EuroComply
Sign up
Back to blog
NIS2 10 min read

NIS2 Incident Response : Que faire dans les premières 24 heures

What you need to know: NIS2 Incident Response : Que faire dans les premières 24 heures

La directive NIS2 impose une notification préalable dans les 24 heures suivant un incident significatif. Ce guide couvre le calendrier complet de déclaration, la définition d'un incident significatif, les autorités à notifier et une liste de contrôle pour votre équipe.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Lorsqu'un incident de cybersécurité significatif survient, les premières 24 heures déterminent si votre organisation maîtrise les dommages ou les aggrave. En vertu de la directive NIS2 (directive 2022/2555), les premières 24 heures comportent également une obligation légale contraignante : l'alerte précoce à votre CSIRT national ou à l'autorité compétente.

Ce guide couvre le calendrier complet de déclaration NIS2, la définition d'un incident significatif, et comment construire une liste de contrôle que votre équipe peut réellement suivre sous pression.

Le calendrier de déclaration en trois étapes (article 23)

La directive NIS2 établit un cadre de déclaration en trois étapes avec des délais fixes :

| Étape | Délai | Ce qu'elle requiert | |-------|-------|---------------------| | Alerte précoce | 24 heures | Notifier qu'un incident significatif s'est produit | | Notification d'incident | 72 heures | Évaluation initiale avec niveau de gravité et indicateurs de compromission | | Rapport final | 1 mois | Compte rendu technique et administratif complet |

Ces délais courent à compter du moment où votre organisation prend connaissance de l'incident — et non à partir du moment où vous établissez qu'il est significatif. Si vous suspectez un incident significatif, le délai de 24 heures commence à courir.

Ce qui rend un incident « significatif »

Tout événement de sécurité ne déclenche pas l'obligation de déclaration NIS2. Cette obligation s'applique aux « incidents significatifs ». L'article 23, paragraphe 3, définit un incident significatif comme un incident qui :

  • a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières importantes pour l'entité concernée ; ou
  • a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

Le considérant 101 fournit un contexte supplémentaire : les facteurs incluent le nombre d'utilisateurs affectés, la durée, l'étendue géographique, la nature du service concerné et l'importance systémique de l'entité.

En pratique, posez-vous les questions suivantes : cet incident a-t-il perturbé un service que nous sommes tenus de fournir ? Pourrait-il causer des dommages financiers ou réputationnels significatifs ? Affecte-t-il des clients, des fournisseurs ou des infrastructures critiques ? Si la réponse est oui à l'une de ces questions, traitez-le comme significatif jusqu'à ce que vous établissiez le contraire.

Qui notifier

La directive NIS2 impose la notification à votre CSIRT national (Computer Security Incident Response Team) ou à l'autorité compétente. Chaque État membre de l'UE désigne ces organismes — ils ne sont pas les mêmes que votre autorité nationale de protection des données.

Principaux contacts nationaux :

  • Allemagne : BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • France : ANSSI (Agence nationale de la sécurité des systèmes d'information)
  • Autriche : CERT.at
  • Pays-Bas : NCSC-NL
  • Irlande : NCSC Ireland

Consultez le portail de déclaration de votre autorité nationale. La plupart disposent de formulaires de déclaration d'incident en ligne. Inscrivez-vous avant un incident — pas pendant.

Ce que doit contenir l'alerte précoce de 24 heures

L'alerte précoce de 24 heures ne requiert pas d'analyse technique complète. L'article 23, paragraphe 4, point a), précise trois éléments :

  1. Qu'un incident significatif s'est produit (ou est suspecté).
  2. S'il est suspecté d'avoir été causé par un acte illicite ou malveillant — la certitude n'est pas requise, une suspicion raisonnable suffit.
  3. Si l'incident a un impact transfrontalier potentiel — affectant des services ou des entités dans d'autres États membres.

Pas d'analyse des causes profondes. Pas d'indicateurs de compromission complets. Pas de plan de remédiation. L'objectif de l'alerte précoce est d'informer les autorités afin qu'elles puissent se préparer à vous apporter leur soutien si nécessaire. La rapidité prime sur l'exhaustivité.

Ce que doit contenir la notification de 72 heures

Dans les 72 heures, l'article 23, paragraphe 4, point b), exige une notification actualisée comprenant :

  • Évaluation initiale de l'incident, incluant sa gravité et son impact.
  • Indicateurs de compromission (IOC) disponibles — hachages, adresses IP, domaines, signatures de logiciels malveillants.
  • Mesures d'atténuation appliquées — quelles mesures de confinement ont été mises en œuvre.

À ce stade, les autorités peuvent offrir une assistance ou partager des renseignements sur les menaces. Si l'incident affecte des infrastructures critiques ou a un impact transfrontalier, la coordination avec EU-CyCLONe (le réseau de liaison pour la gestion des cybercrises) peut commencer.

Ce que doit contenir le rapport final à un mois

Le rapport final, dû dans le mois suivant la soumission de la notification d'incident, constitue le compte rendu complet. L'article 23, paragraphe 4, point c), exige :

  • Description détaillée de l'incident — chronologie, systèmes affectés, étendue.
  • Type de menace et cause profonde — dans la mesure où elles ont été déterminées.
  • Mesures d'atténuation appliquées et en cours — ce qui a été fait et ce qui reste en cours.
  • Impact transfrontalier, le cas échéant — effets réels et potentiels sur d'autres États membres ou entités.

Si l'incident est toujours en cours à la fin du premier mois, soumettez un rapport d'avancement provisoire à un mois et un rapport final dans le mois suivant la résolution.

Votre liste de contrôle pour les premières 24 heures

Sous pression, les listes de contrôle sont plus fiables que la mémoire. Intégrez celle-ci à votre plan de réponse aux incidents et testez-la lors d'exercices de simulation (tabletop exercises) avant d'en avoir besoin.

Liste de contrôle en 8 points pour les premières 24 heures

  1. Détecter et consigner — enregistrer l'heure et les moyens de détection ; préserver les preuves initiales.
  2. Évaluer la significativité — appliquer les critères de significativité NIS2 ; en cas de doute, traiter comme significatif.
  3. Activer votre équipe IR — notifier le responsable de la réponse aux incidents ; constituer l'équipe centrale.
  4. Notifier votre CSIRT — soumettre l'alerte précoce de 24 heures à votre CSIRT national ; consigner l'heure de soumission et la référence de confirmation.
  5. Préserver les preuves — isoler les systèmes affectés de manière à préserver les journaux ; ne pas effacer ni réinitialiser avant la capture forensique.
  6. Contenir l'incident — mettre en œuvre des mesures de confinement immédiates ; documenter chaque action entreprise.
  7. Communiquer en interne — notifier la direction générale, le service juridique et la communication ; établir une cellule de crise et un rythme de communication.
  8. Tout documenter — tenir un journal d'incident horodaté dès la détection ; celui-ci constituera la base de vos rapports à 72 heures et à un mois.

Interaction avec le RGPD

Si l'incident implique une violation de données à caractère personnel — accès non autorisé à, divulgation ou perte de données à caractère personnel — l'article 33 du RGPD impose la notification à votre autorité de contrôle nationale dans les 72 heures suivant la prise de connaissance.

La notification NIS2 à 72 heures et la notification RGPD à 72 heures sont des obligations distinctes à adresser à des autorités différentes. En France, cela signifie notifier à la fois votre CSIRT national et la CNIL. Un incident NIS2 significatif impliquant des données à caractère personnel déclenche les deux simultanément. Coordonnez votre équipe IR pour gérer les deux flux en parallèle : une piste pour le CSIRT, une pour l'autorité de contrôle.

La notification RGPD doit contenir : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données en cause ; le nom et les coordonnées du délégué à la protection des données (DPD) ; les conséquences probables ; ainsi que les mesures prises ou proposées. Commencez à la préparer immédiatement, en parallèle de la notification NIS2.


Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.

Questions fréquemment posées

Qu'est-ce qui constitue un « incident significatif » au sens de NIS2 ?

L'article 23, paragraphe 3, de la directive NIS2 définit un incident significatif comme un incident qui a causé ou est susceptible de causer une perturbation opérationnelle grave des services de l'entité ou des pertes financières importantes, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables. L'évaluation est prospective — la capacité à causer un préjudice est suffisante ; le préjudice réel n'a pas besoin de s'être matérialisé. Le considérant 101 fournit des facteurs supplémentaires : le nombre d'utilisateurs affectés, la durée de la perturbation, l'étendue géographique, la nature et la criticité du service concerné, et l'importance systémique de l'entité pour le secteur ou l'infrastructure qu'elle soutient.

Qui devez-vous notifier dans les 24 heures suivant un incident NIS2 ?

Vous devez notifier votre CSIRT national (Computer Security Incident Response Team) ou l'autorité nationale NIS compétente désignée dans le cadre de la transposition de la directive NIS2 par votre État membre. Ces organismes ne sont pas les mêmes que votre autorité nationale de protection des données — ce sont des entités distinctes spécialisées dans la cybersécurité et la sécurité des réseaux. L'alerte précoce de 24 heures requiert uniquement que vous signaliez que l'incident s'est produit, si vous suspectez une cause illicite ou malveillante, et si un impact transfrontalier est possible. Vous devriez enregistrer votre organisation auprès de l'autorité nationale compétente et localiser son portail de déclaration avant qu'un incident ne survienne — soumettre une première notification sous pression sans inscription préalable ajoute des délais évitables.

Que se passe-t-il si vous manquez le délai d'alerte précoce de 24 heures prévu par NIS2 ?

Le non-respect du délai d'alerte précoce de 24 heures constitue une infraction à l'article 23 et peut faire l'objet de mesures coercitives de la part de l'autorité nationale NIS. Les sanctions prévues par NIS2 peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités importantes. Au-delà des sanctions financières, les autorités peuvent émettre des ordres exigeant des mesures correctives spécifiques ou, dans les cas graves, une interdiction temporaire pour les membres de la direction d'exercer des fonctions de gestion jusqu'au rétablissement de la conformité, en vertu de l'article 32, paragraphe 4. Les transpositions nationales varient dans leur approche coercitive, mais l'obligation est contraignante à compter de la date de transposition et il n'existe aucune période de grâce pour les notifications tardives.

Sources

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: NIS2 Incident Response : Que faire dans les premières 24 heures

This article covers: Le calendrier de déclaration en trois étapes (article 23), Ce qui rend un incident « significatif », Qui notifier.

  • Le calendrier de déclaration en trois étapes (article 23)
  • Ce qui rend un incident « significatif »
  • Qui notifier
  • Ce que doit contenir l'alerte précoce de 24 heures
  • Ce que doit contenir la notification de 72 heures
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.