La directive NIS2 définit une approche par étapes pour le signalement des incidents par les entités désignées comme « essentielles » ou « importantes », en exigeant qu’elles fournissent des informations complètes et en temps opportun aux autorités compétentes.

Voici les exigences minimales :

1. Alerte préliminaire (dans les 24 heures)

Déclenchement : Une entité essentielle ou importante doit envoyer une alerte préliminaire à son équipe de réponse aux incidents de sécurité informatique (CSIRT) nationale ou à l’autorité nationale compétente « sans retard injustifié, et en tout état de cause dans les 24 heures » suivant le moment où elle prend connaissance d’un « incident important ».

Contenu :

• Cette alerte préliminaire doit, « le cas échéant », indiquer si l’incident :
  • Est suspecté d’être le résultat d’actes illégaux ou malveillants, ou
  • Pourrait avoir un impact transfrontalier.
• Selon le considérant 102, l’alerte préliminaire ne doit contenir que les informations nécessaires pour informer le CSIRT ou l’autorité compétente qu’un incident important s’est produit ou est en cours.
• Objectif :
• Permettre aux autorités une évaluation rapide de la situation.
• Donner à l’entité concernée l’opportunité de demander une assistance, des conseils ou des recommandations opérationnelles sur la mise en œuvre de mesures d’atténuation.

2. Notification de l’incident (dans les 72 heures)

Déclenchement : Suite à l’alerte préliminaire, l’entité doit envoyer une notification plus détaillée de l’incident.

Délai : Cette notification doit être envoyée « sans retard injustifié, et en tout état de cause dans les 72 heures » suivant le moment où l’entité prend connaissance de l’incident important.

Contenu :

• Cette notification doit, « le cas échéant », mettre à jour les informations fournies dans l’alerte préliminaire.
• Elle doit également inclure une évaluation initiale de l’incident, notamment :
  • Sa gravité,
  • Son impact, et
  • Lorsqu’ils sont disponibles, les indicateurs de compromission.

3. Rapport final (dans un délai d’un mois)

Déclenchement : La phase finale du signalement des incidents est la présentation d’un rapport final complet.

Délai : Ce rapport doit être envoyé « dans un délai d’un mois » après la transmission de la notification de l’incident.

Contenu : Le rapport final doit inclure :

• Une description détaillée de l’incident, y compris sa gravité et son impact,
• Le type de menace ou la cause profonde ayant probablement déclenché l’incident,
• Les mesures d’atténuation adoptées et en cours, et
• Le cas échéant, l’impact transfrontalier de l’incident.

Incidents en cours : Si l’incident est toujours en cours au moment où le rapport final est dû, l’entité doit :

• Fournir un rapport d’avancement à ce moment-là, et
• Présenter un rapport final dans un délai d’un mois après la résolution de l’incident.

4. Exigences supplémentaires et considérations

Incident important : Les exigences de signalement sont déclenchées par des « incidents importants ». Un incident est considéré comme important s’il répond à l’un des critères suivants :

• Il a causé ou est susceptible de causer une interruption substantielle dans la fourniture des services de l’entité ou une perte financière pour l’entité, ou
• Il a eu ou est susceptible d’avoir un impact substantiel sur d’autres personnes physiques ou morales, entraînant des dommages matériels ou immatériels considérables.

Divulgation des vulnérabilités : La directive NIS2 introduit un processus de divulgation coordonnée des vulnérabilités via un CSIRT désigné, facilitant la communication entre ceux qui découvrent des vulnérabilités et les fournisseurs de produits/services TIC concernés. Ce processus vise à traiter rapidement les vulnérabilités et à minimiser leur impact potentiel.

Partage d’informations : Les entités essentielles et importantes sont encouragées à établir des accords pour le partage d’informations sur la cybersécurité, y compris les menaces, les incidents et les meilleures pratiques, afin de promouvoir une approche plus proactive et collaborative de la cybersécurité.

Les exigences de signalement des incidents de la directive NIS2 mettent l’accent sur une approche proactive et multiniveaux du partage d’informations et de la réponse aux incidents. En fournissant des rapports complets et en temps opportun aux autorités, les organisations contribuent à une posture de cybersécurité plus robuste dans toute l’UE.