Est-ce à l’entité victime ou au prestataire gérant le Système d’Information, de notifier l’incident important ?
Dans le cas où mon entité a délégué la gestion d’une partie ou de l’ensemble de son Système d’Information à un prestataire qui est, lui aussi, une entité régulée par la directive NIS2, est-ce à l’entité victime ou au prestataire gérant le Système d’Information, de notifier l’incident important en cas de compromission de ce Système d’Information ?
C’est au propriétaire du Système d’Information visé par l’incident important, c’est-à-dire à l'entité régulée victime, de notifier l’incident important à l’autorité nationale compétente. En effet, conformément à l’article 23.1 de la directive, « chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, selon le cas, à son autorité compétente, conformément au paragraphe 4, tout incident ayant un impact important sur leur fourniture des services visés au paragraphe 3 (ci-après dénommé « incident important ») ».
Toutefois, conformément à l’article 23 de la directive, les entités essentielles et importantes notifient également sans retard injustifié, à tous les destinataires de leurs services, incluant ceux qui sont potentiellement affectés par une cybermenace importante :
- « Les incidents importants susceptibles de nuire à la fourniture de ces services » ;
- Ainsi que « toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace ».
- Le cas échéant, « les entités informent également ces destinataires de la cybermenace importante elle-même. »
Dans le cas où l’entité victime de l’incident important est le prestataire de services informatiques lui-même et qu’il entre dans le champ d’application de la directive, il sera donc de la responsabilité de cette entité de notifier cet incident important à l’autorité nationale compétente et à tous les destinataires de ses services si cet incident est susceptible de nuire à la fourniture de leurs services.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
C’est au propriétaire du Système d’Information visé par l’incident important, c’est-à-dire à l'entité régulée victime, de notifier l’incident important à l’autorité nationale compétente. En effet, conformément à l’article 23.1 de la directive, « chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, selon le cas, à son autorité compétente, conformément au paragraphe 4, tout incident ayant un impact important sur leur fourniture des services visés au paragraphe 3 (ci-après dénommé « incident important ») ».
Toutefois, conformément à l’article 23 de la directive, les entités essentielles et importantes notifient également sans retard injustifié, à tous les destinataires de leurs services, incluant ceux qui sont potentiellement affectés par une cybermenace importante :
- « Les incidents importants susceptibles de nuire à la fourniture de ces services » ;
- Ainsi que « toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace ».
- Le cas échéant, « les entités informent également ces destinataires de la cybermenace importante elle-même. »
Dans le cas où l’entité victime de l’incident important est le prestataire de services informatiques lui-même et qu’il entre dans le champ d’application de la directive, il sera donc de la responsabilité de cette entité de notifier cet incident important à l’autorité nationale compétente et à tous les destinataires de ses services si cet incident est susceptible de nuire à la fourniture de leurs services.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 27/06/2024
Merci !