NIS2 — notification d'incident en 24 h, 72 h, 1 mois
Les 3 phases temporelles strictes de l'Art. 23 expliquées : early warning 24 h, notification 72 h, rapport 1 mois. Workflow pré-câblé ResiPlan, exemples ANSSI / CCB / BSI, modèles à télécharger.
Les 4 jalons obligatoires
Article 23(4) NIS2 — chaque jalon a son contenu et son destinataire.
Early warning — 24 heures
Premier signalement au CSIRT national (ANSSI en France, CCB en Belgique, BSI en Allemagne). Contenu minimal : suspicion de causalité, impact transfrontalier, état de la situation. Format léger, l'objectif est de dater l'alerte.
Notification — 72 heures
Notification d'incident initiale détaillée : ampleur, gravité, impacts, IOC connus, mesures déjà prises. Si l'incident est encore actif, indication estimée de durée. Formulaire complet sur le portail ANSSI/CSIRT.
Rapport intermédiaire (si demandé)
Si le CSIRT le demande, un rapport intermédiaire fait le point sur l'avancement, l'évolution de la gravité, les actions correctives en cours.
Rapport final — 1 mois
Rapport complet 1 mois après la notification 72h (ou 1 mois après la clôture de l'incident, selon transposition nationale). Contenu : root cause, chronologie complète, dommages, mesures de remédiation, leçons apprises, plan d'action.
Entité essentielle vs importante
| Critère | Essentielle | Importante |
|---|---|---|
| Surveillance | Ex ante (proactive, audits réguliers) | Ex post (réactive, après incident) |
| Sanctions max | 10 M€ ou 2 % CA mondial | 7 M€ ou 1,4 % CA mondial |
| Notification 24h/72h/1m | Identique | Identique |
| Audits sur demande | Possible à tout moment | Sur preuve d'élément |
Articles NIS2 couverts
Questions fréquentes NIS2
Quels sont les délais de notification NIS2 ?
Trois phases temporelles strictes : (1) early warning sous 24 heures après la prise de connaissance de l'incident significatif ; (2) notification d'incident sous 72 heures ; (3) rapport final sous 1 mois (calculé à partir de la notification 72h, ou de la clôture selon transposition). Un rapport intermédiaire peut être demandé entre les deux.
Quelle différence entre entité essentielle et importante NIS2 ?
Les entités essentielles (annexe I, taille >250 emp ou >50M€ CA dans certains secteurs) sont surveillées ex ante (audits réguliers, instruction proactive) avec sanctions max 10M€ ou 2% CA. Les entités importantes (annexe II ou plus petites) sont surveillées ex post (réactive après incident) avec sanctions max 7M€ ou 1,4% CA. Les délais de notification 24/72/1m sont identiques.
Qu'est-ce qu'un incident significatif au sens de l'article 23 NIS2 ?
Un incident est significatif (article 23(3)) s'il a causé ou est susceptible de causer (a) une perturbation opérationnelle grave ou des pertes financières pour l'entité, ou (b) un préjudice matériel ou immatériel à d'autres personnes physiques ou morales. Les ITS ESAs publiés en 2024 quantifient les seuils sectoriels (downtime, clients affectés, perte revenu).
Faut-il notifier le client en cas d'incident NIS2 ?
Oui, dans 2 cas. (1) Si l'incident est susceptible d'affecter négativement la fourniture des services aux clients, l'entité doit informer ces derniers sans délai. (2) Pour les fournisseurs de services numériques (FAI, cloud), l'information aux clients doit aussi inclure les mesures qu'ils peuvent prendre. Le contenu de cette notification est plus simple que celle au CSIRT.
Existe-t-il un exemple de notification NIS2 valable pour CCB belge ?
Le CCB (Centre for Cybersecurity Belgium) accepte les notifications via son portail Safeonweb@Work pour les entités importantes / essentielles belges. Format aligné sur les ITS ESAs : type d'incident, secteur, impact transfrontalier, IOC, mesures. ResiPlan génère automatiquement le contenu pré-rempli pour CCB, ANSSI, CSIRT.LU et BSI.
Comment intégrer le workflow NIS2 24/72/1m dans un BCMS existant ?
Le BCMS (ISO 22301) couvre la continuité, NIS2 ajoute la traçabilité d'incident et la notification. L'intégration optimale : (1) créer un incident dans votre IRP existant, (2) déclencher automatiquement les rappels 24h/72h/1m, (3) lier l'incident aux processus métiers BIA pour mesurer l'impact, (4) générer le rapport final via export. Voir nos modules BIA et Mass Notifications.
Faut-il s'inscrire dans un registre des entités importantes NIS2 ?
Oui. Chaque État membre tient un registre. En France, l'ANSSI gère l'inscription via MonEspaceSante (à confirmer selon transposition). Les entités doivent s'auto-déclarer si elles correspondent aux critères (secteur annexe I/II + seuils de taille). Une entité non inscrite mais éligible reste soumise aux obligations et risque sanctions.
Quels sont les exemples de workflow ECB / DORA acceptables pour le CCB belge ?
Pour les entités belges régulées DORA + NIS2 (banques, assurances), le workflow doit envoyer (a) une notification ECB via le canal SSM (single supervisory mechanism) pour la dimension DORA, et (b) une notification CCB pour la dimension NIS2. ResiPlan duplique automatiquement la notification dans les deux canaux quand l'incident touche les deux régulations.
Activez le workflow NIS2 24/72/1m en 1 clic
Essai gratuit 14 jours. Workflow pré-câblé pour ANSSI, CCB, BSI, AGCS. Notifications automatiques aux clients impactés.