La procédure de notification des incidents de cybersécurité à l'ANSSI est l'une des obligations les plus opérationnelles et les plus contraignantes introduites par la directive NIS 2 (UE 2022/2555). Contrairement aux obligations de gouvernance ou de gestion des risques, qui peuvent être déployées progressivement, la notification d'incident significatif impose des délais non négociables : 24 heures pour l'alerte initiale, 72 heures pour le rapport intermédiaire, et un mois pour le rapport final. Ces délais courent dès la détection de l'incident, pas dès sa qualification. Cela signifie que votre processus de notification doit être formalisé, testé et opérationnel avant qu'un incident ne survienne — et non au moment de la crise. Ce template Word, conforme au Référentiel Cyber France (ReCyF ANSSI, mars 2026), fournit l'intégralité du workflow de gestion et notification des incidents significatifs, des formulaires pré-remplis pour chaque étape, et une liste complète des critères permettant de qualifier un incident comme "significatif" au sens de l'article 6 de la directive. Il s'adresse aux RSSI, DSI, équipes SOC et DPO des entités essentielles et importantes soumises à NIS 2 en France.

⚡ À retenir — Procédure notification incidents NIS 2

L'article 23 de la directive NIS 2 impose une notification en trois temps stricts : alerte initiale (early warning) sous 24 heures, rapport d'incident intermédiaire sous 72 heures, rapport final sous 1 mois. Ce template Word documente le workflow complet de détection à clôture, identifie les seuils de déclenchement (incident significatif au sens de l'article 6), liste les destinataires obligatoires (ANSSI + autorités sectorielles) et fournit les formulaires pré-remplis compatibles avec MonEspaceNIS2.

📥 Télécharger le template gratuit

CONFORMITÉ procedure-notification-incidents-anssi-24h-72h-nis-2 ÉTAPES / CONTRÔLES 1 Le cadre réglementaire : article 23 NIS 2 et… 2 Qu'est-ce qu'un incident significatif selon… 3 Le workflow de notification en 3 temps … 4 Les destinataires de la notification : ANSSI… 5 Intégration avec votre processus de gestion… EXIGENCES CLÉS procédure de notification des… article 23 de la directive NIS 2 Référentiel Cyber France (ReCyF) incident significatif Impact sur la disponibilité ayinedjimi-consultants.fr

Le cadre réglementaire : article 23 NIS 2 et ReCyF ANSSI

L'article 23 de la directive NIS 2 constitue le socle réglementaire de la notification d'incidents. Il impose aux entités essentielles et importantes de notifier à leur autorité compétente nationale — en France, l'ANSSI — tout incident susceptible d'avoir un impact significatif sur leurs services. Le terme "significatif" est défini à l'article 6 de la directive et repris dans le ReCyF ANSSI publié le 17 mars 2026.

Le Référentiel Cyber France (ReCyF) constitue la déclinaison française des exigences NIS 2. Sa mesure 6 est entièrement consacrée à la gestion et la notification des incidents. Elle précise notamment les canaux de communication avec l'ANSSI, le format attendu des rapports, et les obligations de coordination avec les autorités sectorielles (ABE pour la finance, HAS pour la santé, ART pour les télécoms, etc.).

En parallèle des obligations NIS 2, certaines entités sont soumises à d'autres régimes de notification : le RGPD (article 33 pour les violations de données à caractère personnel, délai de 72h à la CNIL), DORA pour les entités financières (incidents opérationnels TIC), et les exigences sectorielles spécifiques. Notre template intègre un tableau de correspondance permettant d'éviter les doubles déclarations et d'harmoniser les notifications.

Qu'est-ce qu'un incident significatif selon NIS 2 ?

La notion d'incident significatif est centrale dans le dispositif de notification NIS 2. Un incident est qualifié de significatif lorsqu'il remplit au moins l'un des critères suivants, définis à l'article 6 de la directive et précisés par le ReCyF :

Critère Description Exemple concret
Impact sur la disponibilité Interruption prolongée des services essentiels Indisponibilité SIH hospitalier > 4 heures
Impact financier Perte financière directe significative Rançongiciel avec demande > 500 k€
Personnes affectées Nombre significatif d'utilisateurs touchés Fuite de données de > 5 000 clients
Réputation/confiance Atteinte à la réputation de l'entité ou du secteur Défacement d'un site gouvernemental
Impact géographique Étendue géographique importante Incident affectant plusieurs régions ou États membres

Un incident qui ne remplit aucun de ces critères reste un incident "ordinaire" relevant des procédures internes de gestion des incidents, sans obligation de notification à l'ANSSI. Cependant, il est crucial de documenter la justification de non-notification pour démontrer la bonne application des critères lors d'un contrôle.

Le workflow de notification en 3 temps : mode d'emploi détaillé

La directive NIS 2 impose une architecture en trois étapes successives, chacune avec un contenu et un délai distincts. La maîtrise de ce workflow est déterminante : un retard dans la notification initiale expose l'entité à des sanctions immédiates, indépendamment de la qualité de la gestion technique de l'incident.

  1. Early warning — Alerte initiale (délai : 24h après détection)
    Contenu minimal requis par le ReCyF : nature de l'incident (type d'attaque si connu), date et heure de détection, systèmes affectés (sans détail sensible), impact immédiat constaté, mesures de confinement déjà prises, confirmation ou infirmation d'une origine malveillante. Le canal de notification est le portail MonEspaceNIS2 de l'ANSSI, disponible sur monespacenis2.cyber.gouv.fr. En cas d'indisponibilité du portail, l'ANSSI dispose d'une ligne d'astreinte 24h/24.
  2. Rapport intermédiaire (délai : 72h après détection)
    Ce rapport approfondi doit contenir : l'analyse technique préliminaire de l'incident (vecteur d'attaque probable, systèmes compromis, données affectées), l'évaluation de la sévérité selon la matrice NIS 2, les mesures de remédiation engagées et leur statut, l'impact sur les tiers (clients, fournisseurs, partenaires), et le plan de continuité activé. Si l'analyse est encore en cours, le rapport doit l'indiquer explicitement et estimer le délai de finalisation.
  3. Rapport final (délai : 1 mois après détection)
    Le rapport de clôture constitue la pièce la plus importante du dossier. Il doit documenter : l'analyse complète des causes profondes (root cause analysis), la chronologie détaillée de l'incident, les mesures correctives définitives déployées, les leçons apprises et les améliorations du plan de réponse aux incidents, et la justification des délais si des extensions ont été accordées par l'ANSSI. Ce rapport est conservé dans votre dossier de conformité NIS 2 et peut être demandé par l'ANSSI lors d'un audit.

Les destinataires de la notification : ANSSI et autorités sectorielles

La notification NIS 2 n'est pas adressée uniquement à l'ANSSI. Selon votre secteur d'activité, des autorités sectorielles compétentes doivent également être informées, parfois avec des délais et des formats différents.

  • Secteur financier : Autorité Bancaire Européenne (ABE), Autorité de Contrôle Prudentiel et de Résolution (ACPR), Autorité des marchés financiers (AMF). DORA s'applique en parallèle avec ses propres délais de notification.
  • Secteur santé : Haute Autorité de Santé (HAS), Agence du numérique en santé (ANS). Les incidents affectant les données de santé déclenchent également la notification RGPD à la CNIL.
  • Secteur énergie : Commission de Régulation de l'Énergie (CRE) + notification à la Direction Générale de l'Énergie et du Climat (DGEC) pour les incidents majeurs.
  • Secteur transports : Direction générale des Infrastructures, des Transports et de la Mer (DGITM), selon le sous-secteur concerné.
  • Secteur eau : Préfectures + Agences de l'eau selon la nature de l'incident.

Notre template inclut une matrice de routage des notifications par secteur, permettant d'identifier rapidement les destinataires obligatoires et les délais applicables à chaque autorité.

Intégration avec votre processus de gestion des incidents existant

La notification NIS 2 ne remplace pas votre processus interne de gestion des incidents de sécurité informatique — elle s'y greffe. Pour être efficace, la procédure de notification doit être intégrée dans votre SIRP (Security Incident Response Plan) existant dès le niveau de triage.

La démarche recommandée par le ReCyF ANSSI est la suivante : lors de la phase de qualification d'un incident, un arbre de décision doit évaluer simultanément la gravité technique (pour prioriser la réponse) et le caractère "significatif" (pour déclencher ou non la notification réglementaire). Ces deux évaluations sont distinctes : un incident techniquement grave peut ne pas remplir les critères de notification NIS 2, et inversement, un incident de gravité technique modérée peut nécessiter une notification si l'impact fonctionnel est important.

Notre template documente cet arbre de décision et les seuils de qualification, conformément aux recommandations du ReCyF ANSSI 2026.

Formation et tests de la procédure : un prérequis NIS 2

L'article 21.2.b de NIS 2 exige que les entités mettent en place des procédures de gestion des incidents et les testent régulièrement. Cette exigence va bien au-delà de la rédaction d'une procédure : elle impose une vérification périodique de son caractère opérationnel.

Le ReCyF ANSSI recommande au minimum :

  • Un exercice de crise cyber annuel incluant la simulation d'une notification ANSSI (scénario rançongiciel ou exfiltration de données)
  • Une revue de la procédure après chaque incident réel, même non significatif, pour identifier les améliorations
  • Une formation annuelle des équipes impliquées dans la chaîne de notification (SOC, RSSI, juristes, Direction générale)
  • Des contacts ANSSI mis à jour et testés au moins semestriellement (numéro d'astreinte, adresse email officielle, accès MonEspaceNIS2)

Consulter notre plan de formation dirigeants NIS 2 pour intégrer cet exercice dans votre programme de sensibilisation annuel. La formation des salariés à la cybersécurité est également un prérequis pour réduire les risques d'incident à la source.

Coordination avec le DPO et la notification RGPD

Lorsqu'un incident NIS 2 implique des données à caractère personnel, deux régimes de notification s'appliquent simultanément et doivent être coordonnés :

  • NIS 2 (article 23) : notification à l'ANSSI sous 24h puis 72h, portant sur l'impact cyber global
  • RGPD (article 33) : notification à la CNIL sous 72h, portant spécifiquement sur la violation de données à caractère personnel

Ces deux notifications ne se substituent pas l'une à l'autre. Elles doivent être harmonisées pour éviter les contradictions (notamment sur la chronologie de détection et les données affectées) mais adressées séparément aux autorités compétentes. Le DPO doit être systématiquement impliqué dès la phase de qualification de l'incident pour évaluer l'applicabilité du RGPD.

Notre template inclut une checklist de coordination DPO/RSSI et un tableau de suivi dual NIS 2 / RGPD permettant de centraliser les informations partagées entre les deux notifications.

Sanctions en cas de manquement à l'obligation de notification

Le non-respect des délais et obligations de notification NIS 2 est l'un des manquements les plus sévèrement sanctionnés. L'ANSSI dispose d'un pouvoir de sanction administrative directe, sans passer par le juge judiciaire. Pour les entités essentielles, la sanction maximale est de 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Pour les entités importantes : 7 millions d'euros ou 1,4 % du CA.

Au-delà des amendes, les sanctions peuvent inclure :

  • Publication de la décision de sanction (atteinte à la réputation)
  • Injonction de mise en conformité sous délai contraignant
  • Pour les EE : suspension temporaire de l'exercice de fonctions dirigeantes (article 32 de la directive)
  • Signalement aux autorités sectorielles et aux régulateurs compétents

Il est important de noter que le simple fait d'avoir tenté de notifier dans les délais, même avec un rapport incomplet, est pris en compte positivement par l'ANSSI. La bonne foi et la diligence raisonnable sont des critères atténuants expressément reconnus. C'est pourquoi la formalisation d'une procédure écrite — même si elle n'est pas encore parfaitement rodée — est préférable à l'absence de tout document.

Les erreurs les plus fréquentes dans la notification d'incidents NIS 2

  • Confondre "détection" et "qualification" : le délai de 24h court dès la détection de l'incident, pas dès sa qualification comme significatif. Attendre la fin de l'analyse technique pour notifier est une erreur fréquente qui expose aux sanctions.
  • Notifier uniquement à l'ANSSI : oublier les autorités sectorielles (ACPR, HAS, CRE, etc.) est un manquement distinct de la non-notification ANSSI.
  • Ne pas documenter la décision de non-notification : si un incident ne répond pas aux critères de significativité, cette décision doit être tracée et justifiée par écrit pour pouvoir être défendue lors d'un audit.
  • Communiquer publiquement avant de notifier : toute communication externe (presse, clients, réseaux sociaux) doit être coordonnée avec l'ANSSI pour ne pas compromettre l'enquête technique ni créer des contradictions avec le rapport officiel.
  • Négliger les impacts sur les tiers : si l'incident affecte des sous-traitants ou des clients, leur notification doit également être documentée et coordonnée.

Ce que contient le template Word : description détaillée

Le template de procédure de notification est organisé en sept sections distinctes, correspondant aux différentes phases de gestion d'un incident significatif NIS 2 :

  1. Champ d'application et définitions : périmètre de la procédure, définition d'un incident significatif NIS 2, acteurs impliqués et leurs rôles (RSSI, DPO, DSI, Direction générale, juristes).
  2. Arbre de décision — qualification de l'incident : matrice de critères permettant de déterminer si un incident doit être notifié à l'ANSSI (significatif) ou traité uniquement en interne.
  3. Formulaire Early Warning (24h) : template du rapport d'alerte initiale avec tous les champs requis par l'ANSSI, pré-renseignés avec les informations d'identification de votre entité.
  4. Formulaire Rapport intermédiaire (72h) : template du rapport approfondi avec les sections d'analyse technique, d'impact et de remédiation.
  5. Formulaire Rapport final (1 mois) : template du rapport de clôture avec root cause analysis et leçons apprises.
  6. Matrice de notification sectorielle : tableau des autorités sectorielles par secteur NIS 2 avec délais et contacts officiels.
  7. Journal des incidents : registre de traçabilité permettant de consigner tous les incidents traités, notifiés ou non, avec les justifications correspondantes.

Articulation avec les autres mesures NIS 2

La procédure de notification ne peut fonctionner efficacement qu'en articulation avec les autres mesures NIS 2. Trois mesures sont particulièrement interdépendantes :

  • Mesure 3 — Continuité d'activité : un PRA/PCA opérationnel est nécessaire pour garantir la disponibilité des systèmes de notification même en cas d'incident majeur affectant votre infrastructure.
  • Mesure 5 — Sécurité de la chaîne d'approvisionnement : la cartographie de vos sous-traitants critiques permet d'évaluer rapidement les impacts en cascade lors d'un incident.
  • Mesure 7 — Politiques de sécurité : la politique de gouvernance NIS 2 doit désigner explicitement les responsables de la notification et leurs suppléants, avec délégations de signature formalisées.

Pour un pilotage global de votre conformité NIS 2, utilisez le tableau de bord KPI NIS 2 qui inclut des indicateurs spécifiques à la mesure 6 (gestion des incidents) : délai moyen de détection, taux de qualification correcte des incidents, et conformité des rapports de notification.

FAQ — Procédure de notification d'incidents ANSSI NIS 2

Quel est le point de départ du délai de 24h pour la notification NIS 2 ?

Le délai de 24 heures court à partir du moment où l'entité "a connaissance" de l'incident, c'est-à-dire dès qu'un membre de l'équipe de sécurité ou tout employé identifie un événement anormal susceptible de constituer un incident de sécurité. Il ne court pas à partir de la qualification formelle de l'incident comme "significatif". Cette distinction est fondamentale : si vous détectez une anomalie à 14h00 et que votre analyse prend jusqu'à 16h00 pour confirmer l'incident, le délai de 24h a déjà commencé à courir à 14h00. C'est pourquoi le processus de triage doit intégrer une évaluation immédiate du potentiel de significativité NIS 2.

Que se passe-t-il si l'incident évolue entre le rapport de 24h et celui de 72h ?

Les rapports NIS 2 sont des documents progressifs. Il est normal que l'analyse s'affine entre l'alerte initiale et le rapport intermédiaire. Si de nouvelles informations révèlent que l'incident est plus grave que prévu (ou moins grave), cela doit être documenté dans le rapport de 72h avec une explication de l'évolution de l'évaluation. L'ANSSI attend de la transparence, pas de la perfection. Un rapport de 24h sobre et factuel, suivi d'un rapport de 72h approfondi, est préférable à un rapport de 24h retardé par la recherche d'exhaustivité.

La notification NIS 2 à l'ANSSI remplace-t-elle la déclaration CNIL en cas de violation de données ?

Non. Ce sont deux obligations distinctes reposant sur des fondements juridiques différents. La notification RGPD (article 33) porte sur les violations de données à caractère personnel et est adressée à la CNIL dans un délai de 72h. La notification NIS 2 (article 23) porte sur les incidents de sécurité ayant un impact significatif sur les services et est adressée à l'ANSSI. Ces deux notifications peuvent être parallèles si l'incident implique à la fois un impact fonctionnel significatif et une violation de données personnelles. Notre template inclut un tableau de coordination permettant de gérer les deux obligations simultanément.

Comment notifier un incident si notre accès à MonEspaceNIS2 est lui-même compromis ?

L'ANSSI a prévu des canaux de notification alternatifs en cas d'indisponibilité du portail MonEspaceNIS2. Les entités peuvent notifier par email à l'adresse officielle de l'ANSSI ou par téléphone via la ligne d'astreinte 24h/24. Ces coordonnées doivent être intégrées dans votre procédure de notification et stockées hors ligne (sur papier ou dans un système non connecté) pour être accessibles même en cas d'incident majeur affectant votre infrastructure. Notre template prévoit une page "Contacts d'urgence" à imprimer et conserver physiquement.

Quels types d'incidents cyber déclenchent systématiquement une notification NIS 2 ?

Certains types d'incidents sont présumés significatifs selon les guidelines ENISA et le ReCyF ANSSI : les attaques par rançongiciel avec chiffrement effectif des systèmes de production, les exfiltrations de données massives (critère quantitatif à apprécier selon votre secteur), les compromissions d'infrastructure critique (Active Directory, systèmes SCADA/OT), les attaques par déni de service distribué (DDoS) ayant entraîné une indisponibilité significative, et toute compromission confirmée par un acteur étatique. Pour les incidents moins caractérisés, l'arbre de décision de notre template guide la qualification.

Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.

Conclusion — Une procédure opérationnelle avant l'incident, pas pendant

La procédure de notification d'incidents ANSSI est l'un des rares outils de conformité NIS 2 qui doit être parfaitement opérationnel avant d'en avoir besoin. Une notification tardive ou incomplète en pleine crise cyber ajoute un risque réglementaire à un risque opérationnel déjà maximal. En formalisant cette procédure aujourd'hui, en la testant régulièrement, et en formant vos équipes à son utilisation, vous réduisez simultanément votre risque de sanction ANSSI et votre temps de réponse en cas d'incident. Complétez cette démarche avec notre guide complet NIS 2 pour les entreprises et le plan de mise en conformité NIS 2 sur 12 mois pour structurer l'ensemble de votre démarche.

Surveillance proactive et threat intelligence : anticiper avant de devoir notifier

La meilleure gestion d'une notification NIS 2 est celle qu'on n'a pas à faire, parce qu'on a détecté et contenu l'incident avant qu'il ne devienne significatif. Le ReCyF ANSSI mesure 6 insiste sur la capacité de détection proactive comme prérequis à une notification rapide. Les entités disposant d'un SOC (Security Operations Center) fonctionnel — interne ou externalisé — détectent les incidents en moyenne 4 fois plus vite que les entités sans capacité de surveillance dédiée. Cette détection précoce permet à la fois de contenir l'impact de l'incident et de disposer de plus de temps pour préparer la notification ANSSI dans les délais réglementaires. Pour les entités ne disposant pas de SOC, des solutions intermédiaires existent : abonnement à un service de threat intelligence sectoriel (CERT-FR, cert.ssi.gouv.fr), déploiement d'un EDR managé, ou recours à un MSSP (Managed Security Service Provider) pour une surveillance externalisée. Notre template de procédure intègre les interfaces avec ces solutions externes dans le workflow de notification.

🎯 Besoin d'un accompagnement NIS 2 ?

Ayi NEDJIMI Consultants vous accompagne dans votre mise en conformité NIS 2 : diagnostic d'applicabilité, mise en œuvre des 10 mesures, préparation à l'audit ANSSI. Nos consultants certifiés ISO 27001 Lead Implementer interviennent sur toute la France.