Reglyze
NIS 2 France — notification d'incident

Notifier un incident NIS 2 au CERT-FR : 24 h / 72 h / 1 mois

Sous NIS 2, les entités essentielles et importantes notifient leurs incidents significatifs en trois temps, auprès du CERT-FR : pré-alerte sous 24 heures, notification sous 72 heures, rapport final sous 1 mois.

Transposition en cours

La loi Résilience n'est pas encore promulguée (attendue courant été 2026). L'obligation de notification deviendra pleinement effective à la promulgation et avec ses décrets ; le rythme 24 h / 72 h / 1 mois est celui du cadre NIS 2.

Qu'est-ce qu'un incident « significatif » ?

Un incident est significatif s'il cause ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières, ou s'il affecte d'autres personnes par des dommages importants. Seuls les incidents significatifs déclenchent l'obligation de notification.

La notification en trois temps

sous 24 h
Pré-alerte (alerte précoce)
Sans délai, et au plus tard 24 heures après avoir eu connaissance de l'incident significatif : une première alerte indiquant notamment si l'incident pourrait résulter d'actes malveillants ou avoir un impact transfrontalier.
sous 72 h
Notification
Au plus tard 72 heures après connaissance : une évaluation initiale de l'incident (gravité, impact et, si disponibles, indicateurs de compromission).
sous 1 mois
Rapport final
Au plus tard un mois après la notification : description détaillée, nature de la menace / cause profonde, mesures d'atténuation appliquées et impact transfrontalier éventuel. Si l'incident est toujours en cours, un rapport d'avancement est transmis, puis un rapport final à la clôture.

Les délais courent à compter de la connaissance de l'incident. La notification se fait auprès du CERT-FR (ANSSI), via MesServicesCyber.

Qui notifie, où, et avec quelles suites

  • Qui : les entités essentielles et importantes au sens de NIS 2.
  • Où : auprès du CERT-FR (ANSSI), via MesServicesCyber (l'espace NIS2 intègre et remplace progressivement MonEspaceNIS2).
  • Pré-requis : l'enregistrement de l'entité. Aujourd'hui, seul le pré-enregistrement volontaire est ouvert ; l'enregistrement obligatoire ouvrira à la promulgation.
  • En cas de manquement (provisoire) : selon le projet de loi, l'ANSSI peut prononcer mise en demeure, injonction et astreinte (jusqu'à 5 000 €/jour) ; les amendes (10 M€ / 2 % pour les EE, 7 M€ / 1,4 % pour les EI) relèvent d'une commission des sanctions — chiffres provisoires jusqu'à promulgation.

Questions fréquentes

Quels sont les délais de notification NIS 2 en France ?
Le rythme NIS 2 s'applique en trois temps, auprès du CERT-FR : pré-alerte sous 24 heures, notification sous 72 heures et rapport final sous 1 mois, à compter de la connaissance de l'incident. Ce rythme figure dans le cadre NIS 2 ; sa mise en œuvre opérationnelle en France suit la promulgation de la loi Résilience.
Où notifier un incident ?
Au CERT-FR (ANSSI), via MesServicesCyber, dont l'espace NIS2 intègre et remplace progressivement MonEspaceNIS2. À ce stade, seul le pré-enregistrement volontaire est ouvert ; les canaux et modalités définitifs seront précisés à la promulgation et par les décrets/arrêtés.
Qu'est-ce qu'un incident « significatif » ?
Au sens de NIS 2, un incident est significatif s'il cause ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières, ou s'il affecte ou est susceptible d'affecter d'autres personnes par des dommages importants. Seuls les incidents significatifs déclenchent l'obligation de notification.
Cette obligation s'applique-t-elle déjà ?
La transposition française (loi Résilience) n'est pas encore promulguée (attendue courant été 2026). L'obligation de notification deviendra pleinement effective à la promulgation et avec ses textes d'application. En attendant, structurer dès maintenant le processus 24 h / 72 h / 1 mois permet d'être prêt le jour J.

Préparer la notification avant le premier incident

Reglyze structure vos incidents selon le rythme 24 h / 72 h / 1 mois, conserve le contenu des notifications et documente la piste d'audit — pour que la déclaration soit prête le jour de la promulgation, pas après. Tarifs transparents en euros, hébergement dans l'UE.

Reglyze est une plateforme SaaS de conformité NIS 2 et ne remplace pas un conseil juridique. Les informations reflètent un projet de loi non promulgué. Source officielle : cyber.gouv.fr (ANSSI).