Comment notifier un incident NIS 2 en 24 heures
L'article 23 de NIS 2 établit une cascade unique à travers l'Union : alerte précoce à 24 heures, notification d'incident à 72 heures, rapport intermédiaire sur demande, rapport final dans un délai d'un mois. L'horloge démarre lorsque vous prenez connaissance de l'incident, et non lorsqu'il s'est produit.
La version courte
Si un incident important survient, vous devez à votre CSIRT national (en Allemagne : le BSI) quatre rapports dans un ordre fixe. Le premier est dû 24 heures après que vous avez pris connaissance de l'incident. Le mot déclencheur est la connaissance, et non la survenue. Dès l'instant où quelqu'un dans votre maison peut dire que c'est plus qu'un simple incident technique, l'horloge a démarré.
L'article 23(4) de NIS 2 nomme les quatre étapes. Le règlement d'exécution (UE) 2024/2690 de la Commission §11 précise ce que les rapports doivent contenir et énumère les catégories d'incidents qui comptent toujours comme importants. Le §32 BSIG et le BSI Meldeportal en sont le canal allemand.
Cette page parcourt d'abord la couche de l'UE, puis la couche opérationnelle allemande. La cascade est la même à travers l'Union. Le portail et le bureau de contact changent d'un pays à l'autre.
Article 23(4) de la directive NIS 2 (2022/2555)
Member States shall ensure that the entities concerned submit to the CSIRT or, where applicable, the competent authority: (a) without undue delay and in any event within 24 hours of becoming aware of the significant incident, an early warning; (b) without undue delay and in any event within 72 hours of becoming aware of the significant incident, an incident notification; (c) upon the request of a CSIRT or, where applicable, the competent authority, an intermediate report on relevant status updates; (d) a final report not later than one month after the submission of the incident notification under point (b).
Quatre étapes, une cascade. Le libellé est contraignant dans chaque État membre. Le point d'ancrage de l'horloge est le même à chaque étape : à compter de la prise de connaissance, et non du moment où l'incident a commencé.
CIR (UE) 2024/2690, annexe §11.6
An incident shall be considered significant where it causes or is capable of causing severe operational disruption of the services or financial losses for the entity concerned, or where it has affected or is capable of affecting other natural or legal persons by causing considerable material or non-material damage.
Le §11.6 énumère les catégories qui se qualifient toujours comme importantes : rançongiciel, exfiltration de données personnelles ou sensibles, déni de service contre des services essentiels, perte de confidentialité ou d'intégrité d'actifs critiques, et ainsi de suite. Si une catégorie correspond, la question du seuil est close. La notification commence.
§32 BSIG (Allemagne)
Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.
L'Allemagne reprend la cascade de la directive et désigne le BSI Meldeportal comme canal opérationnel. Le §32 BSIG est l'ancrage allemand. L'article 23(4) de NIS 2 est la règle substantielle à laquelle renvoie le texte allemand.
Alerte précoce
Dans les 24 heures suivant la prise de connaissance de l'incident, déposez une alerte précoce auprès du BSI Meldeportal. Vous nommez l'entité, signalez si vous soupçonnez un acte malveillant et indiquez si un impact transfrontalier est possible. Vous n'avez pas encore besoin de la cause racine, de l'étendue ou de l'attribution. L'objectif est de mettre le CSIRT en alerte et de lancer la coordination.
Notification d'incident
Dans les 72 heures suivant la prise de connaissance, déposez la notification d'incident. Actualisez ce que vous avez indiqué à 24 heures. Ajoutez une première évaluation de la gravité et de l'impact. Ajoutez les indicateurs de compromission si vous en disposez. C'est la première fois que l'on attend de vous que vous caractérisiez l'incident, et non que vous l'annonciez simplement. Une meilleure estimation sur des données partielles vaut toujours mieux que le silence.
Rapport final (et intermédiaire sur demande)
Entre les 72 heures et le rapport final, le CSIRT ou l'autorité compétente peut demander à tout moment un rapport intermédiaire sur les mises à jour pertinentes de l'état. Le rapport final lui-même est dû au plus tard un mois après la notification des 72 heures. Il porte la description confirmée de l'incident, l'analyse de la cause racine, les mesures d'atténuation appliquées et tout impact transfrontalier. Si l'incident est toujours en cours au bout d'un mois, déposez un rapport d'avancement et un rapport final à sa clôture.
La rapidité avant l'exhaustivité, la connaissance avant la survenue
Le BSI le dit clairement : „Schnelligkeit vor Vollständigkeit“. Envoyez le rapport avec ce que vous savez maintenant. Actualisez plus tard. L'horloge démarre dès l'instant où une personne responsable peut dire qu'il s'agit de plus qu'une perturbation normale, et non au moment où l'attaque a réellement commencé. Un rapport tardif et complet est une non-conformité. Un rapport rapide et partiel est une conformité.
Les voies de notification peuvent fonctionner en parallèle
Si des données personnelles sont concernées, l'article 33 du GDPR fait courir sa propre horloge de 72 heures vers l'autorité de protection des données (en Allemagne : le BfDI ou la Landesdatenschutzbehörde compétente). Cette horloge est indépendante de la cascade de NIS 2. Vous pouvez devoir les deux en même temps. Déposer l'une ne satisfait pas à l'autre. Il en va de même pour les régulateurs sectoriels lorsqu'ils existent.
BSI Meldeportal au titre du §32 BSIG
Vous déposez via le BSI Meldeportal à meldeportal.bsi.bund.de. Le portail vous guide à travers les quatre étapes et suit les délais. Le BSI publie des orientations sous l'intitulé „Schnelligkeit vor Vollständigkeit“ : n'attendez pas la certitude forensique. Envoyez ce que vous avez. Le portail vous permet d'actualiser le même dossier tout au long de la cascade.
Article 33 du GDPR — fonctionne en parallèle
Si l'incident concerne des données personnelles, vous devez également une notification au titre de l'article 33 du GDPR dans les 72 heures suivant la prise de connaissance. Celle-ci va à l'autorité de protection des données, et non au BSI. L'horloge de 72 heures est le même nombre mais une horloge différente et un destinataire différent. Déposer via le BSI Meldeportal n'arrête pas l'horloge du GDPR. Suivez les deux.
Coordination de l'ENISA et régulateurs sectoriels
L'article 23(11) de NIS 2 permet à l'autorité compétente et au CSIRT de partager le rapport avec leurs homologues d'autres États membres lorsqu'un impact transfrontalier est possible, et avec l'ENISA. Si vous opérez à travers les frontières, attendez-vous à de la coordination, et non à un dépôt en double. Lorsqu'un régulateur sectoriel existe (financier au titre de DORA, télécommunications au titre du TKG), déposez sous ce régime à la place de NIS 2 ou en parallèle, selon ce que prescrit l'acte pertinent.
Nous notifierons une fois que nous saurons ce qui s'est réellement passé.
Au moment où vous saurez ce qui s'est réellement passé, la fenêtre de 24 heures sera close et celle de 72 heures se refermera. L'article 23(4)(a) n'exige pas la cause racine à 24 heures. Il exige l'alerte précoce. La cause racine appartient au rapport final, un mois plus tard. Attendre la certitude est la façon la plus courante de manquer le premier délai.
Tant que nous n'avons pas confirmé qu'il est important, nous ne déposons pas.
Confirmer l'importance à l'avance n'est pas le test. Le §11.6 du CIR énumère les catégories qui sont importantes par définition. L'alerte précoce à 24 heures est conçue précisément pour la situation où vous n'êtes pas encore sûr. Sautez l'étape des 24 heures et vous avez déjà manqué un délai que vous ne pouvez pas rattraper, même s'il s'avère par la suite que l'incident n'était pas important.
Nous avons envoyé la notification, nous avons terminé.
La notification des 72 heures est l'une des quatre étapes, et non la dernière. Le rapport intermédiaire peut être demandé à tout moment. Le rapport final est dû un mois après la notification des 72 heures. La plupart des amendes de la première vague d'exécution se concentrent sur le rapport final manquant, et non sur l'alerte précoce.
Mardi 07h42, un analyste SOC d'un Stadtwerk remarque que l'application de facturation est inaccessible et que des notes de rançon apparaissent sur trois partages de fichiers. À 08h10, le responsable informatique confirme le chiffrement d'une base de données de facturation. C'est l'horodatage de prise de connaissance. L'horloge de 24 heures démarre à 08h10 le mardi, l'horloge de 72 heures démarre à 08h10 le mardi, l'horloge d'un mois du rapport final démarre dès l'instant où la notification des 72 heures est déposée.
À 14h00 le mardi, l'entité dépose une alerte précoce via le BSI Meldeportal : rançongiciel soupçonné, acte malveillant oui, impact transfrontalier incertain (douze heures avant l'échéance). Le vendredi à 06h00, l'entité dépose la notification des 72 heures avec la gravité initiale et les indicateurs de compromission issus des journaux EDR. Le jour 18, le BSI demande un rapport intermédiaire sur l'avancement de la restauration ; l'entité le dépose. Le jour 29, l'entité dépose le rapport final avec la cause racine confirmée, l'atténuation appliquée et le résumé des enseignements tirés. Quatre rapports, un seul point d'ancrage d'horloge : 08h10 le mardi.
Le module Incident de la plateforme reflète la cascade en quatre étapes. Lorsqu'un incident est ouvert, l'horodatage de prise de connaissance ancre trois horloges à rebours : 24 heures, 72 heures, un mois. Chaque horloge a son propre modèle pré-rempli avec ce que demandent l'article 23(4) et le §11.6 du CIR, de sorte que vous renseignez ce que vous savez maintenant et la plateforme vous indique ce qui manque encore.
Le dépôt s'effectue via le BSI Meldeportal en Allemagne. La plateforme ne remplace pas le portail. Elle prépare le contenu, suit les délais, conserve la piste d'audit et rappelle au responsable désigné que l'étape suivante de la cascade est due. Les rapports eux-mêmes restent prêts à l'export afin que vous puissiez les coller dans le portail sous la pression du temps.
- Directive (UE) 2022/2555 (NIS 2), article 23(3), 23(4), 23(11) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission, annexe §11 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi sur le BSI (BSIG), §32 dans la version de la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI Meldeportal — meldeportal.bsi.bund.de
- BSI Infopakete „NIS 2 Pflichten“ sur la notification des incidents — bsi.bund.de/dok/nis-2-infopakete
- Règlement (UE) 2016/679 (GDPR), article 33 — eur-lex.europa.eu/eli/reg/2016/679/oj