La directive NIS2 définit des informations spécifiques qui doivent être incluses dans une notification préliminaire d’incident significatif. L’article 23, paragraphe 4(a) stipule que les entités doivent envoyer une notification préliminaire à leur CSIRT (Computer Security Incident Response Team) ou à l’autorité nationale compétente “sans retard injustifié et, en tout état de cause, dans les 24 heures” suivant le moment où elles ont pris connaissance de l’incident significatif.

Cette notification préliminaire doit inclure, le cas échéant :

• Suspicion d’activité illicite ou malveillante : Si l’entité soupçonne que l’incident a été causé par des actions illégales ou malveillantes, cela doit être clairement indiqué dans la notification préliminaire.
• Impact transfrontalier potentiel : L’entité doit préciser si l’incident pourrait affecter des personnes ou des organisations dans d’autres États membres de l’UE.

Considérations sur l’objectif de la notification préliminaire

Les sources soulignent que l’objectif principal d’une notification préliminaire est de fournir une alerte rapide aux autorités compétentes. Par conséquent, bien que la rapidité soit fondamentale, il n’est pas nécessaire d’inclure des détails approfondis sur l’incident à ce stade. L’accent doit être mis sur le signalement rapide de l’incident et l’indication des domaines de préoccupation potentiels (tels que les activités criminelles ou les effets transfrontaliers). Pour approfondir le cadre réglementaire de référence, il est utile de consulter le document officiel de la directive NIS2.

Informations supplémentaires pour faciliter l’assistance

Bien que cela ne soit pas explicitement requis par l’article 23, paragraphe 4(a), la communication de la Commission précise que l’envoi d’une notification préliminaire permet aux entités concernées de demander une assistance à leur CSIRT ou à l’autorité compétente. Pour faciliter cette assistance, il est conseillé d’inclure les informations suivantes dans la notification préliminaire, même si elles ne sont pas strictement obligatoires :

• Brève description de l’incident : Fournir un aperçu concis de ce qui s’est passé peut aider le CSIRT ou l’autorité à comprendre rapidement la nature de la situation.
• Évaluation initiale de l’impact : Si possible, il est utile de fournir une évaluation préliminaire de la gravité et de l’impact potentiel de l’incident, mais aucune analyse détaillée n’est attendue à ce stade.
• Assistance spécifique demandée : En indiquant clairement le type d’assistance dont l’entité a besoin (par exemple, des conseils sur les mesures d’atténuation ou un soutien opérationnel), le CSIRT ou l’autorité pourra répondre plus efficacement.

En incluant ces informations supplémentaires, même sous un format synthétique, les entités peuvent optimiser le processus de notification préliminaire et permettre un soutien plus efficace de la part des autorités de cybersécurité désignées. La gestion correcte de ces obligations nécessite une préparation organisationnelle qui va bien au-delà de l’incident isolé : un parcours structuré de conformité à la directive NIS2 aide à définir des procédures claires, des rôles et des canaux de notification avant qu’un événement critique ne se produise. La désignation correcte du référent CSIRT fait également partie intégrante de cette préparation.

[Callforaction-NIS2-Footer]