Notification d'incident NIS2 : procédure alerte 24h, rapport 72h et rapport final
NIS2 impose un calendrier strict de notification des incidents de sécurité significatifs. Contrairement au RGPD qui prévoit 72 heures pour notifier la CNIL, NIS2 ajoute une étape intermédiaire : une alerte précoce dans les 24 heures, suivie d'une notification complète à 72 heures, puis d'un rapport final dans le mois. Ce triple reporting impose de disposer d'un processus rodé avant qu'un incident survienne.
Quels incidents doivent être notifiés ?
Tous les incidents ne doivent pas être notifiés. NIS2 cible les incidents "significatifs", définis comme ceux qui causent ou sont susceptibles de causer :
- Une perturbation opérationnelle grave des services fournis — inaccessibilité prolongée, dégradation significative de la qualité de service
- Des pertes financières importantes pour l'entité concernée
- Des dommages matériels ou immatériels considérables pour d'autres personnes physiques ou morales
En pratique, les incidents déclenchant la notification NIS2 incluent : les ransomwares avec chiffrement de systèmes critiques, les exfiltrations massives de données, les attaques DDoS prolongées sur des services essentiels, les compromissions de comptes administrateurs, et les incidents affectant la chaîne d'approvisionnement avec impact sur les clients.
Étape 1 : alerte précoce dans les 24 heures
Dans les 24 heures suivant la détection de l'incident, l'entité doit envoyer une alerte précoce à l'autorité compétente (l'ANSSI en France pour la plupart des secteurs). L'alerte précoce doit indiquer :
- Si l'incident est présumé être le résultat d'un acte illicite ou malveillant
- S'il est susceptible d'avoir un impact transfrontalier (autres États membres affectés)
- Les informations préliminaires disponibles sur la nature et l'étendue de l'incident
L'alerte précoce n'exige pas encore une analyse complète. Son but est d'informer l'autorité pour qu'elle puisse mobiliser ses ressources si nécessaire. En France, elle se fait via la plateforme MonEspaceNIS2 ou les canaux de signalement du CERT-FR.
Étape 2 : notification complète dans les 72 heures
Dans les 72 heures suivant la prise de connaissance de l'incident significatif, l'entité doit soumettre une notification complète comportant :
- Une évaluation initiale de l'incident : gravité et impact estimé
- Les indicateurs de compromission disponibles (IOC : hash de fichiers malveillants, adresses IP attaquantes, domaines malicieux)
- Les mesures prises pour répondre à l'incident et les mesures en cours
- Une mise à jour sur l'évaluation transfrontalière si applicable
- La catégorie de l'incident selon la classification de l'autorité compétente
Si l'entité n'est pas en mesure de fournir toutes les informations dans les 72 heures, elle peut soumettre une mise à jour dans ce délai en indiquant que des informations complémentaires suivront.
Étape 3 : rapport final dans le mois
Au plus tard un mois après la soumission de la notification complète, l'entité doit fournir un rapport final d'incident contenant :
- Description détaillée de l'incident : chronologie, vecteur d'attaque, systèmes affectés
- Type de menace ou cause profonde probable (malware identifié, vulnérabilité exploitée, insider threat)
- Mesures d'atténuation appliquées et leur efficacité
- Impact réel quantifié : durée d'indisponibilité, données compromises, pertes financières estimées
- Plan de remédiation : mesures correctives à long terme pour éviter la récurrence
Si l'incident est toujours en cours au bout d'un mois, un rapport intermédiaire est soumis, suivi d'un rapport final dans le mois suivant la clôture de l'incident.
La plateforme MonEspaceNIS2
En France, l'ANSSI a mis en place la plateforme MonEspaceNIS2 pour centraliser les obligations liées à NIS2 :
- Enregistrement de l'entité (obligation initiale sous NIS2)
- Notification des incidents significatifs (alertes 24h, rapports 72h et finaux)
- Communication avec l'ANSSI sur les questions de conformité
- Accès aux guides et ressources ANSSI pour la mise en conformité
L'enregistrement sur MonEspaceNIS2 est obligatoire pour toutes les entités essentielles et importantes avant de pouvoir utiliser le canal de notification. Il est fortement recommandé de s'inscrire avant tout incident.
Sanctions en cas de non-notification
Le non-respect des obligations de notification constitue une violation NIS2 sanctionnable :
- Amendes administratives jusqu'aux plafonds NIS2 (10 M€ / 2% CA pour les entités essentielles)
- Déclaration publique de non-conformité
- Injonction de mise en conformité avec délai imposé
- En cas de récidive, suspension temporaire de certifications ou autorisations
Bonnes pratiques pour être prêt avant l'incident
- Créer un runbook d'incident incluant la procédure de notification NIS2 étape par étape
- S'inscrire sur MonEspaceNIS2 dès maintenant, sans attendre un incident
- Former l'équipe d'astreinte sur les délais et le contenu des notifications
- Préparer des templates de notification (alerte 24h, rapport 72h) à compléter rapidement
- Tester la procédure lors d'exercices de crise cyber annuels
- Identifier les contacts ANSSI à prévenir en cas d'incident (CERT-FR, points de contact NIS2)
Conclusion
Le triple reporting NIS2 (24h, 72h, 1 mois) impose une maturité opérationnelle dans la gestion des incidents. Sans processus formalisé et testé en amont, respecter ces délais en situation de crise est extrêmement difficile. CyberConform aide les PME et ETI à construire leur procédure de réponse aux incidents conforme à NIS2, incluant les templates de notification et les exercices de crise pour valider le dispositif.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit