§32 BSIG

Manuel de notification d'incidents NIS2

Le §32 BSIG transpose l'art. 23, paragraphe 4, de NIS 2 : trois rapports obligatoires assortis d'échéances fixes (24h, 72h, 1 mois) plus deux rapports conditionnels (sur demande, si l'incident est toujours en cours). Manquer une échéance est une infraction distincte, indépendante de l'incident lui-même.

Simon OrzelSimon Orzel·Laufend geprüft

La notification d'incidents au titre de NIS2

Le §32 BSIG met en œuvre l'article 23 de la directive NIS2. Il établit un régime de notification obligatoire pour les incidents de sécurité importants. Toute entité classée comme entité essentielle ou entité importante doit notifier le BSI lorsqu'un incident remplit les critères d'importance. La cascade comporte trois rapports obligatoires assortis d'échéances fixes et deux rapports conditionnels, déclenchés sur demande ou par un incident en cours. L'obligation ne peut pas être déléguée à un fournisseur de services de sécurité gérés ; l'entité elle-même est responsable de la notification en temps voulu.

Les délais de notification sont stricts et commencent à courir lorsque l'entité a connaissance de l'incident, et non lorsque l'enquête est terminée. C'est une distinction essentielle : l'alerte précoce de 24 heures doit être soumise sur la base de la connaissance initiale, même si l'ampleur et l'impact complets sont inconnus. Attendre de disposer d'informations complètes avant de notifier constitue en soi une infraction.

Cascade de notification au titre de l'art. 23, paragraphe 4, de NIS 2
Trois étapes obligatoires assorties d'échéances fixes à compter du moment de la prise de connaissance, plus jusqu'à deux rapports conditionnels (rapport intermédiaire à la demande de l'autorité, rapport d'avancement si l'incident est toujours en cours le jour où le rapport final est dû).
1

Alerte précoce (Frühwarnung)

Sous 24 heures

La notification initiale au BSI indiquant qu'un incident potentiellement important a été détecté. Doit être soumise dans les 24 heures suivant la prise de connaissance de l'incident. L'objectif est de permettre au BSI d'évaluer l'impact intersectoriel et d'émettre des alertes à destination d'autres entités si nécessaire.

  • Confirmation qu'un incident important s'est produit ou est suspecté
  • Si l'incident est soupçonné d'avoir été causé par des actes illicites ou malveillants
  • Si l'incident pourrait avoir un impact transfrontière
  • Nom de l'entité, secteur et coordonnées pour le suivi
2

Notification d'incident (Meldung)

Sous 72 heures

Une notification plus détaillée qui actualise l'alerte précoce avec des informations supplémentaires recueillies lors de la réponse initiale. Doit être soumise dans les 72 heures suivant la prise de connaissance. Actualise le BSI sur la nature, la gravité et l'évaluation initiale de l'impact de l'incident.

  • Évaluation actualisée de la gravité et de l'impact de l'incident
  • Indicateurs de compromission (IoC) lorsqu'ils sont disponibles
  • Évaluation initiale de la nature et de la cause de l'incident
  • Mesures prises ou prévues pour atténuer l'incident
  • Évaluation de l'impact transfrontière le cas échéant
3

Rapport intermédiaire (Zwischenbericht)

Sur demande

Soumis à la demande du BSI entre la notification des 72 heures et le rapport final. Point de situation sur l'état actuel du traitement de l'incident. Non automatique ; déclenché par l'autorité.

  • État actuel du confinement et de la remédiation
  • Nouvelles constatations sur la cause, l'ampleur ou l'impact
  • Ajustements apportés aux contre-mesures
  • Évaluation actualisée des dommages
4

Rapport final (Abschlussbericht)

1 mois après la notification des 72h

Un rapport final complet soumis dans le mois suivant la notification d'incident des 72 heures. Documentation complète de l'incident et de la réponse.

  • Description détaillée de l'incident, y compris la gravité et l'impact
  • Analyse de la cause racine - le type de menace ou de vulnérabilité ayant causé l'incident
  • Mesures appliquées et en cours pour atténuer l'incident et ses effets
  • Impact transfrontière le cas échéant
  • Leçons apprises et actions correctives prévues ou mises en œuvre
5

Rapport d'avancement (Verlaufsbericht)

Si l'incident est toujours en cours

Si l'incident n'est pas encore résolu au moment où le rapport final est dû, le rapport d'avancement le remplace. Le rapport final suivant est alors dû dans le mois suivant la résolution de l'incident.

  • État actuel, l'incident étant toujours en cours
  • Mesures de confinement mises en œuvre jusqu'à présent
  • Durée prévue jusqu'à la résolution de l'incident, lorsqu'elle est prévisible
  • Plan pour le rapport final à établir après la résolution de l'incident
Ce qui rend un incident « important »
Tout événement de sécurité ne déclenche pas l'obligation de notification du §32 BSIG. Un incident est important s'il remplit un ou plusieurs des critères suivants, tels que définis à l'article 23, paragraphe 3, de la directive NIS2 et précisés davantage à l'article 3 du CIR 2024/2690.

Perturbation du service

L'incident a causé ou est susceptible de causer une perturbation opérationnelle grave des services fournis par l'entité. Pour les fournisseurs DNS et les registres TLD, le CIR précise des seuils, notamment une disponibilité inférieure à 99,9 % ou une distribution incorrecte des réponses DNS.

Perte financière

L'incident a causé ou est susceptible de causer une perte financière à l'entité. L'article 3 du CIR 2024/2690 précise un seuil de 500 000 EUR ou de 5 % du chiffre d'affaires annuel - le montant le plus faible étant retenu. Cela inclut les coûts directs (remédiation, investigation forensique) et les coûts indirects (perte de revenus, pénalités contractuelles).

Impact sur d'autres entités

L'incident a causé ou pourrait causer un préjudice considérable à d'autres personnes physiques ou morales. Cela inclut les incidents qui se propagent à travers les chaînes d'approvisionnement, affectent une infrastructure partagée ou exposent des données appartenant à des tiers.

Violation de données

L'incident implique un accès non autorisé à des données, leur destruction ou leur altération. Notez que la notification d'incidents NIS2 au titre du §32 BSIG est distincte et s'ajoute à la notification de violation au titre des art. 33/34 du GDPR - les deux obligations peuvent s'appliquer simultanément.

Interruption prolongée

L'incident a causé ou devrait causer une perturbation prolongée des services de l'entité. Le seuil de durée n'est pas fixé dans la directive, mais le CIR 2024/2690 fournit des critères propres à l'entité. Les interruptions prolongées affectant des services critiques sont présumées importantes.

Champs de notification requis
Le portail de notification du BSI requiert des informations structurées. Préparer ces champs à l'avance réduit considérablement le risque de manquer l'échéance des 24 heures.

  • Identification de l'entité

    Nom de l'entreprise, numéro d'enregistrement BSI, classification sectorielle, code NACE, et point de contact désigné pour la coordination des incidents. Ces informations doivent être préconfigurées dans votre plan de réponse aux incidents - et non recherchées en pleine crise.

  • Nature et classification de l'incident

    Type d'incident (rançongiciel, DDoS, violation de données, menace interne, compromission de la chaîne d'approvisionnement, etc.), systèmes et services affectés, chronologie des événements de la détection à l'état actuel, et classification initiale de la gravité.

  • Évaluation de l'impact

    Nombre d'utilisateurs ou de clients affectés, services perturbés, impact financier estimé, catégories de données affectées (le cas échéant), et durée de la perturbation. Pour l'alerte précoce, les estimations sont acceptables - la précision intervient dans la notification des 72 heures et le rapport final.

  • Impact transfrontière

    Si l'incident affecte ou pourrait affecter des entités ou des citoyens dans d'autres États membres de l'UE. Cela déclenche le partage d'informations entre les CSIRT nationaux et peut impliquer une coordination de l'ENISA. Doit être évalué à la fois dans l'alerte précoce et les notifications ultérieures.

  • Mesures de réponse

    Actions entreprises pour confiner, éradiquer et récupérer après l'incident. Comprend des mesures techniques (isolement, application de correctifs, rotation des identifiants), des mesures de communication (notification des clients, information des parties prenantes) et des mesures organisationnelles (activation de la cellule de crise, recours à un soutien externe).

Où et comment notifier
La notification se fait exclusivement via le portail de notification numérique du BSI.

Tous les rapports d'incidents au titre du §32 BSIG doivent être soumis via le portail de notification officiel du BSI. Le BSI n'accepte pas les notifications par courriel, téléphone ou courrier en remplacement de la soumission via le portail - bien qu'un contact téléphonique avec l'équipe de réponse aux incidents du BSI (CERT-Bund) soit approprié pour coordonner la réponse aux incidents critiques en parallèle de la notification formelle.

Le portail de notification est disponible sur le site web du BSI, sous la section NIS2. L'accès nécessite un enregistrement préalable au titre du §33 BSIG - ce qui signifie que les entités non enregistrées font face à un problème cumulé : elles ne peuvent pas déposer de rapports d'incidents par le canal approprié parce qu'elles n'ont pas effectué l'enregistrement préalable requis. C'est une raison de plus pour ne pas retarder l'enregistrement auprès du BSI.

Sanctions en cas de manquement à la notification
L'absence de notification est sanctionnée indépendamment de l'incident lui-même. Une entreprise qui subit un incident et le gère bien techniquement mais omet de le notifier s'expose à des mesures d'exécution distinctes.

Jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires

Entités essentielles

Le montant le plus élevé entre 10 millions d'EUR et 2 % du chiffre d'affaires annuel mondial de l'exercice précédent. Cela s'applique aux entités essentielles des secteurs énumérés à l'annexe 1 du BSIG (énergie, transports, banque, santé, eau, infrastructure numérique, espace, administration publique).

Jusqu'à 7 000 000 EUR ou 1,4 % du chiffre d'affaires

Entités importantes

Le montant le plus élevé entre 7 millions d'EUR et 1,4 % du chiffre d'affaires annuel mondial. Cela s'applique aux entités importantes des secteurs énumérés à l'annexe 2 du BSIG (services postaux, gestion des déchets, produits chimiques, alimentation, fabrication, fournisseurs numériques, recherche).

Responsabilité personnelle - §38 BSIG

Direction (Geschäftsleitung)

Si la direction avait connaissance d'un incident et a omis d'assurer une notification en temps voulu, cela constitue une violation du devoir de surveillance au titre du §38(1) BSIG. La direction peut être tenue personnellement responsable envers l'entreprise des dommages résultant du manquement à la notification - distincts des sanctions infligées à l'entreprise elle-même.

Sources
  • Directive NIS2 (UE) 2022/2555 - Article 23 (Obligations de notification)
  • BSIG - §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG - §38 (Billigung, Überwachung, Schulung - Geschäftsleitung)
  • BSIG - §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690 - Article 3 (Importance des incidents), Article 4 (Incidents récurrents)
  • ENISA - Orientations sur les obligations de notification d'incidents NIS2 et modèles (2024)
  • BSI - Documentation et FAQ du portail de notification NIS2
Soyez prêt à notifier avant que l'incident ne survienne
La plateforme préconfigure vos champs de notification au BSI, tient un registre des incidents avec des flux de classification, et suit les échéances 24h/72h/1 mois - pour que vous remplissiez chaque obligation sous pression.
Lancez votre processus de conformité NIS2