§ 32 BSIG : l'obligation de notification des incidents NIS 2
Trois étapes, un compte à rebours de 24 heures, et ce que signifie réellement significatif.
Ce qu'exige le § 32 BSIG
Le § 32 BSIG transpose en droit allemand l'obligation de notification de l'article 23 NIS 2. Les entités concernées doivent notifier les incidents significatifs à l'Office fédéral de la sécurité des technologies de l'information (BSI) en trois étapes. La question difficile est rarement comment notifier, mais de savoir si un incident est significatif.
Le compte à rebours de 24 heures commence dès que l'entité a connaissance de l'incident. Celui qui ne se demande qu'au moment de l'urgence si un incident est à notifier a déjà consommé la moitié de ce délai.
Alerte précoce sous 24 heures
Une première alerte précoce au BSI dans les 24 heures suivant la connaissance de l'incident significatif, indiquant s'il est soupçonné d'être causé par des actes illégaux ou malveillants et s'il pourrait avoir un impact transfrontalier.
Notification sous 72 heures
Une notification plus complète dans les 72 heures, complétant l'alerte précoce par une première évaluation de l'incident, de sa gravité et de son impact, ainsi que des indicateurs de compromission lorsqu'ils sont disponibles.
Rapport final après un mois
Un rapport final au plus tard un mois après la notification : une description détaillée, le type de menace ou la cause, les mesures correctives appliquées et tout impact transfrontalier.
Au niveau de l'UE, les seuils quantitatifs d'un incident significatif sont fixés par le règlement d'exécution (UE) 2024/2690, mais ils ne s'appliquent directement qu'aux fournisseurs d'infrastructures et de services numériques qu'il désigne. Pour la plupart des entités concernées, comme la production, la logistique, la santé ou les déchets, il n'existe pas de chiffres de l'UE.
Pour ces entités, le caractère significatif est régi par les critères qualitatifs de l'article 23(3) NIS 2, transposés comme définition légale au § 2 numéro 11 BSIG. Chaque entreprise doit décider elle-même, dans les 24 heures, si un incident est à notifier, et pouvoir documenter cette décision. L'appréciation documentée constitue la preuve.
Les notifications vont au BSI, en Allemagne via son portail de notification. Définissez en interne, à l'avance, qui décide de notifier et qui dépose effectivement la notification. Régler cela pendant un incident coûte un temps dont vous ne disposez pas.
Définir le chemin de décision avant un incident, ne serait-ce qu'un arbre de décision d'une page, fait lui-même partie de la mesure de gestion des incidents prévue à l'article 21(2)(b) NIS 2.
Si un incident affecte des données à caractère personnel, une obligation de notification distincte au titre de l'article 33 RGPD peut s'appliquer en parallèle. Les deux régimes ont des destinataires et des délais différents.
Ne déposez pas l'un à la place de l'autre. Un incident de rançongiciel qui chiffre des données clients peut déclencher à la fois la cascade de notification du § 32 BSIG et la notification de violation sous 72 heures au titre du RGPD à l'autorité de protection des données.
Questions fréquentes
Quand commence le délai de 24 heures ?
Lorsque l'entité a connaissance de l'incident significatif, et non lorsqu'il a débuté.
Existe-t-il des seuils fixes en euros pour un incident significatif ?
Uniquement pour les fournisseurs de services numériques désignés par le RE (UE) 2024/2690. Pour toutes les autres entités, ce sont les critères qualitatifs de l'article 23(3) NIS 2 qui s'appliquent.
Que faire si je ne suis pas sûr qu'un incident soit significatif ?
Documentez votre appréciation et ses motifs. La décision motivée est ce qu'un auditeur s'attend à voir ; l'absence de toute appréciation est la véritable défaillance.
Dois-je aussi notifier au titre du RGPD ?
Si des données à caractère personnel sont concernées, vérifiez séparément l'article 33 RGPD. Il a son propre délai de 72 heures et un destinataire différent.
Que se passe-t-il après la notification ?
Le BSI peut demander des informations complémentaires, et le rapport final suit au plus tard un mois après la notification.