En vigueur depuis le 17 oct. 2024·Jour 566·

Gestion des incidents6 mai 20267 min

Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matin

L’article 23, paragraphe 3, en pose le principe. Le règlement d’exécution 2024/2690 fixe les chiffres. Voici l’arbre de décision que votre permanencier peut faire tourner à 3 h du matin.

Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matinGestion des incidents

Toute obligation de notification au titre de l'article 23 de la directive (UE) 2022/2555 tient à un seul qualificatif : l'incident doit être significatif. En dessous du seuil, l'entité ne doit rien au régulateur. Au-dessus, les compteurs de 24 heures, 72 heures et un mois démarrent. Le coût d'une mauvaise évaluation court dans les deux sens — sur-déclarer noie le CSIRT ; sous-déclarer ouvre une procédure de contrôle au titre de l'article 32.

Dix-huit mois après l'entrée en vigueur, la définition de l'incident significatif NIS2 reste la question opérationnelle la plus posée sur la directive. L'article 23, paragraphe 3, en pose le principe. Le règlement d'exécution (UE) 2024/2690 en fixe les chiffres — pour les sept catégories de secteurs qu'il couvre. Partout ailleurs, c'est l'entité qui tranche. Ce guide transforme la définition juridique en arbre de décision que votre permanencier peut faire tourner à 3 h du matin.

1. Le test à deux branches de la directive

L'article 23, paragraphe 3, définit l'incident significatif comme celui qui satisfait l'une des deux conditions suivantes :

  • il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité concernée ; ou
  • il a touché ou est susceptible de toucher d'autres personnes physiques ou morales en causant un préjudice matériel ou non matériel considérable.

Deux locutions chargent ce test : est susceptible de causer — le seuil capte les incidents évités de justesse dont seul le hasard a empêché l'impact — et considérable — non défini par la directive elle-même, renvoyé aux actes d'exécution et à la pratique de supervision.

Le considérant 101 cadre cette appréciation comme un jugement, pas un déclenchement automatique. Le CSIRT et l'autorité compétente attendent que l'entité soit la première instance d'évaluation, sous réserve de contestation. Cela signifie que le raisonnement de l'astreinte, et pas seulement sa conclusion, fait partie de ce que le régulateur lira.

2. Ce que le règlement d'exécution 2024/2690 quantifie

Le règlement d'exécution de la Commission, adopté le 17 octobre 2024, fixe des seuils concrets pour sept catégories de secteurs : fournisseurs de services DNS, registres de noms de domaine de premier niveau (TLD), fournisseurs de services d'informatique en nuage, fournisseurs de services de centre de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, places de marché en ligne, moteurs de recherche en ligne, plateformes de réseaux sociaux et prestataires de services de confiance.

Pour ces catégories, un incident est significatif quand il franchit l'une de trois bandes quantifiées. En langage opérationnel :

  • Impact disponibilité — le service est indisponible pendant une durée donnée pour un nombre donné d'utilisateurs (par exemple, une heure pour 5 % des utilisateurs européens d'un service cloud est significatif ; les seuils varient par type de service et taille d'entité).
  • Impact confidentialité / intégrité des données — accès non autorisé non trivial ou modification de données clients.
  • Impact en cascade — l'incident affecte un autre prestataire en périmètre NIS2 qui dépend du service interrompu.

Les chiffres exacts par type de service figurent dans les annexes du 2024/2690 et constituent la référence opérationnelle. Les RSSI des secteurs couverts doivent les lire une fois et épingler le tableau au mur du SOC.

3. Ce que les sept secteurs ne couvrent pas — le test qualitatif

Pour les onze autres secteurs NIS2 (énergie, transports, banque, infrastructures de marchés financiers, santé, eau potable, eaux usées, administration publique, espace, services postaux, gestion des déchets, fabrication chimique / agroalimentaire / dispositifs médicaux / informatique / équipements de transport / machines, fournisseurs numériques hors liste IR, recherche, production agroalimentaire), les seuils du règlement d'exécution ne s'appliquent pas. Le test qualitatif à deux branches de l'article 23, paragraphe 3, s'applique — complété par la matrice de classification que l'entité a définie en amont.

Une matrice défendable s'articule autour de trois axes :

  • Criticité du service — le service touché figure-t-il en dépendance de niveau 1 dans le plan de continuité d'activité de l'entité ?
  • Impact utilisateur — nombre d'utilisateurs touchés ; populations vulnérables concernées (patients, clients énergie en hiver).
  • Confiance dans le confinement — l'incident est-il borné, ou peut-il s'aggraver sans intervention ?

Quand deux des trois axes franchissent un niveau pré-convenu, l'incident est significatif. La matrice est approuvée par le conseil au titre de l'article 20 et revue annuellement. Les lignes directrices publiées par l'ENISA — reprises dans les travaux du Groupe de coopération sur la mise en œuvre de NIS2 — pointent systématiquement vers ce type de classification pré-définie comme standard opérationnel.

La définition de l'incident significatif NIS2 n'est pas un seuil que l'on franchit. C'est un jugement que l'on défend — avec le raisonnement de l'astreinte horodaté à l'instant de la prise de connaissance.

4. L'arbre de décision que votre permanencier fait tourner à 3 h du matin

Le moment où l'analyste d'astreinte regarde une alerte SIEM en pleine nuit, la définition juridique est trop abstraite. Il faut un runbook en quatre questions, écrit à l'avance, qui produit l'une de trois conclusions : notifier, ne pas notifier, escalader au RSSI pour décision.

  1. Le service touché figure-t-il dans notre catalogue de services au sens du 2024/2690 ? Si oui, appliquer les seuils quantifiés de l'annexe. Sinon, continuer.
  2. L'incident a-t-il causé ou est-il susceptible de causer une perturbation opérationnelle grave d'un service que nous opérons ? Grave = défaillance d'un service de niveau 1, perte financière au-dessus d'un seuil de matérialité défini par l'entité, ou dégradation de service touchant plus d'un pourcentage défini d'utilisateurs.
  3. L'incident touche-t-il d'autres personnes physiques ou morales d'une manière qui n'est pas mineure ? Exemples : exfiltration de données, panne en cascade affectant les obligations NIS2 d'un client, impact sur la santé publique ou la sécurité.
  4. Si deux des axes 2-3 ou plus restent incertains, escalader au RSSI. Par défaut, notifier plutôt que tarder — l'alerte précoce à 24 h est un drapeau, pas une conclusion, et peut être corrigée à la notification de 72 h.

La quatrième règle est la plus importante. L'article 23, paragraphe 4, point a) permet aux entités de mettre à jour une alerte précoce lors de la notification à 72 heures avec des informations substantielles ; la directive anticipe explicitement une première notification incomplète. Une sur-notification défensive à 24 h coûte moins cher qu'un délai raté.

5. Transfrontalier, multi-régulation : quand la significativité se multiplie

Deux amplificateurs transforment un cas limite en incident clairement significatif :

  • Impact transfrontalier. L'article 23, paragraphe 4, point a) impose à l'alerte précoce de signaler tout impact transfrontalier suspecté. Si votre service est consommé dans un autre État membre, s'ajoute un devoir de diligence vis-à-vis du CSIRT de cet État. Le cadre de coordination des incidents pan-européen du Groupe de coopération s'appuie sur ce signal.
  • Recouvrement avec RGPD / DORA / CRA. Un incident significatif NIS2 déclenche fréquemment des obligations parallèles. Une violation de données personnelles alimente l'article 33 du RGPD (également 72 heures, mais avec un point de départ différent — connaissance de la violation, et non connaissance de l'incident). Une entité de services financiers relève en parallèle du régime de notification d'incidents de DORA. Les produits avec éléments numériques couverts par le CRA ajoutent un troisième canal. Cartographier ces régimes à l'avance — quel régulateur reçoit quel formulaire, sur quel compteur — est le seul moyen d'éviter une faille de délai sous un régime quand on répond à un autre.

Le guide pratique des 72 heures du site déroule la cadence de notification une fois l'incident significatif confirmé. Le présent article se situe en amont — il répond à la question de savoir si la cadence s'applique.

Ce à quoi ça ressemble quand c'est bien fait

Trois signaux reviennent systématiquement dans les lignes directrices publiées par l'ANSSI, le BSI, l'INCIBE, l'ACN, le NCSC-IE et l'ENISA sur l'évaluation de la significativité d'un incident :

  1. Une matrice de classification approuvée par le conseil — pas une note d'une page, mais une matrice écrite avec les trois ou quatre axes utilisés par l'entité pour scorer les incidents, revue dans les douze derniers mois, signée par le conseil au titre de l'article 20.
  2. Une trace de raisonnement horodatée — pour chaque incident évalué par le permanencier, les scores de la matrice à l'instant de la prise de connaissance, la décision qui en résulte (notifier / ne pas notifier) et le nom de l'officier qui l'a prise. Tirée du système de ticketing, pas reconstruite après coup.
  3. Un recalibrage annuel — les valeurs seuils de la matrice sont revues face aux incidents réels de l'année et ajustées. Des seuils figés dérivent de la réalité opérationnelle et deviennent une faiblesse défensive après dix-huit mois.

Aucun de ces documents n'a rien d'exotique. Ils existent déjà dans les programmes de gestion des incidents matures. Le travail des douze prochains mois, pour les entités qui ne les ont pas encore codifiés, est de les écrire — avant que le premier incident significatif n'arrive.

Sources

  1. Directive (UE) 2022/2555, article 23 (« Obligations de déclaration »).
  2. Directive (UE) 2022/2555, article 23, paragraphe 3 (définition de l'« incident important »).
  3. Directive (UE) 2022/2555, considérant 101 (appréciation de la significativité comme jugement).
  4. Règlement d'exécution (UE) 2024/2690 du 17 octobre 2024 (exigences techniques et méthodologiques ; seuils de significativité pour les fournisseurs de services numériques et entités assimilées).
  5. Directive (UE) 2022/2555, article 32 (« Mesures de surveillance et d'exécution à l'égard des entités essentielles »).
  6. Lignes directrices de mise en œuvre publiées par les autorités nationales compétentes — ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE) — et par l'ENISA via le Groupe de coopération NIS.

Autres articles

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguerGouvernance

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguer

18 avr. 2025·Lire · 10 min
Notification d’incident NIS2 : le guide pratique des 72 heuresGestion des incidents

Notification d’incident NIS2 : le guide pratique des 72 heures

11 avr. 2025·Lire · 9 min
Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseursChaîne d’approvisionnement

Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseurs

9 avr. 2025·Lire · 7 min