Art. 23(4)(a) NIS 2 + §32 BSIG + §121 BGB

Ce que « sans délai » signifie réellement sur l'horloge des 24 heures de NIS 2

L'art. 23(4)(a) NIS 2 a deux minuteries, pas une. Connaître la différence, c'est la différence entre défendre une alerte précoce ponctuelle et s'exposer à une amende évitable au titre du § 65 BSIG.

Simon OrzelSimon Orzel·

Pourquoi la formulation compte

L'art. 23(4)(a) NIS 2 dit que l'alerte précoce est due « sans délai et en tout état de cause dans les 24 heures » après avoir eu connaissance d'un incident important. Deux minuteries, pas une. Le chiffre de 24 heures est un plafond strict ; l'obligation opératoire est la première formulation.

En pratique, cela signifie qu'une notification qui arrive à la 23e heure peut toujours être tardive si l'entité aurait raisonnablement pu la soumettre à la 4e heure. « Raisonnablement » est ce que les auditeurs vérifient rétrospectivement.

Les lecteurs novices se fixent sur le chiffre des 24 heures et passent à côté de la structure juridique. Comprendre les deux horloges est la défense la moins chère que vous puissiez préparer en amont d'un incident.

Où se trouve la structure
Un article opératoire, une transposition, un considérant.

Art. 23(4)(a) NIS 2

Where applicable, an early warning, which, without undue delay and in any event within 24 hours of becoming aware of the significant incident, shall indicate whether the significant incident is suspected of being caused by unlawful or malicious acts or could have a cross-border impact.

Deux minuteries explicitement nommées dans la même phrase. « Sans délai » est l'obligation opératoire ; « 24 heures » est la limite extérieure. La connaissance, et non la détection, est le déclencheur.

§ 32(1) Nr. 1 BSIG

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als frühe Erstmeldung.

La transposition allemande utilise « unverzüglich » pour « sans délai ». « Unverzüglich » est un terme juridique défini au § 121(1) BGB, à savoir « ohne schuldhaftes Zögern », sans retard fautif. Cette définition importe tout un corpus de jurisprudence allemande dans l'obligation de déclaration de NIS 2.

Considérant 102 NIS 2 (contexte)

In order to determine the reporting obligations, the timeline of the notification and the format of the notification, the assessment of the impact of the incident should be considered.

Le considérant 102 est l'indice interprétatif : le calendrier de notification n'est pas dissocié de l'évaluation raisonnable de l'entité. Vous n'êtes pas tenu de déclarer avant d'avoir les informations ; vous êtes tenu de déclarer dès que vous le pouviez raisonnablement.

Les deux horloges, en langage clair
Les deux démarrent au moment de la connaissance. Les deux doivent être respectées. Ce ne sont pas des alternatives.

Horloge 1 : sans délai

L'obligation opératoire. L'entité doit notifier dès qu'elle le peut raisonnablement après avoir eu connaissance. « Raisonnable » laisse le temps de confirmer les faits et d'escalader en interne ; cela n'autorise pas à regrouper par commodité ni à attendre le début de la journée de travail.

Horloge 2 : en tout état de cause dans les 24 heures

Le plafond strict. Quelle qu'ait été la signification de « raisonnable » dans le cas, l'alerte précoce ne peut pas être postérieure à 24 heures après la connaissance. Au-delà, l'entité est en infraction même avec une justification parfaite.

Déclencheur : la connaissance

Pas la détection technique. La connaissance, au sens juridique, est le moment où l'entité, agissant raisonnablement, savait ou aurait dû savoir. Une alerte SIEM laissée non lue dans une file peut déjà compter comme connaissance pour l'entité si un SOC opérant raisonnablement l'aurait lue.

Ce que « sans délai » autorise et n'autorise pas
Trois règles tirées de la jurisprudence allemande sur « unverzüglich » et des orientations de l'ENISA TIG.

Autorisé : du temps pour confirmer

Vous n'avez pas à déclarer avant d'avoir des informations significatives. Quelques heures pour trier, confirmer le périmètre et écarter les faux positifs sont raisonnables. La directive ne sanctionne pas une vérification responsable.

Autorisé : du temps pour escalader

L'escalade interne dans la chaîne de réponse à incident, avec la validation par le responsable de déclaration désigné, fait partie d'une procédure normale. Une escalade de deux heures en heures ouvrées est raisonnable ; une attente de 20 heures pour que le PDG rentre de vacances ne l'est pas.

Non autorisé : le regroupement de commodité

Attendre pour combiner plusieurs incidents suspectés, attendre les heures de bureau alors que l'incident est survenu à 22h00, attendre qu'une stratégie de presse se précise. Aucune de ces raisons ne survit à un audit. « Unverzüglich » tolère la vérification, pas un retard pour la propre commodité de l'entité.

Exemple travaillé : charge utile de rançongiciel à 14h00
Parcours du moment où chaque horloge démarre et de ce que « raisonnable » signifie dans un cas concret.

14h00: le SOC détecte une activité de chiffrement sur le serveur de fichiers

Détection technique. Pas encore connaissance juridique si le SOC enquête. L'entité est avertie mais ne s'est pas forgé d'opinion sur le caractère important de l'incident.

15h30: incident confirmé comme rançongiciel, périmètre partiellement clair

La connaissance survient maintenant au plus tard. Les deux horloges démarrent. La limite extérieure des 24 heures se termine à 15h30 le lendemain. L'obligation « sans délai » s'engage immédiatement.

16h45: alerte précoce envoyée

75 minutes après la confirmation. « Sans délai » défendable si l'entité a utilisé ce temps pour vérifier et escalader en interne vers le responsable de déclaration désigné. La notification inclut les deux éléments de contenu obligatoires de l'art. 23(4)(a) : cause malveillante suspectée et évaluation de l'impact transfrontalier.

Ce que les auditeurs recherchent dans votre journal de chronologie

Lorsque le BSI ou une autorité nationale compétente audite un incident rétrospectivement, le document d'intérêt est le propre journal de chronologie de l'entité. Trois colonnes sont attendues : heure de l'événement, ce qui était connu à ce moment, action entreprise.

L'audit pose une seule question : à chaque point de la chronologie, l'étape suivante était-elle raisonnable au regard de ce qui était connu. Un journal propre avec des actions prudentes défend le calendrier de notification. Un journal lacunaire invite l'auditeur à supposer le pire.

Sources
  • Directive (UE) 2022/2555 (NIS 2), art. 23(4)(a), considérant 102, www.eur-lex.europa.eu
  • Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 32, www.gesetze-im-internet.de
  • Bürgerliches Gesetzbuch (BGB), § 121(1): définition de « unverzüglich »
  • ENISA Technical Implementation Guidance v1.0 (juin 2025), § 5 sur la documentation de la chronologie des incidents

Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, BGB, ENISA TIG). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. La question de savoir si un retard particulier est « indu » dans un cas donné est une question juridique relevant d'un avocat inscrit. À jour au 2026-06-04.

Exercez-vous à la chronologie avant un incident
Le module d'incident de la plateforme enregistre les événements de la chronologie avec horodatage et validations de décision, de sorte que le journal d'audit s'écrit tout seul.