Les réglementations, en particulier la législation de l’Union européenne (UE) établissant la directive NIS2, décrivent à qui les entités doivent signaler les incidents significatifs qui surviennent au sein de leur infrastructure numérique.

• Les entités classées comme essentielles ou importantes sont tenues de signaler les incidents significatifs à leur Computer Security Incident Response Team (CSIRT) désigné ou, le cas échéant, à l’autorité nationale compétente. Ce mécanisme de signalement vise à garantir une réponse rapide et coordonnée aux incidents de cybersécurité dans toute l’UE. Pour approfondir les obligations liées à la figure du référent, il est utile de lire également l’obligation de désignation du référent CSIRT pour les sujets NIS.
• La législation souligne l’importance de l’évaluation initiale effectuée par l’entité concernée pour déterminer si un incident est suffisamment significatif pour justifier un signalement. Cette évaluation doit tenir compte de la criticité des systèmes impliqués dans la prestation des services de l’entité, de la gravité et de la nature des éventuelles menaces informatiques, ainsi que de l’expérience passée de l’entité avec des incidents similaires.
• Outre le signalement des incidents significatifs à leur CSIRT ou à l’autorité nationale compétente, les entités sont tenues d’informer également les destinataires de leurs services si l’incident est susceptible d’avoir une incidence négative sur la fourniture de ces services.

Directive NIS2 : Considérations importantes pour le signalement

• La législation met l’accent sur une approche en plusieurs étapes pour le signalement des incidents, qui prévoit l’envoi d’une alerte précoce, d’une notification formelle de l’incident et d’un rapport final. Cette approche vise à équilibrer le besoin d’un signalement rapide, afin de réduire les impacts potentiels étendus, avec le besoin de rapports détaillés facilitant l’apprentissage tiré des incidents individuels.
• L’alerte précoce doit être envoyée dans les 24 heures suivant le moment où l’entité a pris connaissance d’un incident significatif. Par la suite, une notification formelle de l’incident est requise dans les 72 heures. Enfin, un rapport final doit être présenté dans un délai d’un mois à compter de la notification initiale, à moins que l’incident ne soit toujours en cours ; dans ce cas, il est nécessaire d’envoyer un rapport d’avancement et un rapport final dans un délai d’un mois après la résolution de l’incident. Toutefois, les prestataires de services de confiance doivent signaler les incidents significatifs dans les 24 heures suivant le moment où ils en ont pris connaissance, sans exception.
• Les réglementations soulignent également que le simple fait de signaler un incident n’expose pas l’entité déclarante à une responsabilité juridique accrue. Cette disposition encourage la transparence et le signalement rapide des incidents de cybersécurité sans crainte de répercussions.

Dans l’ensemble, la réglementation met en évidence le rôle crucial du signalement dans l’instauration de pratiques de cybersécurité robustes dans toute l’UE. En définissant clairement les lignes de signalement et en soulignant l’importance du partage rapide et complet des informations, la directive NIS2 vise à renforcer la résilience cybernétique collective des entités essentielles et importantes. Pour les organisations qui doivent encore structurer ou vérifier leur parcours de conformité à la directive NIS2, il est également utile de consulter les indications de l’ACN sur les échéances et l’inscription à la liste NIS2.

[Callforaction-NIS2-Footer]