Cornerstone · Article 23

Réponse aux incidents NIS2 : la chaîne 24h / 72h / 1 mois

NIS2 Article 23 oblige chaque entité dans le périmètre à notifier un incident significatif en trois étapes : une alerte précoce dans les 24 heures, une notification d'incident dans les 72 heures, puis un rapport final dans le délai d'un mois. Cette page explique précisément le contenu de chaque étape, le déclencheur de chaque délai et où déposer en Allemagne, ainsi que les modèles et les preuves de posture externe que le BSI attend en complément des notifications.

Obtenir le modèle de réponse aux incidents Scanner votre posture (60s, gratuit)

Quand un incident est-il "significatif" ?

Article 23(3) : un incident déclenche la chaîne de notification si l'une au moins de ces trois conditions est remplie (ou pourrait l'être) :

A causé ou est susceptible de causer une grave perturbation opérationnelle des services
A causé ou est susceptible de causer des pertes financières à l'entité concernée
A affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des préjudices matériels ou immatériels

Le règlement d'exécution (UE) 2024/2690 ajoute des seuils sectoriels quantifiés : heures d'indisponibilité, nombre d'utilisateurs affectés, tranches de pertes financières. En cas de doute, notifiez : l'alerte précoce est courte par conception et le coût d'une surdéclaration est bien inférieur à celui d'un dépassement du délai de 24 heures.

La chaîne Article 23 en trois étapes

Dans les 24 heures ·
Alerte précoce

Une notification flash courte à l'autorité compétente et au CSIRT national signalant qu'un incident significatif s'est produit ou est susceptible de se produire. Optimisée pour la rapidité, pas pour l'exhaustivité.

Ce qu'il faut envoyer
- Cause présumée illicite ou malveillante (oui / non / inconnu)
- Impact transfrontalier suspecté (oui / non)
- Une brève description factuelle (une à trois phrases)
Destination

BSI Meldeportal (Allemagne) ou le CSIRT de votre État membre. Le délai de 24 heures commence à partir de la prise de conscience : le moment où une personne au sein de l'organisation a des raisons raisonnables de considérer l'incident comme significatif. Documentez immédiatement cet horodatage dans votre journal d'incidents.
Dans les 72 heures ·
Notification d'incident

Un rapport plus complet mettant à jour l'alerte précoce avec une évaluation initiale de la gravité, de l'impact et des premiers indicateurs de compromission.

Ce qu'il faut envoyer
- Évaluation de la gravité et de l'impact mise à jour
- Indicateurs de compromission (IOC) le cas échéant
- Systèmes, services affectés et nombre approximatif d'utilisateurs touchés
- Évaluation initiale de l'impact transfrontalier
Destination

Même canal que l'alerte précoce. Met à jour le dossier précédent ; ne relance pas le compteur.
Dans le délai d'un mois ·
Rapport final

Un rapport post-incident complet couvrant la cause racine, les mesures d'atténuation, l'impact transfrontalier et les mesures correctives mises en oeuvre.

Ce qu'il faut envoyer
- Analyse détaillée de la cause racine
- Type de menace / vulnérabilité exploitée
- Étapes d'atténuation et de remédiation déjà appliquées
- Enseignements tirés et modifications des mesures de gestion des risques
- Déclaration finale d'impact transfrontalier
Destination

Même canal. Si l'incident est en cours au terme du premier mois, un rapport intermédiaire est soumis, suivi d'un rapport final une fois l'incident clôturé.

Les preuves de posture externe que le BSI demandera avec la notification

Une notification Art. 23 est rarement isolée. Le BSI demande presque toujours la preuve que l'entité avait ses mesures NIS2 Art. 21(2) en place au moment de l'incident. SaaSFort produit cette preuve de posture externe en 60 secondes : une note A-F mappée à l'Art. 21, avec un PDF adressé à l'auditeur disponible en téléchargement.

Scanner votre posture (60s, gratuit) Voir l'audit pack

Questions fréquentes

À quel moment le délai de 24 heures NIS2 commence-t-il ?

Au moment de la prise de conscience : le premier moment où une personne au sein de l'entité a des raisons raisonnables de considérer l'incident comme significatif selon les critères de l'Article 23(3). Ce n'est pas le moment de l'attaque, de la détection par les outils ni de l'escalade vers la direction. Documentez immédiatement l'horodatage de la prise de conscience dans votre journal d'incidents.

Qu'est-ce qu'un incident NIS2 significatif ?

Un incident est significatif selon l'Art. 23(3) lorsqu'il a causé (ou est susceptible de causer) une grave perturbation opérationnelle du service ou des pertes financières à l'entité, OU qu'il a affecté (ou est susceptible d'affecter) d'autres personnes physiques ou morales en causant des préjudices matériels ou immatériels. Le règlement d'exécution (UE) 2024/2690 fixe des seuils sectoriels quantifiés : heures d'indisponibilité, nombre d'utilisateurs affectés, tranches de pertes financières.

Quelles informations figurent dans l'alerte précoce de 24 heures ?

Trois éléments seulement : (1) si une cause illicite ou malveillante est suspectée, (2) si un impact transfrontalier est suspecté, (3) une description factuelle d'une à trois phrases. L'alerte précoce est délibérément courte : elle est conçue pour alerter le CSIRT / l'autorité, pas pour contenir tous les détails forensiques. La notification à 72 heures est l'étape où la profondeur d'information est requise.

Où les entités allemandes déposent-elles le rapport d'incident NIS2 ?

Au BSI Meldeportal, le portail fédéral allemand de notification obligatoire. L'enregistrement au Meldeportal a été clôturé le 6 mars 2026 ; les entités qui l'ont manqué sont désormais en non-conformité active et doivent s'enregistrer à la première occasion avant de déposer. Le même portail gère les dépôts à 24h, 72h et 1 mois comme des mises à jour d'un seul et même dossier d'incident.

Que se passe-t-il si vous manquez le délai de 24 heures ?

Vous n'êtes pas en conformité avec l'Art. 23 et vous vous exposez à des amendes (jusqu'à 10 M€ / 2% du chiffre d'affaires mondial pour les entités essentielles selon le §41 BSIG) et à une responsabilité potentielle des organes de direction selon le §38 BSIG. Déposez immédiatement avec retard en documentant la raison ; le retard lui-même est un fait que l'autorité évaluera. Ne laissez pas ce retard s'aggraver en un non-respect du délai de 72 heures.

Modèles et guides complémentaires

→ Modèle de réponse aux incidents NIS2 : le document prêt à l'emploi pour rédiger les étapes 1 / 2 / 3.
→ Modèle de notification BSI 24 heures
→ Mise en place du reporting d'incidents NIS2 pour les éditeurs SaaS
→ Cartographie des champs Art. 23 : BSI Meldeportal x scan SaaSFort x modèle
→ BSI Prüfungsanordnung : plan de réponse 72 heures
→ Bibliothèque de contrôles NIS2 open source (MIT) : mapping JSON / YAML incluant les champs Art. 23.

Cornerstones associés : Glossaire NIS2 / BSI / ISO 27001 · Bausteine BSI IT-Grundschutz · Checklists NIS2 par secteur