Article 23 - Directive NIS2

Notification d'incidents NIS2 : procédure complete 24h / 72h / 1 mois

L'article 23 de la directive NIS2 impose un schema de notification des incidents significatifs en trois temps. Voici la procédure détaillée, les seuils de declenchement et les bonnes pratiques pour se préparer.

Le schema de notification en 3 temps

Qu'est-ce qu'un incident significatif ?

Le seuil declenchant l'obligation de notification est l'incident significatif, défini comme un incident causant ou susceptible de causer une perturbation opérationnelle grave des services ou une perte financière importante pour l'entité, ou affectant d'autres personnes physiques ou morales en causant un dommage materiel, corporel ou moral considerable.

A qui notifier ?

La notification est adressee au CSIRT national (en France, le CERT-FR de l'ANSSI) ou a l'autorite competente. Le CERT-FR coordonne la réponse, partage les IoC avec les autres CSIRT sectoriels et alerte les entités susceptibles d'etre touchees.

Construire son plan de notification

1. Identifier les interlocuteurs : qui notifie, a qui, via quel canal
2. Définir les seuils internes : quand considerer qu'un incident est significatif
3. Préparer les templates : formulaires pre-remplis pour les 3 étapes
4. Tester la procédure : exercices de crise reguliers
5. Documenter les incidents : registre des incidents et suivi des notifications

Pour la démarche globale, voir notre guide de mise en conformité et le guide complet NIS2. Le ReCyF structure ces exigences dans son pilier Défense.

Sources

1. Directive (UE) 2022/2555, article 23
2. Avis conjoint CEPD 4/2026, 18 mars 2026
3. ReCyF, pilier Défense, ANSSI, mars 2026