Notifications NIS2 - Comment procéder?

Initiatives pour
- Initiatives pour
  
  En tant qu'autorité nationale en matière de cybersécurité, le CCB a développé plusieurs initiatives destinées à des publics spécifiques, qui sont présentées ici.
- Safeonweb
  - Home
  - School
- Safeonweb@work
- Image
Services
- Services
  
  De par ses missions, le CCB remplit la fonction de CISRT national, d'autorité de certification des services et produits de cybersécurité, de coordination nationale de la recherche et du développement dans le domaine de la cybersécurité, d'instance de coordination entre les financements de l'UE et les acteurs nationaux.
- Image
Réglementation
A propos de nous
Contact

La loi NIS2

La loi NIS2 stipule que les entités essentielles et importantes doivent notifier au CSIRT national (le CCB) tout incident significatif affectant la fourniture de leurs services dans les (sous-)secteurs énumérés dans les annexes de la loi, y compris, le cas échéant, les informations permettant de déterminer si l’incident en question a un impact transfrontalier.

Pour remplir cette obligation, il faut comprendre ce que l’on entend par « incident » et par « significatif ».

Un incident « significatif » est un incident qui affecte les réseaux et les systèmes d’information qui supportent un service NIS2 (voir annexe I ou II de la loi NIS2) et qui a causé ou est susceptible de causer au moins l’une des situations suivantes (voir le Guide de notification NIS2 pour plus de détails et des exemples de ces situations):

une perturbation opérationnelle grave d’un service NIS2;
des pertes financières pour l’entité concernée;
des dommages matériels, corporels ou moraux considérables causés à d’autres personnes physiques ou morales.

Le règlement d'exécution de la Commission du 17 octobre 2024 (2024/2690) précise également quand un incident doit être considéré comme un incident significatif (voir le résumé à l’annexe 3 du Guide de notification NIS2) pour certaines entités fournissant des services numériques.

Notifier quoi?

Incidents significatifs

Rapport d’alerte précoce (notification initiale) au plus tard dans les 24h:

Informations sur la nature potentiellement malveillante/illicite de l’incident
Impact transfrontière potentiel
Demande d’assistance, si nécessaire

Rapport d’incident (notification complète) au plus tard dans les 72h (ou 24h pour les prestataires de services de confiance):

Mise à jour des informations fournies dans les 24 heures
Évaluation initiale de l'incident (gravité, impact, indicateurs de compromission)

Rapport intermédiaire (si nécessaire)

Rapport final au plus tard un mois après le rapport de notification:

Description détaillée de l'incident
Cause profonde ou type de menace qui a probablement déclenché l'incident
Actions entreprises

Pour plus d’informations, voir le Guide de notification NIS2

Comment notifier?

Table des matières