Notification d'incidents NIS2 : les délais de 24 heures, 72 heures et 1 mois expliqués
Sous NIS2, la notification d'incidents n'est ni optionnelle ni flexible. Lors d'un incident significatif, vous avez 24 heures pour votre notification initiale — pas 24 heures ouvrées. Vingt-quatre heures à partir du moment où vous en avez connaissance.
Les trois étapes de notification
Calendrier de Notification des Incidents NIS2
24hAlerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 172hNotification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 21moRapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 324hAlerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72hNotification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1moRapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 1 : Alerte précoce — dans les 24 heures
- Si l'incident est probablement causé par des actes malveillants
- S'il pourrait avoir un impact transfrontalier
Étape 2 : Notification — dans les 72 heures
- Évaluation initiale de la gravité et de l'impact
- Indicateurs de compromission si disponibles
Étape 3 : Rapport final — dans 1 mois
- Description détaillée, analyse des causes, mesures correctives
Qu'est-ce qu'un "incident significatif" ?
La NIS2 s'applique-t-elle à votre organisation ?
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼Non▼2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗La NIS2 ne s'applique pas directement à votre organisation.
Oui▼Non▼✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →✗La NIS2 ne s'applique pas directement à votre organisation.
✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'appliquePossiblement applicableNe s'applique pas
En cas de doute : signalez. Il vaut mieux notifier inutilement que manquer le délai de 24 heures.
À qui notifier ?
| Pays | Autorité compétente | CSIRT |
|---|---|---|
| France | ANSSI | CERT-FR |
| Belgique | CCB | CERT.be |
| Allemagne | BSI | CERT-Bund |
| Pays-Bas | RDI (prévu) | NCSC-NL |
| Italie | ACN | CSIRT Italia |
| Espagne | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
| Pologne | NASK (prévu) | CERT Polska |
Construire votre processus de notification
| Temps | Action |
|---|---|
| T+0 | Incident détecté — le compteur démarre |
| T+1h | Première évaluation : potentiellement significatif ? |
| T+4h | Informer la direction |
| T+24h | DÉLAI : Soumettre l'alerte précoce |
| T+72h | DÉLAI : Soumettre la notification |
| T+1 mois | DÉLAI : Soumettre le rapport final |
Questions fréquentes
« Et le RGPD ? »
Obligations distinctes. La notification NIS2 ne remplace pas la notification RGPD et inversement. Coordonnez les deux.
Commencez par un quickscan gratuit
Notre quickscan NIS2 gratuit inclut une évaluation de votre préparation à la notification d'incidents.