Points clés — Exigences de notification d'incident NIS2
La directive NIS2 (UE) 2022/2555 établit le cadre de notification d'incident le plus strict de la réglementation européenne en matière de cybersécurité. Les organisations classées comme entités essentielles ou importantes doivent soumettre une alerte précoce dans les 24 heures, une notification d'incident détaillée dans les 72 heures et un rapport final dans les 30 jours suivant la prise de connaissance d'un incident important. Le non-respect peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, ainsi qu'une responsabilité personnelle de la direction au titre de l'article 20.
Qu'est-ce que la directive NIS2 ?
NIS2 (directive (UE) 2022/2555) est la directive actualisée de l'Union européenne relative aux mesures visant à assurer un niveau commun élevé de cybersécurité dans l'ensemble de l'Union. Elle a remplacé la directive NIS initiale (2016/1148) et est entrée en vigueur le 16 janvier 2023, les États membres de l'UE étant tenus de la transposer en droit national d'ici au 17 octobre 2024. Le texte intégral est disponible sur EUR-Lex — directive (UE) 2022/2555.
Qu'est-ce qu'un incident important au titre de NIS2 ?
Un incident important est défini à l'article 23(3) de NIS2 comme un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité, ou qui a affecté ou est susceptible d'affecter d'autres personnes en causant un dommage matériel ou immatériel considérable. L'ENISA fournit des orientations complémentaires sur la classification des incidents dans sa page thématique sur la notification d'incident.
Qu'est-ce qu'un CSIRT ?
Un CSIRT (Computer Security Incident Response Team) est l'autorité nationale désignée qui reçoit les notifications d'incident au titre de NIS2. Chaque État membre de l'UE doit désigner un ou plusieurs CSIRT au titre de l'article 10 de la directive. L'ENISA tient à jour un annuaire des CSIRT nationaux dans toute l'UE.
Quels sont les trois délais de notification d'incident NIS2 ?
L'article 23(4) de NIS2 établit trois étapes de notification obligatoires :
- 24 heures — Alerte précoce : doit indiquer si l'incident est présumé résulter d'actes illicites ou malveillants et s'il est susceptible d'avoir un impact transfrontalier.
- 72 heures — Notification d'incident : doit actualiser l'alerte précoce avec une évaluation initiale de la gravité, de l'impact et des indicateurs de compromission.
- 30 jours — Rapport final : doit comprendre une description détaillée de l'incident, une analyse des causes profondes, les mesures d'atténuation appliquées et l'impact transfrontalier le cas échéant.
Source : directive (UE) 2022/2555, article 23.
Quelles sont les sanctions en cas de non-conformité à la notification d'incident NIS2 ?
En vertu de l'article 34 de NIS2, les entités essentielles encourent des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Les entités importantes encourent des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial. L'article 20 établit en outre que les organes de direction des entités essentielles et importantes peuvent être tenus personnellement responsables de la mise en œuvre des mesures de gestion des risques de cybersécurité.
Comment la notification d'incident NIS2 se compare-t-elle à la notification de violation au titre du RGPD ?
| Exigence | NIS2 (directive 2022/2555) | RGPD (règlement 2016/679) |
|---|
| Champ d'application | Incidents de cybersécurité importants affectant les entités essentielles/importantes | Violations de données à caractère personnel |
| Premier délai | 24 heures — alerte précoce au CSIRT | 72 heures — notification à l'autorité de protection des données |
| Deuxième délai | 72 heures — notification d'incident détaillée | Sans retard injustifié — notification aux personnes concernées (en cas de risque élevé) |
| Rapport final | 30 jours — rapport final avec analyse des causes profondes | Aucun délai formel de rapport final spécifié |
| Autorité de notification | CSIRT national ou autorité compétente | Autorité de contrôle (autorité de protection des données) |
| Amende maximale | 10 M€ ou 2 % du chiffre d'affaires mondial (entités essentielles) | 20 M€ ou 4 % du chiffre d'affaires mondial |
| Responsabilité de la direction | Oui — responsabilité personnelle au titre de l'article 20 | Non explicitement spécifiée pour les personnes |
Sources : directive NIS2, article 33 du RGPD.
Quels secteurs sont concernés par NIS2 ?
L'annexe I de NIS2 énumère les secteurs d'entités essentielles : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique et espace. L'annexe II énumère les secteurs d'entités importantes : services postaux et de courrier, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, fabrication, fournisseurs numériques et recherche. Selon l'ENISA, on estime que 160 000 entités dans l'UE entrent dans le champ d'application de NIS2 — une expansion notable par rapport aux quelque 15 000 au titre de la directive NIS initiale. Source : ENISA — page thématique sur la directive NIS.
Quel est le rôle des organes de direction au titre de l'article 20 de NIS2 ?
L'article 20 de NIS2 exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en œuvre et puissent être tenus responsables des infractions. Les membres de la direction doivent également suivre une formation en cybersécurité. Cela représente une évolution majeure par rapport à la directive NIS initiale, qui n'abordait pas explicitement la responsabilité au niveau du conseil.
Statistiques sur le niveau de préparation à la notification d'incident
Selon le rapport ENISA sur les investissements NIS 2022, seules 37 % des entités essentielles et importantes interrogées disposaient d'un plan de réponse aux incidents dédié. Le même rapport a révélé que les organisations allouaient en médiane 7,7 % de leur budget IT à la sécurité de l'information. Une étude de 2023 de l'IAPP a noté que la coordination transfrontalière des incidents demeure l'un des trois principaux défis de conformité pour les organisations multinationales opérant dans plusieurs juridictions de l'UE.