Votre organisation peut-elle détecter, évaluer et signaler un incident de cybersécurité dans les 24 heures ?NIS2 L'article 23 exige que les entités essentielles et importantes soumettent une alerte rapide à leur autorité nationale compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif. Il ne s’agit pas de 24 heures ouvrables, mais de 24 heures, y compris les week-ends et les jours fériés.
Points clés à retenir
- L'alerte précoce de 24 heures est obligatoire :A partir du moment où vous avez connaissance d’un incident significatif, le chronomètre se met en marche. Les week-ends et les jours fériés ne le mettent pas en pause.
- Trois étapes de reporting :24 heures (alerte précoce), 72 heures (notification d'incident) et 1 mois (rapport final).
- « Incident significatif » a une définition spécifique :Tous les événements de sécurité ne déclenchent pas de rapports : seuls les incidents qui ont un impact significatif sur la prestation de services.
- Des processus préétablis sont essentiels :Vous ne pouvez pas créer de processus de reporting lors d’un incident. Les modèles, les canaux de communication et les contacts d'autorité doivent être établis à l'avance.
- La capacité SOC permet la conformité :Une surveillance 24 heures sur 24, 7 jours sur 7, avec capacité de classification des incidents est la condition préalable pratique pour répondre à l'exigence de 24 heures.
NIS2 Calendrier de déclaration
| Jalon | Date limite | Contenu requis |
|---|
| Alerte précoce | 24 heures | Si l'incident est soupçonné d'être causé par des actes illégaux ou malveillants, s'il pourrait avoir un impact transfrontalier |
| Notification d'incident | 72 heures | Évaluation initiale de la gravité et de l'impact, indicateurs de compromission, premières mesures prises |
| Rapport intermédiaire | Sur demande | Mise à jour du statut si l'autorité compétente le demande |
| Rapport final | 1 mois | Description détaillée, cause profonde, mesures correctives, évaluation de l'impact transfrontalier |
Qu'est-ce qui constitue un « incident important »
NIS2 définit un incident significatif comme celui qui :
- A causé ou est susceptible de causer de graves perturbations opérationnelles des services ou des pertes financières
- A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables
Critères pratiques de classification
| Type d'incident | Probablement important ? | Justification |
|---|
| Ransomware affectant les systèmes de production | Oui | Provoque une perturbation opérationnelle |
| Violation de données avec des données personnelles | Oui | Affecte d'autres personnes (déclenche également une notification GDPR 72h) |
| DDoS provoquant une interruption de service > 1 heure | Probablement oui | Perturbation opérationnelle d'un service essentiel |
| Tentative de phishing (bloquée) | Non | Aucun impact ne s'est produit |
| Vulnérabilité découverte (non exploitée) | Non | Aucun incident ne s'est produit |
| Compromission des informations d'identification avec l'accès aux données | Probablement oui | Exposition potentielle des données, perte financière |
| Compromis de la chaîne d’approvisionnement | Oui | Potentiel d'impact transfrontalier |
Construire un processus de reporting NIS2
Étape 1 : Identifiez votre autorité compétente
Chaque État membre du EU désigne des autorités nationales compétentes pour le NIS2. Dans Sweden, il s'agit de MSB (Myndigheten för samhällsskydd och beredskap). En Allemagne, BSI. En France, l'ANSSI. Identifiez votre autorité, établissez vos coordonnées et comprenez leur format de rapport préféré avant qu'un incident ne se produise.
Étape 2 : Établir des critères de classification des incidents
Définir des critères clairs pour classer les incidents comme « significatifs » selon NIS2. Créez un arbre de décision que les analystes SOC peuvent suivre pendant le tri des incidents. La classification doit avoir lieu dans les premières heures suivant la détection afin de laisser suffisamment de temps pour l'évaluation et le signalement dans les 24 heures.
Étape 3 : Créer des modèles de rapports
Des modèles prédéfinis pour chaque étape de reporting garantissent un reporting cohérent et complet sous pression. Les modèles doivent inclure : les champs de description de l'incident, les services concernés et l'évaluation de l'impact, les indicateurs de compromission (IoC), les mesures correctives initiales, l'évaluation de l'impact transfrontalier et les coordonnées pour le suivi.
Étape 4 : Attribuer les responsabilités en matière de reporting
Définissez qui prépare chaque rapport, qui l'examine, qui le soumet et qui gère les communications de suivi. Il ne peut pas s'agir d'une seule personne : elle peut être en vacances ou s'occuper de l'intervention technique. Désigner du personnel principal et suppléant pour chaque responsabilité.
Étape 5 : tester le processus
Réalisez des exercices théoriques qui incluent le flux de travail complet de création de rapports, de la détection des incidents à la soumission d'alertes précoces. Planifiez l'exercice pour vérifier que votre processus peut respecter le délai de 24 heures, y compris l'évaluation, la classification, l'achèvement du modèle, la révision et la soumission. Les exercices révèlent des goulots d'étranglement (classification lente, contacts d'autorité manquants, chaîne d'approbation peu claire) qui doivent être résolus avant un incident réel.
Comment Opsio permet le rapport d'incidents NIS2
- Détection 24h/24 et 7j/7 :Notre SOC détecte les incidents 24 heures sur 24, garantissant que l'horloge de « sensibilisation » démarre le plus tôt possible.
- Classement automatisé :Les critères de classification préconfigurés dans notre flux de travail SOC déterminent les exigences de reporting NIS2 lors du triage initial.
- Préparation du rapport :Nous préparons des rapports d'alerte précoce et de notification d'incident à l'aide de modèles pré-approuvés pendant le processus de réponse aux incidents.
- Prise en charge de la soumission :Nous vous assistons dans les procédures de communication et de soumission avec les autorités pour votre autorité nationale compétente spécifique.
- Rapport final :Nous préparons le rapport final d'un mois comprenant l'analyse des causes profondes, la documentation relative aux mesures correctives et les leçons apprises.
Foire aux questions
Que se passe-t-il si je dépasse le délai de 24 heures ?
NIS2 comprend des mécanismes d'application, notamment des amendes administratives. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Les notifications tardives ou manquantes constituent une violation de la conformité que les autorités de contrôle peuvent sanctionner. Cependant, les régulateurs considèrent généralement les efforts de bonne foi pour se conformer (tardivement mais soumis avec explication) plus favorablement que l’absence totale de déclaration.
L'horloge de 24 heures démarre-t-elle lors de la détection ou de la confirmation ?
Le système de 24 heures démarre lorsque l'entité « prend conscience » d'un incident significatif. Cela s’entend comme lorsque vous avez des motifs raisonnables de croire qu’un incident important s’est produit – et non lorsque vous avez mené une enquête médico-légale complète. L’alerte précoce est délibérément conçue pour être préliminaire ; des informations détaillées sont fournies dans la notification de 72 heures.
Dois-je signaler les incidents qui affectent uniquement les systèmes internes ?
Si l'incident a un impact sur la prestation de vos services essentiels ou importants (tels que définis sous NIS2), oui. L'obligation de reporting est liée à l'impact du service, et non à la question de savoir si les parties externes sont directement concernées. Les ransomwares internes qui perturbent les systèmes de production prenant en charge les services essentiels peuvent être signalés même si aucune donnée client n'est exposée.
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
