Quels sont les critères pour déterminer si mon entité est victime d'un incident important ?
La directive demande aux entités essentielles et importantes de déclarer tout incident ayant un « impact important » sur la fourniture de leurs services et activités. Quels sont les critères pour déterminer si mon entité est victime d’un « incident important » ?
Un incident est défini par la directive à l’article 6.6 comme « un événement compromettant :
- la disponibilité,
- l’authenticité,
- l’intégrité
- ou la confidentialité
des données stockées, transmises ou faisant l’objet d’un traitement, ou des services [des entités essentielles ou importantes] que les réseaux et systèmes d’information offrent ou rendent accessibles ».
Il est qualifié d’« important » – et doit donc être notifié par l’entité à l'autorité nationale compétente ainsi qu’aux destinataires des services fournis par l’entité – si, selon l’article 23.3 de la directive NIS2 :
« a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.»
Les Etats membres de l’Union européenne et l'ENISA (« European Union Agency for Network and Information Security » ou « Agence de l’Union européenne pour la cybersécurité ») travaillent en étroite collaboration afin de publier des lignes directrices communes qui permettront de définir une terminologie ainsi que des critères objectifs pour les incidents.
Un décret en Conseil d’Etat fixera les modalités d’application de la déclaration des incidents importants et précisera notamment la procédure applicable et les critères d’appréciation du caractère important des incidents.
Concernant certains types d’entité (fournisseurs de service DNS, registres des noms de domaine de premier niveau, fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux), des actes d’exécution de la Commission européenne préciseront plus en détail les cas dans lesquels un incident est considéré comme important.
Par ailleurs, afin de mieux prévenir et réagir aux cybermenaces, la directive prévoit la possibilité pour les entités n’entrant pas dans son champ d’application de déclarer également à l’autorité nationale compétente leurs incidents importants, les cybermenaces ou les incidents évités.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Un incident est défini par la directive à l’article 6.6 comme « un événement compromettant :
- la disponibilité,
- l’authenticité,
- l’intégrité
- ou la confidentialité
des données stockées, transmises ou faisant l’objet d’un traitement, ou des services [des entités essentielles ou importantes] que les réseaux et systèmes d’information offrent ou rendent accessibles ».
Il est qualifié d’« important » – et doit donc être notifié par l’entité à l'autorité nationale compétente ainsi qu’aux destinataires des services fournis par l’entité – si, selon l’article 23.3 de la directive NIS2 :
« a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.»
Les Etats membres de l’Union européenne et l'ENISA (« European Union Agency for Network and Information Security » ou « Agence de l’Union européenne pour la cybersécurité ») travaillent en étroite collaboration afin de publier des lignes directrices communes qui permettront de définir une terminologie ainsi que des critères objectifs pour les incidents.
Un décret en Conseil d’Etat fixera les modalités d’application de la déclaration des incidents importants et précisera notamment la procédure applicable et les critères d’appréciation du caractère important des incidents.
Concernant certains types d’entité (fournisseurs de service DNS, registres des noms de domaine de premier niveau, fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux), des actes d’exécution de la Commission européenne préciseront plus en détail les cas dans lesquels un incident est considéré comme important.
Par ailleurs, afin de mieux prévenir et réagir aux cybermenaces, la directive prévoit la possibilité pour les entités n’entrant pas dans son champ d’application de déclarer également à l’autorité nationale compétente leurs incidents importants, les cybermenaces ou les incidents évités.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 27/06/2024
Merci !