L'article 23 de la directive NIS2 (UE) 2022/2555 impose aux entités essentielles et importantes de notifier tout incident significatif en trois temps : alerte précoce dans les 24 heures, notification détaillée dans les 72 heures, rapport final dans le mois suivant. En France, la notification se fait auprès de l'ANSSI via MonEspaceNIS2. Le défaut de notification expose l'entité à des amendes allant jusqu'à 10 millions d'euros et le dirigeant à une mise en cause personnelle.
Qu'est-ce qu'un incident significatif au sens NIS2 ?
La directive ne demande pas de signaler chaque alerte de sécurité. Elle cible les incidents significatifs - une notion précise définie à l'article 23 de la directive (UE) 2022/2555.
Un incident est significatif s'il remplit au moins un des critères suivants :
- perturbation opérationnelle grave ou perte financière importante pour l'entité concernée ;
- impact effectif ou potentiel sur d'autres personnes physiques ou morales causant des dommages matériels, corporels ou moraux significatifs ;
- interruption ou dégradation substantielle d'un service fourni.
En pratique : un rançongiciel qui bloque la production, une exfiltration de données clients, une prise de contrôle d'un système industriel - tous entrent clairement dans le périmètre. Une tentative d'intrusion déjouée à temps, sans effet réel, non. La frontière se situe entre la menace avérée ayant produit un effet réel et la tentative sans suite.
L'article 23 précise que l'entité doit notifier dès qu'elle estime que l'incident est ou pourrait être significatif. Le doute ne justifie pas l'attente. Tarder à qualifier pour éviter de notifier cumule le risque incident et le risque de sanction pour défaut de notification.
Les trois échéances réglementaires : 24h, 72h, 30 jours
La procédure NIS2 se décompose en trois étapes successives, chacune avec un délai et un contenu différent. On voit souvent des RSSI assimiler NIS2 au RGPD (72h pour tout) - c'est une erreur, car NIS2 ajoute une alerte précoce à 24h en amont.
Étape 1 - Alerte précoce (24 heures)
Dans les 24 heures qui suivent la détection de l'incident significatif, l'entité envoie une alerte précoce à l'autorité compétente. Cette première notification est volontairement légère : elle signale l'existence de l'incident, indique si une origine malveillante est suspectée, et précise s'il est susceptible d'avoir un impact transfrontalier.
L'objectif de cette alerte à 24h n'est pas l'exhaustivité - c'est d'enclencher la coordination avec les autorités dès les premières heures de crise. L'ANSSI peut ainsi mobiliser ses équipes CERT-FR et coordonner avec d'autres États membres si nécessaire.
Étape 2 - Notification détaillée (72 heures)
Dans les 72 heures après la détection, l'entité fournit une notification complète. Ce rapport doit contenir une description initiale de l'incident, sa sévérité, ses indicateurs de compromission si disponibles, et les premières mesures prises. Si l'incident est toujours en cours à ce stade, il faut le préciser avec l'état d'avancement de la réponse.
Étape 3 - Rapport final (1 mois)
Un mois après la notification détaillée, l'entité transmet un rapport complet. Ce document de clôture est le plus structuré : description détaillée avec chronologie, type de menace ou cause probable, mesures d'atténuation mises en place, impact transfrontalier si pertinent. C'est ce rapport qui servira de base aux retours d'expérience de l'ANSSI et, en cas de contrôle, de pièce pour les autorités.
| Étape | Délai | Contenu minimal | Objectif |
|---|---|---|---|
| Alerte précoce | 24 heures | Existence de l'incident, nature malveillante suspectée, impact transfrontalier potentiel | Déclencher la coordination inter-États |
| Notification détaillée | 72 heures | Description initiale, sévérité, IOC disponibles, mesures prises | Permettre l'évaluation technique par le CSIRT |
| Rapport final | 1 mois | Chronologie, cause, impact, mesures correctives, retour d'expérience | Clôturer et capitaliser sur l'incident |
À qui notifier en France : ANSSI, CSIRT et MonEspaceNIS2
En France, l'autorité compétente désignée par le projet de loi Résilience (transposition NIS2) est l'ANSSI pour la majorité des secteurs. La notification s'effectue via la plateforme MonEspaceNIS2, ouverte au pré-enregistrement depuis début 2026.
Le CERT-FR (CSIRT national français) traite techniquement les notifications reçues. Pour certains secteurs spécifiques, d'autres autorités peuvent être impliquées en parallèle :
- secteur bancaire et marchés financiers : ACPR et AMF en coordination avec l'ANSSI ;
- secteur santé : le CERT Santé (ANS) en parallèle ;
- opérateurs d'infrastructures critiques : coordination avec le SGDSN pour les OIV déjà soumis à LPM.
Pour les entités déjà enregistrées comme Opérateurs d'Importance Vitale (OIV) sous la loi de programmation militaire, le processus NIS2 s'ajoute et ne remplace pas les obligations existantes de signalement aux ministères de tutelle. La page des obligations NIS2 détaille comment ces régimes s'articulent.
Toutes les notifications d'incidents doivent transiter par la plateforme MonEspaceNIS2 de l'ANSSI. Si votre entité n'est pas encore pré-enregistrée, c'est une priorité immédiate - l'enregistrement conditionne l'accès au formulaire de notification.
Le contenu détaillé des rapports de notification
L'article 23 NIS2 liste les informations minimales. En pratique, les autorités attendent un niveau de détail supplémentaire pour traiter efficacement chaque notification.
Pour l'alerte précoce à 24h
- Date et heure de détection effective (pas de découverte supposée) ;
- Nature de l'incident : ransomware, intrusion, DDoS, fuite de données, sabotage... ;
- Systèmes ou services affectés ;
- Suspicion d'origine malveillante : oui / non / incertain ;
- Impact transfrontalier possible : oui / non ;
- Contact technique désigné pour le suivi.
Pour la notification de 72h
- Chronologie détaillée depuis les premiers signaux ;
- Périmètre exact des systèmes compromis ;
- Indicateurs de compromission (IOC) identifiés : hachages, adresses IP, domaines ;
- Vecteur d'entrée probable ;
- Actions correctives engagées et calendrier de remédiation ;
- Évaluation de l'impact sur la continuité de service.
Pour le rapport final à 30 jours
C'est ici que la qualité de l'analyse post-incident fait la différence. Un rapport bâclé, sans causes profondes identifiées ni plan d'action, signale une maturité cyber insuffisante à l'ANSSI. Le rapport final doit inclure : analyse des causes profondes (root cause analysis), liste des mesures correctives déployées, calendrier des mesures restantes, évaluation de l'impact réel sur les clients ou partenaires, et un retour d'expérience interne formalisé.
Vous avez subi un incident et vous ne savez pas comment notifier ?
Nos partenaires experts vous accompagnent dans la rédaction des rapports de notification et la coordination avec l'ANSSI.
Demander un accompagnementNotifier ses clients, partenaires et fournisseurs affectés
L'obligation ne s'arrête pas à l'ANSSI. L'article 23.3 de NIS2 impose d'informer les destinataires des services potentiellement affectés par l'incident. Si votre incident a pu impacter la disponibilité ou la sécurité des données de vos clients, vous devez les prévenir.
Cette obligation crée une mécanique en cascade. Une attaque sur un fournisseur de services cloud peut déclencher des notifications en chaîne chez tous ses clients entités NIS2. On voit déjà ce phénomène avec les incidents touchant les grands hébergeurs ou les ESN : l'entité attaquée notifie l'ANSSI, qui peut demander à ses clients de vérifier leur propre périmètre.
La question de la sécurité de la chaîne d'approvisionnement NIS2 est directement liée : votre posture de notification dépend aussi de la maturité de vos fournisseurs critiques.
Cas concret : une entreprise industrielle subit une intrusion sur son ERP hébergé par un tiers. Elle doit notifier l'ANSSI (obligation NIS2) et informer ses partenaires de production dont les données de commande transitent par le système compromis. Si l'ERP gère des données personnelles de salariés ou clients, la CNIL doit aussi être notifiée séparément.
Le cumul avec l'obligation de notification RGPD
La question revient à chaque incident impliquant des données personnelles : est-ce qu'on notifie NIS2 ou RGPD, ou les deux ? La réponse est simple et souvent mal comprise : les deux obligations coexistent et sont indépendantes.
Si un incident NIS2 implique une violation de données personnelles au sens de l'article 33 du RGPD (accès non autorisé, destruction, perte, altération), il faut notifier :
- l'ANSSI (CSIRT national) au titre de NIS2, dans les 24h/72h/30 jours ;
- la CNIL au titre du RGPD, dans les 72 heures ;
- les personnes concernées si la violation présente un risque élevé pour leurs droits et libertés.
Ce cumul crée un problème pratique : les 72h RGPD et les 72h NIS2 sont des obligations distinctes avec des formulaires et des destinataires différents. Votre procédure de réponse aux incidents doit anticiper ce double flux. Notre guide sur l'articulation NIS2 et RGPD développe ce point en détail.
Croire que notifier la CNIL sous RGPD dispense de notifier l'ANSSI sous NIS2. Ces deux obligations sont parallèles, adressées à des autorités différentes, avec des contenus différents. La notification RGPD ne vaut pas notification NIS2.
Sanctions en cas de défaut de notification NIS2
Le défaut de notification - ou la notification tardive, incomplète ou mensongère - est directement sanctionnable. L'article 32 de NIS2 place ce manquement dans le champ des infractions susceptibles d'amende administrative.
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Le montant le plus élevé est retenu.
La sanction la plus redoutée par les dirigeants n'est pas l'amende - c'est la mise en cause personnelle. L'article 20 NIS2 engage la responsabilité des organes de direction sur la gestion des risques cyber. La jurisprudence européenne tend à retenir la responsabilité du dirigeant dès lors qu'il n'a pas mis en place les procédures adéquates. La responsabilité des dirigeants sous NIS2 est un sujet que le conseil d'administration ne peut plus esquiver.
Les États membres qui ont transposé NIS2 (Pays-Bas, Croatie, Belgique notamment) ont déjà engagé des procédures de contrôle. Les premières injonctions administratives tombent en 2026. La fenêtre de tolérance se ferme.
Pour un panorama complet des montants et mécanismes, voir notre page sanctions NIS2.
Se préparer avant l'incident : les 5 actions prioritaires
La pire erreur est de découvrir la procédure de notification le jour J. Sous stress, avec des systèmes en partie hors ligne et des équipes mobilisées sur la remédiation, personne n'est en état de rédiger un rapport d'alerte précoce de qualité en moins de 24h.
Ce qu'on observe systématiquement chez les entités qui notifient bien : elles ont préparé cette procédure à froid, bien avant tout incident.
1. S'enregistrer sur MonEspaceNIS2 maintenant
Le pré-enregistrement sur la plateforme de l'ANSSI est la condition préalable à toute notification. Si vous n'êtes pas enregistré le jour J, vous ne pourrez pas notifier dans les délais. C'est une démarche de 30 minutes - à faire cette semaine.
2. Désigner un responsable de notification
Qui rédige l'alerte de 24h ? Qui valide le rapport de 72h ? Qui signe le bilan à 30 jours ? Cette chaîne doit être formalisée par écrit, avec un suppléant pour chaque rôle. Le RSSI pilote généralement la partie technique, mais la validation finale à 72h implique souvent le DPO et la direction générale.
3. Créer des modèles de rapports
Préparer des templates pour chaque étape (24h, 72h, 30 jours) avec les champs pré-remplis issus de la réglementation. Ces modèles permettent de compléter la notification sous pression en 30 minutes plutôt qu'en 3 heures.
4. Intégrer la notification dans votre plan de réponse aux incidents
Votre PRI doit inclure un arbre de décision : "l'incident est-il significatif au sens NIS2 ? Si oui, déclencher la procédure de notification." Notre guide comment construire un plan de réponse aux incidents NIS2 détaille cette intégration.
5. Tester la procédure via un exercice de crise
Un exercice de type tabletop (simulation sur table) d'une demi-journée suffit à identifier les blocages : qui n'est pas habilité sur MonEspaceNIS2, qui ne connaît pas les critères de significativité, quelle information manque à H+6 d'un incident réel.
Questions fréquentes sur la notification des incidents NIS2
Quel est le délai de notification d'un incident NIS2 ?
NIS2 impose trois délais cumulatifs : alerte précoce dans les 24 heures après détection, notification détaillée dans les 72 heures, rapport final dans le mois qui suit l'incident. Ces trois étapes ont des contenus différents et ne se substituent pas l'une à l'autre.
Auprès de qui notifie-t-on un incident NIS2 en France ?
En France, les entités soumises à NIS2 notifient l'ANSSI via la plateforme MonEspaceNIS2. Si l'incident touche des données personnelles, la CNIL doit également être notifiée dans les 72 heures au titre du RGPD. Ces deux obligations sont indépendantes et cumulatives - l'une ne dispense pas de l'autre.
Qu'est-ce qu'un incident significatif sous NIS2 ?
Un incident est significatif au sens NIS2 s'il a causé ou est susceptible de causer une perturbation opérationnelle grave, des pertes financières importantes ou un impact sur d'autres entités ou personnes. L'article 23 de la directive NIS2 fixe ces critères. En cas de doute, la règle est de notifier.
Que risque-t-on si on ne notifie pas un incident NIS2 ?
Le défaut de notification est directement sanctionnable. Les entités essentielles risquent jusqu'à 10 millions d'euros ou 2 % du CA mondial. Les entités importantes : jusqu'à 7 millions ou 1,4 % du CA mondial. Le dirigeant peut être tenu personnellement responsable au titre de l'article 20 NIS2.
Faut-il notifier ses clients et fournisseurs affectés ?
Oui. L'article 23.3 NIS2 impose d'informer les destinataires des services potentiellement affectés par l'incident. Si l'attaque vient de la chaîne d'approvisionnement, l'entité touchée doit aussi alerter ses fournisseurs concernés. Cette obligation est distincte de la notification aux autorités.
Consultez le guide complet de la directive NIS2, la page détaillée sur les obligations de l'article 21, notre guide sur le Référentiel Cyber France (ReCyF) et le calendrier de transposition NIS2.