

Conformément au libellé de l'art. 23(4)(b) NIS2 : la notification d'incident (72h) indique 'une évaluation initiale de l'incident important, y compris sa gravité et son impact, ainsi que, le cas échéant, les indicateurs de compromission'. Fournir des artefacts observables (empreintes de fichiers, adresses IP, domaines, URLs, signatures de logiciels malveillants, schémas comportementaux) que les défenseurs en aval peuvent utiliser pour détecter la même menace. Facultatif et non obligatoire, car la directive le conditionne à la disponibilité ; si l'analyse forensique n'a fait apparaître aucun IoC au moment de la soumission, laisser vide.

Mesures techniques, organisationnelles et opérationnelles déjà prises pour circonscrire l'incident. Requis pour la notification d'incident (72h) et mis à jour dans les rapports ultérieurs.

Selon les termes mêmes de l'art. 23(4)(d)(iii) NIS 2 : le rapport final doit décrire les 'mesures d'atténuation appliquées et en cours'.

Comment l'incident a été détecté pour la première fois. Utilisé par les CSIRT pour identifier les lacunes systémiques de détection dans l'ensemble du secteur.

Mesures prévues pour empêcher toute récurrence. Porte la boucle de 'retour d'expérience' exigée par l'ENISA TIG pour le rapport final.

Nombre estimé d'utilisateurs affectés. CIR 2024/2690 quantifie des seuils pour les catégories de fournisseurs de services numériques qu'il couvre ; pour les autres entités, l'évaluation est qualitative au titre de l'art. 6(6) et de l'art. 23(3) NIS 2.

Description des services (opérationnels, destinés aux clients, internes) qui ont été dégradés ou indisponibles et pendant combien de temps. L'art. 6(6) NIS 2 fait de la perturbation de service un critère définissant un 'incident important'.

Dommage financier direct et indirect estimé. L'art. 6(6) NIS 2 inclut la perte financière parmi les critères qui élèvent un incident au rang d''important'.

Évaluation par l'entité selon laquelle l'incident a causé ou est susceptible de causer une atteinte à la réputation. L'un des critères qualifiant un 'incident important' au titre de l'art. 6(6) NIS 2.

L'art. 23(4)(a) NIS 2 exige que l'alerte précoce indique si l'incident important a un impact transfrontalier. Les CSIRT des autres États membres concernés sont informés via le mécanisme de coopération prévu à l'art. 15 NIS 2.

Liste des États membres de l'UE dont les entités, les utilisateurs ou les services sont affectés par l'incident. Utilisée par le CSIRT pour informer les autorités homologues.

Secteurs affectés par l'incident, correspondant à l'annexe I NIS 2 (secteurs hautement critiques) et à l'annexe II (autres secteurs critiques). Les CSIRT sectoriels peuvent devoir être informés.

Nom de la personne physique soumettant la notification au nom de l'entité. Exigé par tous les portails nationaux afin que le CSIRT puisse assurer le suivi.

Adresse e-mail permettant au CSIRT de joindre le déclarant pour les questions de suivi, les demandes de rapport intermédiaire et la transmission du retour d'information au titre de l'art. 23(5) NIS2.

Numéro de téléphone pour un contact urgent avec le CSIRT, en particulier pendant la fenêtre d'alerte précoce où l'e-mail peut être lent.

Numéro de référence interne de l'incident propre à l'entité. Permet au CSIRT de corréler plusieurs soumissions relatives au même incident.