norppa.io
Guides

Guide NIS2 · 7 min

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Quand un incident important survient, le compte à rebours démarre immédiatement — et NIS2 fixe une série de délais stricts mesurés en heures, pas en jours. Ce guide explique ce qui constitue un incident important, le calendrier exact de notification au titre de l'article 23, et la situation que les équipes oublient le plus souvent : quand l'incident d'un fournisseur devient votre obligation de notification.

Points clés

  • Un incident important déclenche une notification échelonnée : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois (art. 23).
  • "Important" signifie une perturbation opérationnelle grave ou une perte financière, ou un dommage considérable pour autrui — tout incident ne qualifie pas.
  • L'incident d'un fournisseur ou d'un tiers qui perturbe votre service peut démarrer votre compte à rebours de 24 heures — la visibilité sur eux fait partie de la préparation.
  • Les notifications vont à votre CSIRT national ou autorité compétente ; vous pourriez aussi devoir informer les destinataires de vos services.

Ce qui constitue un incident "important"

Tout incident n'est pas à notifier. Au titre de l'article 23, un incident est important s'il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou une perte financière pour l'entité, ou s'il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un dommage matériel ou immatériel considérable.

La Commission a fixé des seuils plus concrets pour certains fournisseurs numériques dans un règlement d'exécution, mais le principe vaut pour tous les secteurs : jugez selon la gravité et la portée de l'impact, pas selon la nouveauté technique de l'attaque. En cas de doute, documentez votre évaluation — la décision de ne pas notifier doit être aussi défendable que celle de notifier.

Le calendrier de notification (article 23)

La notification est échelonnée : un signal rapide d'abord, les détails ensuite. Les délais courent à partir du moment où vous avez connaissance de l'incident important.

Sous 24 heures — alerte précoce

Une première alerte à votre CSIRT ou autorité compétente, indiquant si l'incident est soupçonné d'être causé par des actes illicites ou malveillants, ou pourrait avoir un impact transfrontalier.

Sous 72 heures — notification d'incident

Une mise à jour avec une évaluation initiale : gravité et impact, et indicateurs de compromission lorsqu'ils sont disponibles.

Sur demande — rapport intermédiaire

Si le CSIRT ou l'autorité le demande, un point d'étape sur le traitement de l'incident.

Sous 1 mois après la notification — rapport final

Une description détaillée : cause profonde et type de menace, mesures d'atténuation appliquées et en cours, et tout impact transfrontalier.

Si l'incident est toujours en cours au bout d'un mois, vous soumettez un rapport d'avancement, puis le rapport final dans le mois suivant le traitement de l'incident.

Quand l'incident d'un autre devient le vôtre

L'obligation de notification de NIS2 ne se limite pas aux incidents nés dans vos propres systèmes. Si un fournisseur ou prestataire subit un incident qui perturbe gravement les services que vous fournissez, l'obligation de notifier peut vous incomber — et le compte à rebours de 24 heures démarre dès que vous en avez connaissance, pas quand le fournisseur vous le dit enfin.

C'est là le plus difficile : les fournisseurs ne divulguent pas toujours rapidement, et une notification arrivée une semaine trop tard a déjà consumé votre délai. La préparation dépend donc d'une visibilité indépendante — savoir quand un fournisseur critique apparaît sur un site de fuite de rançongiciel, voit ses identifiants exposés ou disparaît, sans attendre son e-mail.

Comment être prêt avant que le compte à rebours ne démarre

Tenir un délai de quelques heures est une affaire de préparation, pas d'héroïsme. Avant un incident, assurez-vous de pouvoir répondre :

Qui décide si un incident est "important", et qui peut joindre le CSIRT en dehors des heures de bureau ?
Avons-nous le contact CSIRT/autorité et le canal de soumission prêts — pas cherchés en pleine crise ?
Les clauses de notification d'incident des fournisseurs sont-elles dans nos contrats, avec un délai de notification défini ?
Avons-nous une surveillance indépendante des fournisseurs critiques, pour ne pas être aveugles à un incident non divulgué ?
Pouvons-nous produire la chronologie et les preuves qu'un rapport final exige — ce qui s'est passé, quand, et ce que nous avons fait ?

Source : Directive (UE) 2022/2555 (NIS2), article 23 — ainsi que le règlement d'exécution de la Commission sur les seuils d'incident important pour certains fournisseurs numériques ; consultez le portail de notification de votre CSIRT national pour le canal exact.

Comment norppa.io aide

La partie la plus difficile du calendrier est celle que vous ne contrôlez pas : un incident fournisseur dont vous êtes informé trop tard. norppa.io surveille vos fournisseurs en continu — les listes de victimes de rançongiciel et les fuites d'identifiants sur le dark web sont vérifiées environ toutes les six heures, avec alerte immédiate — afin qu'un événement fournisseur vous parvienne à temps pour démarrer votre propre compte à rebours.

Et comme chaque constat est horodaté et cartographié vers les articles NIS2, l'historique nécessaire à une notification à 72 heures ou à un rapport final à un mois — ce qui a été vu, quand, et ce qui a été fait — est déjà assemblé plutôt que reconstitué sous pression.

N'apprenez pas trop tard l'incident d'un fournisseur

Voyez dans l'exemple de rapport comment la surveillance continue des fournisseurs révèle rançongiciels et fuites en quelques heures.

Voir l'exemple de rapport

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà — et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas — notification légale, responsabilité de la direction, enregistrement et assurance continue — et comment combler l'écart.