NIS 2 Chapitre 4 Article 23

Article 23 – Obligations d’information

  1. Chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, selon le cas, à son autorité compétente, conformément au paragraphe 4, tout incident ayant un impact important sur leur fourniture des services visés au paragraphe 3 (ci-après dénommé «incident important»). Le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. Chaque État membre veille à ce que ces entités signalent, entre autres, toute information permettant au CSIRT ou, le cas échéant, à l’autorité compétente de déterminer si l’incident a un impact transfrontière. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification.

    Lorsque les entités concernées notifient un incident important à l’autorité compétente en application du premier alinéa, l’État membre veille à ce que cette autorité compétente transmette la notification au CSIRT dès qu’elle la reçoit.

    En cas d’incident important transfrontière ou transsectoriel, les États membres veillent à ce que leurs points de contact uniques reçoivent en temps utile les informations notifiées conformément au paragraphe 4.

  2. Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même.
  3. Un incident est considéré comme important si:
    1. il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée;
    2. il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
  4. Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent au CSIRT ou, selon le cas, à l’autorité compétente:
    1. sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important, une alerte précoce qui, le cas échéant, indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière;
    2. sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important, une notification d’incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;
    3. à la demande d’un CSIRT ou, selon le cas, de l’autorité compétente, un rapport intermédiaire sur les mises à jour pertinentes de la situation;
    4. un rapport final au plus tard un mois après la présentation de la notification d’incident visée au point b), comprenant les éléments suivants:
        1. une description détaillée de l’incident, y compris de sa gravité et de son impact;
        2. le type de menace ou la cause profonde qui a probablement déclenché l’incident;
        3. les mesures d’atténuation appliquées et en cours;
        4. le cas échéant, l’impact transfrontière de l’incident;
    5. en cas d’incident en cours au moment de la présentation du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement de l’incident.

    Par dérogation au premier alinéa, point b), un prestataire de services de confiance notifie au CSIRT ou, selon le cas, à l’autorité compétente les incidents importants qui ont un impact sur la fourniture de ses services de confiance, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important.

  5. Le CSIRT ou l’autorité compétente fournissent, sans retard injustifié et si possible dans les 24 heures suivant la réception de l’alerte précoce visée au paragraphe 4, point a), une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident important et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation. Lorsque le CSIRT n’est pas le premier destinataire de la notification visée au paragraphe 1, l’orientation est émise par l’autorité compétente en coopération avec le CSIRT. Le CSIRT fournit un soutien technique supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, le CSIRT ou l’autorité compétente fournit également des orientations sur les modalités de notification de l’incident important aux autorités répressives.
  6. Lorsque c’est approprié, et notamment si l’incident important concerne deux États membres ou plus, le CSIRT, l’autorité compétente ou le point de contact unique informent sans retard injustifié les autres États membres touchés et l’ENISA de l’incident important. Sont alors partagées des informations du type de celles reçues conformément au paragraphe 4. Ce faisant, le CSIRT, l’autorité compétente ou le point de contact unique doivent, dans le respect du droit de l’Union ou du droit national, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.
  7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse.
  8. À la demande du CSIRT ou de l’autorité compétente, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres touchés.
  9. Le point de contact unique soumet tous les trois mois à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1 du présent article et à l’article 30. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut adopter des orientations techniques sur les paramètres des informations à inclure dans le rapport de synthèse. L’ENISA informe le groupe de coopération et le réseau des CSIRT de ses conclusions concernant les notifications reçues tous les six mois.
  10. Les CSIRT ou, selon le cas, les autorités compétentes fournissent aux autorités compétentes en vertu de la directive (UE) 2022/2557 des informations sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1 du présent article et à l’article 30 par les entités identifiées comme des entités critiques en vertu de la directive (UE) 2022/2557.
  11. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure des notifications présentées en vertu du paragraphe 1 du présent article et de l’article 30 ainsi que des communications présentées en vertu du paragraphe 2 du présent article.

    Au plus tard le 17 octobre 2024, la Commission adopte, en ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, des actes d’exécution précisant plus en détail les cas dans lesquels un incident est considéré comme important au sens du paragraphe 3. La Commission peut adopter de tels actes d’exécution pour d’autres entités essentielles et importantes.

    La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d’actes d’exécution visés aux premier et deuxième alinéas du présent paragraphe conformément à l’article 14, paragraphe 4, point e).

    Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 39, paragraphe 2.