ISGroup Conseil en Cybersécurité

Quels sont les délais de signalement des incidents significatifs selon la directive NIS2 ?

La directive NIS2 prévoit une approche multi-étapes pour le signalement des incidents significatifs, en mettant l’accent à la fois sur la rapidité et sur l’exhaustivité. Pour les organisations qui structurent leur plan de conformité, le service de mise en conformité avec la directive NIS2 d’ISGroup accompagne l’ensemble du parcours, de l’évaluation initiale à la mise en œuvre des mesures requises. Pour approfondir le cadre réglementaire initial, il est utile de clarifier au préalable quel est l’objectif principal de la directive NIS2.

[Callforaction-NIS2]

Voici une synthèse des délais :

1. Alerte préliminaire (dans les 24 heures)

  • Article 23, paragraphe 4(a) : Les entités doivent envoyer une alerte préliminaire à leur CSIRT ou à l’autorité nationale compétente “sans retard injustifié, et en tout état de cause dans les 24 heures” suivant le moment où elles ont pris connaissance d’un incident significatif.
  • Objectif : L’alerte préliminaire sert à informer rapidement les autorités compétentes, même avant qu’une évaluation complète de l’impact de l’incident ne soit possible.
  • Contenu : L’alerte préliminaire ne nécessite pas beaucoup de détails, mais devrait, le cas échéant, indiquer :
    • Activités suspectes ou malveillantes : Si l’on estime que l’incident est le résultat d’une action malveillante.
    • Impact transfrontalier : Si l’incident pourrait affecter des personnes ou des organisations dans d’autres États membres.
  • Demande d’assistance : La communication de la Commission souligne que l’envoi d’une alerte préliminaire permet aux entités concernées de demander de l’aide à leur CSIRT ou à l’autorité compétente, ce qui peut inclure des indications sur les mesures d’atténuation ou un soutien opérationnel. Les modalités de désignation du référent CSIRT pour les sujets NIS sont définies par la réglementation d’application italienne.

2. Notification de l’incident (dans les 72 heures)

  • Article 23, paragraphe 4(b) : Suite à l’alerte préliminaire, une notification plus détaillée de l’incident doit être envoyée “sans retard injustifié, et en tout état de cause dans les 72 heures” suivant le moment où l’entité a pris connaissance de l’incident.
  • Contenu : La notification doit compléter les informations fournies dans l’alerte préliminaire et inclure :
    • Informations mises à jour : Tout nouveau détail apparu depuis l’envoi de l’alerte préliminaire.
    • Évaluation initiale : Une évaluation préliminaire de l’incident significatif, incluant :
      • Gravité : Quel a été ou quel pourrait être l’impact de l’incident sur l’entité et sur les tiers potentiellement concernés ?
      • Impact : Quelles sont les conséquences spécifiques de l’incident, en termes d’interruption de service et de dommages potentiels (financiers, réputationnels, etc.) ?
    • Indicateurs de compromission (IoC) : Si disponibles, des détails techniques pouvant aider à identifier la source ou la nature de l’incident, tels que des adresses IP malveillantes ou des signatures de logiciels malveillants.

3. Rapport intermédiaire (sur demande)

  • Article 23, paragraphe 4(c) : Le CSIRT ou l’autorité compétente peut demander des rapports intermédiaires à l’entité concernée pour fournir des mises à jour sur la situation.
  • Objectif : Cela permet aux autorités de surveiller l’évolution de l’incident, d’évaluer les risques émergents et de coordonner les actions de réponse, si nécessaire.

4. Rapport final (dans un délai d’un mois)

  • Article 23, paragraphe 4(d) : Un rapport final complet doit être soumis “dans un délai d’un mois” après l’envoi de la notification initiale de l’incident.
  • Contenu : Le rapport final doit inclure une description détaillée de l’incident, avec :
    • Description détaillée : Une explication complète de l’incident, incluant les causes principales, les techniques utilisées, les systèmes concernés et la chronologie des événements.
    • Gravité et impact : Une analyse approfondie de l’impact de l’incident, basée sur l’évaluation initiale fournie précédemment.
    • Mesures d’atténuation : Une description des actions entreprises pour contenir l’incident, atténuer les effets et prévenir de futurs événements similaires.
    • Impact transfrontalier : Le cas échéant, un compte-rendu détaillé sur la manière dont l’incident a affecté ou pourrait affecter des personnes ou des organisations dans d’autres États membres.

5. Incidents en cours

  • Article 23, paragraphe 4(e) : Si un incident est toujours en cours à l’expiration du délai d’un mois pour le rapport final, l’entité doit fournir :
    • Rapport d’avancement : Une mise à jour sur l’état actuel de l’incident et les mesures d’atténuation en cours.
    • Rapport final (dans un délai d’un mois après la résolution) : Une fois l’incident résolu, le rapport final doit être soumis dans un délai d’un mois, en suivant la même structure et les mêmes exigences de contenu décrites précédemment.

Cas particulier : Prestataires de services de confiance

  • Article 23, paragraphe 4 (dernier alinéa) : Les prestataires de services de confiance, en raison de la nature de leurs services, ont des délais de signalement plus stricts pour les incidents significatifs ayant un impact sur leurs services principaux. Ils doivent informer leur CSIRT ou l’autorité compétente “sans retard injustifié, et en tout état de cause dans les 24 heures” suivant le moment où ils ont pris connaissance de l’incident. Cet alignement suit les délais d’alerte préliminaire prévus pour les autres entités.

Points clés :

  • Plusieurs étapes : Le processus de signalement selon la NIS2 est itératif, exigeant des entités qu’elles fournissent des informations par étapes successives, en commençant par une alerte initiale rapide et en terminant par un rapport final complet.
  • Focus sur la réactivité : Les délais stricts de signalement soulignent l’importance d’une action rapide en réponse aux incidents significatifs.
  • Équilibre entre rapidité et détail : Alors que les signalements initiaux privilégient la vitesse, les rapports ultérieurs mettent davantage l’accent sur une analyse détaillée et sur les enseignements tirés.
  • Soutien à la coopération et à la réponse : Les exigences de signalement sont conçues non seulement pour informer les autorités, mais aussi pour faciliter la coopération, coordonner les efforts de réponse et améliorer la posture globale de cybersécurité. Le texte intégral des obligations est consultable dans le document officiel de la directive NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *