1. Chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, le cas échéant, à son autorité compétente, conformément au paragraphe 4, toute incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) qui a un impact significatif sur la fourniture de leurs services tels que visés au paragraphe 3 (incident significatif). Le cas échéant, les entités concernées notifient, dans les meilleurs délais, aux destinataires de leurs services les incidents significatifs susceptibles d'avoir un impact négatif sur la fourniture de ces services. Chaque État membre veille à ce que ces entités communiquent, entre autres, toute information permettant au CSIRT ou, le cas échéant, à l'autorité compétente de déterminer l'impact transfrontalier de l'incident. Le simple fait de notifier n'a pas pour effet d'assujettir l'entité notifiante à une obligation de notification. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) à une responsabilité accrue.
Lorsque les entités concernées notifient un incident significatif à l'autorité compétente en vertu du premier alinéa, l'État membre veille à ce que cette autorité compétente transmette la notification au CSIRT dès réception.
En cas d'incident significatif transfrontalier ou transsectoriel, les États membres veillent à ce que leurs points de contact uniques reçoivent en temps utile les informations pertinentes notifiées conformément au paragraphe 4.
2. Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une une cybermenace importanteMenace cybernétique importante désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le réseau et les systèmes d'information d'une entité ou sur les utilisateurs des services de l'entité en causant des dommages matériels ou immatériels considérables ; - désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible de causer des dommages matériels ou immatériels considérables. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les mesures ou remèdes que ces destinataires sont en mesure de prendre en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace significative elle-même.
3. Un incident est considéré comme significatif si :
(a) il a causé ou est susceptible de causer une grave perturbation opérationnelle des services ou une perte financière pour l'entité concernée ;
(b) il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en leur causant un préjudice matériel ou moral considérable.
4. Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent au CSIRT ou, le cas échéant, à l'autorité compétente :
(a) sans délai excessif et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l'incident significatif, une alerte rapide qui, le cas échéant, indique si l'incident significatif est suspecté d'être causé par des actes illicites ou malveillants ou s'il pourrait avoir une incidence transfrontalière ;
(b) sans délai excessif et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l'incident significatif, une notification d'incident qui, le cas échéant, met à jour les informations visées au point a) et indique une première évaluation de l'incident significatif, y compris sa gravité et son impact, ainsi que, lorsqu'ils sont disponibles, les indicateurs de compromission ;
(c) à la demande d'un CSIRT ou, le cas échéant, de l'autorité compétente, un rapport intermédiaire sur les mises à jour pertinentes de l'état d'avancement ;
(d) un rapport final, au plus tard un mois après l'envoi de la notification d'incident visée au point b), comprenant les éléments suivants :
(i) une description détaillée de l'incident, y compris sa gravité et son impact ;
(ii) le type de menace ou de cause profonde susceptible d'avoir déclenché l'incident ;
(iii) les mesures d'atténuation appliquées et en cours ;
(iv) le cas échéant, l'impact transfrontalier de l'incident ;
(e) en cas d'incident en cours au moment de la présentation du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent un rapport d'avancement à ce moment-là et un rapport final dans un délai d'un mois sur la manière dont elles ont traité l'incident.
Par dérogation au premier alinéa, point b), un prestataire de services fiduciairesPrestataire de services fiduciaires désigne une personne physique ou morale qui fournit un ou plusieurs services de confiance en tant que prestataire de services de confiance qualifié ou non qualifié - Définition selon l'article 3, point (19), du règlement (UE) n° 910/2014. informe le CSIRT ou, le cas échéant, l'autorité compétente, en cas d'incident significatif ayant une incidence sur la prestation de ses services de confiance, sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l'incident significatif.
5. Le CSIRT ou l'autorité compétente fournit, sans retard injustifié et si possible dans les 24 heures suivant la réception de l'alerte rapide visée au paragraphe 4, point a), une réponse à l'entité notifiante, y compris un premier retour d'information sur l'incident significatif et, à la demande de l'entité, des orientations ou des conseils opérationnels sur la mise en œuvre d'éventuelles mesures d'atténuation. Lorsque le CSIRT n'est pas le destinataire initial de la notification visée au paragraphe 1, les orientations sont fournies par l'autorité compétente en coopération avec le CSIRT. Le CSIRT fournit une assistance technique supplémentaire si l'entité concernée en fait la demande. Lorsque l'incident significatif est soupçonné d'être de nature criminelle, le CSIRT ou l'autorité compétente fournit également des orientations sur la notification de l'incident significatif aux autorités chargées de l'application de la loi.
6. Le cas échéant, et en particulier lorsque l'incident significatif concerne deux États membres ou plus, le CSIRT, l'autorité compétente ou le point de contact unique informe, sans délai excessif, les autres États membres affectés et l'ENISA de l'incident significatif. Cette information doit inclure le type d'information reçu conformément au paragraphe 4. Ce faisant, le CSIRT, l'autorité compétente ou le point de contact unique préserve, conformément au droit de l'Union ou au droit national, la sécurité et les intérêts commerciaux de l'entité ainsi que la confidentialité des informations fournies.
7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident significatif ou pour faire face à un incident significatif en cours, ou lorsque la divulgation de l'incident significatif est par ailleurs dans l'intérêt public, le CSIRT d'un État membre ou, le cas échéant, son autorité compétente et, s'il y a lieu, les CSIRT ou les autorités compétentes des autres États membres concernés, peuvent, après avoir consulté l'entité concernée, informer le public de l'incident significatif ou exiger de l'entité qu'elle le fasse.
8. À la demande du CSIRT ou de l'autorité compétente, le point de contact unique transmet les notifications reçues en application du paragraphe 1 aux points de contact uniques des autres États membres concernés.
9. Le point de contact unique doit soumettre à l'ENISA tous les trois mois un rapport de synthèse, comprenant des données anonymes et agrégées sur les incidents significatifs, les incidents, les cyber-menaces et les quasi-incidents notifiés conformément au paragraphe 1 du présent article et à l'article 30. Afin de contribuer à la fourniture d'informations comparables, l'ENISA peut adopter des orientations techniques sur les paramètres des informations à inclure dans le rapport de synthèse. L'ENISA informe le groupe de coopération et le réseau des CSIRTs de ses conclusions sur les notifications reçues tous les six mois.
10. Les CSIRT ou, le cas échéant, les autorités compétentes fournissent aux autorités compétentes en vertu de la directive (UE) 2022/2557 des informations sur les incidents, incidents, cybermenaces et quasi-incidents significatifs notifiés conformément au paragraphe 1 du présent article et à l'article 30 par des entités considérées comme des entités critiques en vertu de la directive (UE) 2022/2557.
11. La Commission peut adopter des actes d'exécution précisant le type d'informations, le format et la procédure d'une notification soumise en vertu du paragraphe 1 du présent article et de l'article 30 et d'une communication soumise en vertu du paragraphe 2 du présent article.
Au plus tard le 17 octobre 2024, la Commission, en ce qui concerne les fournisseurs de services DNS, les registres de noms TLD, service d'informatique en nuageService d'informatique en nuage désigne un service numérique qui permet l'administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) fournisseurs, service de centre de donnéesService de centre de données Un service qui englobe des structures, ou groupes de structures, dédiées à l'hébergement centralisé, à l'interconnexion et à l'exploitation d'équipements informatiques et de réseaux fournissant des services de stockage, de traitement et de transport de données, ainsi que tous les équipements et infrastructures de distribution d'énergie et de contrôle de l'environnement. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) fournisseurs, réseau de diffusion de contenuRéseau de diffusion de contenu désigne un réseau de serveurs répartis géographiquement dans le but d'assurer la haute disponibilité, l'accessibilité ou la fourniture rapide de contenus et de services numériques aux utilisateurs de l'internet pour le compte de fournisseurs de contenus et de services. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, adoptent des actes d'exécution précisant davantage les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. La Commission peut adopter de tels actes d'exécution en ce qui concerne d'autres entités essentielles et importantes.
La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d'actes d'exécution visés aux premier et deuxième alinéas du présent paragraphe, conformément à l'article 14, paragraphe 4, point e).
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 39, paragraphe 2.