La mise en œuvre du décret législatif 138/2024 (décret NIS2) et des déterminations de l’Agence pour la cybersécurité nationale (ACN) introduit un processus structuré et chronométré dans la gestion des incidents, transformant cette activité de réactive en gouvernée. Le référent CSIRT, obligatoirement désigné avant le 31 décembre 2025, devient le point de contact pour toutes les communications avec le CSIRT Italia, garantissant que chaque événement suit une séquence précise de notification et d’analyse.

Seuil de significativité : quand la notification est-elle obligatoire ?

Toutes les anomalies informatiques ne nécessitent pas un signalement. L’obligation de notification ne naît qu’en présence d’incidents significatifs, tels que définis par l’article 25 du décret NIS2. Un incident est considéré comme significatif s’il répond à au moins l’un des critères suivants :

• Perturbation opérationnelle : cause ou peut causer une interruption grave des services fournis par l’organisation.
• Pertes financières : provoque des dommages économiques importants pour la victime.
• Impact sur des tiers : génère des répercussions importantes, matérielles ou immatérielles, sur d’autres personnes physiques ou morales.

La détermination ACN n° 164179/2025 identifie quatre types principaux d’« incidents significatifs de base » :

• IS-1 (Perte de confidentialité) : compromission vers l’extérieur de données numériques de l’organisation ou d’entités contrôlées.
• IS-2 (Perte d’intégrité) : altération de données avec un impact externe.
• IS-3 (Violation des niveaux de service) : non-atteinte des niveaux de service (SLA) établis pour les activités critiques.
• IS-4 (Abus de privilèges – Uniquement pour les entités essentielles) : accès non autorisé ou abus de privilèges sur des données numériques propriétaires.

Le référent CSIRT vérifie si l’événement entre dans ces catégories et évalue s’il dépasse les seuils prévus par l’article 25.

Le cycle de notification : phases et délais

Lorsqu’un incident significatif est reconnu, le référent CSIRT doit effectuer la communication vers le CSIRT Italia en respectant des délais précis à compter de la connaissance de l’événement.

Pré-notification (sous 24 heures)

• Doit être envoyée dans les 24 heures.
• Doit attester que l’incident est significatif.
• Indique, si possible, si l’événement a un caractère malveillant.
• Évalue la présence d’impacts transfrontaliers.

Notification complète (sous 72 heures)

• Doit être transmise dans les 72 heures (réduites à 24 heures pour les prestataires de services de confiance).
• Met à jour les informations de la pré-notification.
• Inclut l’évaluation initiale de la gravité et de l’impact.
• Fournit les indicateurs de compromission (IoC), si disponibles.

Rapports intermédiaires et mises à jour

• À la demande du CSIRT Italia, des rapports intermédiaires peuvent être requis.
• En cas d’incident durant plus d’un mois, la réglementation prévoit des rapports d’état mensuels jusqu’à la clôture.

Rapport final (sous un mois)

• Doit être produit dans les 30 jours suivant l’envoi de la notification complète.
• Décrit en détail l’incident et la cause racine (root cause).
• Analyse la menace ou le vecteur d’attaque.
• Rapporte les mesures d’atténuation adoptées et celles en cours.
• Présente l’évaluation définitive de l’impact transfrontalier.

Notifications volontaires : valorisation de l’information

L’article 26 de la NIS2 promeut les notifications volontaires. Le référent CSIRT peut signaler au CSIRT Italia :

• Les incidents non significatifs, mais techniquement pertinents.
• Les menaces informatiques, même si l’attaque n’a pas encore eu lieu.
• Les quasi-incidents (near-miss) : événements potentiellement graves qui ont été interceptés ou évités.

Les notifications volontaires n’entraînent aucune charge supplémentaire ni sanction, et ne portent pas préjudice à ceux qui collaborent par rapport à ceux qui ne le font pas.

Rôle opérationnel du référent CSIRT

Le référent CSIRT, obligatoirement désigné avant le 31 décembre 2025, est le seul interlocuteur opérationnel pour les échanges avec le CSIRT Italia. Ses responsabilités sont déterminantes à toutes les étapes :

• Détection : analyse les alertes du SOC ou des fournisseurs IT pour valider s’il s’agit d’un incident significatif.
• Réponse et investigation : coordonne l’équipe de réponse aux incidents (IRT), qui inclut les services juridiques, IT, le DPO et la communication, en garantissant la collecte et la conservation des preuves sans risque d’altération.
• Notification : envoie les données via le portail ACN, en vérifiant la cohérence entre les journaux techniques et la qualification juridique.
• Rétablissement et amélioration : contribue au rapport post-incident, en identifiant les lacunes dans les procédures et en mettant à jour les playbooks de réponse, par exemple sur les ransomwares ou les attaques DDoS.

Gouvernance, responsabilité et continuité opérationnelle

La responsabilité juridique des obligations de notification incombe aux organes d’administration et de direction, comme prévu par l’article 23 du décret législatif 138/2024. Le référent CSIRT exerce une délégation exclusivement opérationnelle et fonctionnelle.

Le non-respect des délais pour la pré-notification ou le rapport final expose à des sanctions administratives et à des inspections de la part de l’ACN. Pour assurer la continuité opérationnelle même en cas d’indisponibilité du référent, la nomination d’un ou plusieurs remplaçants disposant des mêmes pouvoirs techniques et d’autorisation est fortement recommandée.

Conclusion

La gestion des incidents selon la NIS2 exige un référent CSIRT capable d’intégrer des compétences techniques et une précision procédurale, transformant la conformité réglementaire en un élément central de la résilience opérationnelle de l’organisation.

Sources principales :
Journal officiel (Gazzetta Ufficiale)