À partir de quand l’horloge du délai de déclaration commence-t-elle vraiment à ticter ?
7 Min. Temps de lecture
Quatre heures. C’est le peu de temps que DORA laisse à une entreprise financière pour signaler un incident informatique grave à l’autorité de surveillance. NIS2 donne 24 heures, le RGPD 72 heures. Trois réglementations, trois horloges, et la question la plus importante est rarement posée à temps : à partir de quand exactement commence-t-elle à courir ?
Les points clés en bref
- Échelonnement clair : DORA exige la déclaration initiale dans les 4 heures, NIS2 la pré-alerte dans les 24 heures, le RGPD la déclaration dans les 72 heures. DORA est l’horloge la plus stricte.
- Le point de départ décide : NIS2 et le RGPD comptent à partir de la connaissance de l’incident, DORA à partir de la classification comme grave. Qui fixe mal le point de départ, perd des heures.
- Un incident, plusieurs horloges : Un cas de ransomware avec des données client peut déclencher NIS2, DORA et le RGPD simultanément. Les délais courent en parallèle, et non de manière séquentielle.
- La première heure appartient au processus : Qui ne clarifie qu’en cas d’urgence, qui évalue et déclare, a déjà perdu le délai le plus court.
Lié :NIS2 après la date limite : La surveillance BSI commence maintenant / Le plan d’urgence que personne n’a testé
Les trois délais en parallèle
Qui travaille dans une entreprise réglementée connaît généralement les différents délais. Rarement, ils sont clairement définis et alignés. C’est précisément cela qui se révèle problématique en cas d’urgence, lorsque trois réglementations entrent en vigueur simultanément et que chacune apporte son propre chronomètre.
Quel est le délai de notification en cas d’incident de sécurité ? Il s’agit de la période légalement définie pendant laquelle une entreprise doit signaler un incident pertinent à l’autorité compétente. Elle commence avec un déclencheur défini légalement, selon la réglementation, la connaissance ou la classification de l’incident. L’attaque elle-même ne déclenche pas encore l’horloge.
| Réglementation | Premier délai | L’horloge démarre à partir de | Destinataire |
|---|---|---|---|
| DORA | 4 heures | Classification comme grave | BaFin |
| NIS2 | 24 heures (alerte précoce) | Connaissance de l’incident | BSI |
| RGPD | 72 heures | Connaissance de la violation de données | Autorité de contrôle des données |
Derrière chaque premier délai se cache une cascade. NIS2 exige, après l’alerte précoce de 24 heures, une notification détaillée dans les 72 heures et un rapport final après un mois. DORA suit le même schéma avec une notification intermédiaire après 72 heures et une conclusion après un mois. Le premier délai n’est donc pas un point final, mais le départ d’un rapport à plusieurs étapes.
Si un incident relève de l’une des trois horloges, cela dépend du champ d’application. NIS2 s’applique à des établissements essentiels et importants dans dix-huit secteurs, de l’énergie à la santé en passant par les services numériques. DORA s’applique spécifiquement au secteur financier et à ses prestataires de services IKT. Le RGPD s’applique indépendamment du secteur dès lors que des données personnelles sont concernées. De nombreuses entreprises sous-estiment qu’elles relèvent de plusieurs régimes. Un prestataire de services de paiement doit satisfaire aux trois à la fois, un hôpital à NIS2 et au RGPD.
Quand l’horloge commence à tourner
C’est ici que la plupart des plans vacillent. Le délai ne démarre pas avec la première entrée de journal suspecte. Il commence avec un moment défini légalement. Pour NIS2 et le RGPD, c’est la connaissance : le moment où l’entreprise sait avec une certitude suffisante qu’un incident déclarable se produit. Pour DORA, c’est la classification comme incident grave, qui doit elle-même intervenir rapidement après la découverte.
La différence semble académique, mais dans la réalité, elle coûte du temps. Une équipe de sécurité qui voit une anomalie à 02:00 heures n’a pas encore connaissance au sens juridique. Dès que l’analyse confirme l’incident, le départ est donné et l’horloge ne peut pas être remontée. Qui retarde la classification pour préserver le délai s’expose rapidement à des reproches de notification retardée lors d’un contrôle.
Dans la pratique, cela signifie que la définition de la connaissance et de la classification doit être fixée par écrit à l’avance, avec des seuils clairs et une personne désignée qui décide. Qui clarifie cette question uniquement lors de l’incident brûle précisément les minutes que DORA ne donne pas du tout.
Lorsque plusieurs montres fonctionnent en même temps
Le cas le plus désagréable n’est pas rare. Une attaque de ransomware contre un prestataire de services de paiement chiffre les systèmes et exfiltre les données des clients. Dès que l’équipe détecte et évalue l’incident, trois montres fonctionnent simultanément : DORA en raison de l’incident grave lié aux TIC, NIS2 en raison de la perturbation des services essentiels et le RGPD en raison des données personnelles concernées.
Les délais s’écoulent en parallèle, à des rythmes différents et auprès d’autorités différentes. Coordonner plusieurs notifications distinctes provenant de différentes équipes sous pression est la façon la plus fiable de manquer au moins un délai. Il est plus judicieux d’avoir un seul déclencheur interne qui enclenche simultanément les trois voies de notification et prépare les champs nécessaires.
Ce qui est souvent négligé dans l’effervescence est la documentation. Chaque autorité de contrôle s’attend plus tard à une chronologie compréhensible : quand l’incident a été découvert, quand il a été évalué et quand il a été signalé. Quiconque reconstitue cette chronologie après coup se retrouve rapidement en difficulté d’explication. Un protocole qui démarre dès la première minute protège donc le mieux contre l’accusation de notification retardée et fournit les preuves nécessaires lors de l’audit.
Le workflow pour la première heure
La montre la plus stricte dicte le rythme. Quiconque est prêt pour le délai de 4 heures de DORA tient les autres de toute façon. Quatre étapes doivent être pratiquées à l’avance, longtemps avant la situation d’urgence.
- Évaluation immédiate par un rôle désigné. Une personne définie à l’avance décide sur la base de seuils clairs si un incident est soumis à notification et grave. Pour DORA, cette évaluation déclenche le délai, pour NIS2 et le RGPD, elle fixe le moment de la connaissance. Ainsi, la montre fonctionne à partir d’un moment documenté.
- Voies de notification prêtes à l’emploi. Les accès au portail de notification de la BaFin, à la plateforme du BSI et à l’autorité de contrôle des données sont disponibles avant l’incident, avec les coordonnées et les modèles avec les champs obligatoires.
- Un déclencheur pour tous les régimes. Un processus interne vérifie automatiquement pour chaque incident confirmé lequel des trois obligations s’applique et enclenche les notifications appropriées.
- Première notification avant la complétude. La première notification ne nécessite pas d’analyse terminée. Une notification courte et honnête dans les délais est préférable à une notification parfaite mais retardée. Les détails suivent dans l’étape de notification suivante.
Cela est pratiqué lors d’un exercice de table, où la montre fonctionne réellement. Ce n’est qu’à ce moment-là que l’on voit si l’évaluation peut être faite en minutes ou si l’équipe discute encore tandis que le délai de DORA s’écoule. La leçon de la plupart des exercices est la même : ce n’est pas la technique qui manque, mais la décision exercée.
Foire aux questions
À partir de quand la période de 24 heures de NIS2 commence-t-elle ?
Le délai commence avec la connaissance d’un incident de sécurité significatif, c’est-à-dire le moment où l’entreprise sait avec une certitude suffisante qu’un incident soumis à notification s’est produit. Dans les 24 heures, la notification préliminaire au BSI est due.
Pourquoi DORA est-elle si stricte avec 4 heures ?
DORA s’adresse au secteur financier, dans lequel une panne informatique peut avoir des conséquences systémiques rapides. C’est pourquoi il exige la première notification à la BaFin dans les 4 heures suivant l’évaluation comme incident grave, nettement plus serré que les 24 heures pour NIS2.
Dois-je signaler le même incident plusieurs fois ?
Oui, si cela déclenche plusieurs régimes. Une attaque de ransomware avec exfiltration de données peut concerner simultanément DORA, NIS2 et le RGPD. Les notifications vont à différentes autorités et devraient être déclenchées en parallèle via un processus interne coordonné.
Qu’est-ce qui compte comme point de départ, connaissance ou découverte ?
Juridiquement, pour NIS2 et le RGPD, c’est la connaissance confirmée qui compte, c’est-à-dire le moment où l’analyse confirme l’incident. Un premier soupçon ne suffit pas. Pour DORA, c’est l’évaluation comme grave qui est pertinente, qui doit être faite rapidement après la découverte et ne doit pas être retardée.
Que se passe-t-il si je manque un délai ?
Les délais de notification manqués peuvent entraîner des amendes et, pour NIS2, également la responsabilité personnelle de la direction. Les autorités de contrôle apprécient généralement une notification retardée ou omise plus sévèrement qu’un incident signalé ouvertement.
Conseils de lecture de la rédaction
- Conformité NIS2 dans les PME : étapes réalisables, erreurs à éviter
- NIS2 sera mis en vigueur : premières procédures, responsabilité personnelle
- MFA adaptatif dans l’audit NIS2 : quand la politique est utile pour la preuve
Plus d’articles du réseau MBF Media
Source de l’image : Unsplash / FlyD
