
Modèles gratuits de rapport d'incident NIS2 (2026) — 24 h/72 h/final, Word
Les trois étapes de notification de l'article 23 NIS2 en formulaires prêts à déposer : alerte précoce 24 h, notification 72 h, rapport final à un mois. Pack DOCX gratuit, sans e-mail.
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Modèles de rapport d'incident NIS2 : le pack article 23 gratuit
L'article 23 de NIS2 impose aux entités essentielles et importantes de notifier les incidents importants en trois étapes chronométrées — une alerte précoce sous 24 heures après en avoir eu connaissance, une notification d'incident sous 72 heures et un rapport final sous un mois — chacune avec un contenu obligatoire fixé par l'article 23(4)(a)–(e) de la directive (UE) 2022/2555. Ce pack gratuit livre chaque étape sous forme de formulaire Word prêt à déposer, plus une fiche de registre interne des incidents qui les alimente toutes, avec les critères d'importance du règlement d'exécution (UE) 2024/2690 intégrés aux champs d'évaluation.
Des prestataires vendent exactement ce jeu de documents, et les portails nationaux publient des instructions mais rarement des formulaires réutilisables. Pendant ce temps, le délai qui compte le plus — 24 heures à partir de la connaissance, pas de la confirmation de la cause profonde — est celui que les équipes manquent en rédigeant depuis une page blanche en plein incident. Ce pack — disponible en formulaires DOCX, en PDF compagnon et en fichier Markdown lisible par machine pour les agents IA (les fichiers téléchargeables sont disponibles en français) — est le pendant opérationnel de notre guide sur le délai de 24 heures et comment le tenir, qui explique le problème de capacité ; cette page vous donne les artefacts qui résolvent la moitié rédactionnelle du problème.
À retenir
- Trois étapes chronométrées, une seule horloge : alerte précoce ≤ 24 heures, notification d'incident ≤ 72 heures, rapport final ≤ 1 mois après la notification — le tout compté à partir du moment où l'entité en a connaissance (art. 23(4)).
- L'alerte précoce est délibérément légère : seulement si la cause est suspectée d'être illicite ou malveillante, et si un impact transfrontière est possible. Déposez-la vite ; l'article 23(5) oblige le CSIRT à répondre sous 24 heures avec des orientations.
- « Important » est désormais quantitatif pour les entités numériques : depuis le 7 novembre 2024, le règlement d'exécution (UE) 2024/2690 fixe des déclencheurs concrets — perte directe de 500 000 euros ou 5 % du chiffre d'affaires (le plus bas des deux), exfiltration de secrets d'affaires, incidents récurrents de même cause profonde apparente, et seuils d'indisponibilité par service.
- Le rapport final a quatre éléments obligatoires — description détaillée avec gravité et impact, type de menace ou cause profonde, mesures d'atténuation appliquées et en cours, impact transfrontière — et un incident toujours en cours lui substitue un rapport d'avancement.
- Les mêmes formulaires servent le régime de portail allemand du BSI (NIS2UmsuCG, en vigueur depuis le 6 décembre 2025), l'échelle norvégienne de la digitalsikkerhetsloven et — une fois adopté — le régime britannique 24 h/72 h proposé, parce que les trois suivent la même structure par étapes.
Ce que contient le pack
Le DOCX contient cinq formulaires. Le formulaire 0 est la fiche de registre interne des incidents que vous complétez à la détection — horodatage de prise de connaissance (il démarre toutes les horloges), classification de l'entité, évaluation d'importance au regard de l'article 23(3) ou des critères 2024/2690, et un journal des dépôts pour les références attribuées par l'autorité. Les formulaires 1 à 4 sont les dépôts eux-mêmes : alerte précoce, notification d'incident, rapport intermédiaire/d'avancement et rapport final, chacun avec son ancrage article 23(4) imprimé sur le formulaire et un texte d'aide dans chaque champ. Le PDF reprend le pack pour l'impression et les exercices sur table ; la variante Markdown porte la structure complète des champs avec leurs énumérations, de sorte qu'un agent IA peut rédiger chaque étape à partir de vos données d'incident.
| Formulaire | Délai | Ancrage juridique | Contenu obligatoire |
|---|---|---|---|
| 1 — Alerte précoce | ≤ 24 h après connaissance | Art 23(4)(a) | Cause illicite/malveillante suspectée ; impact transfrontière possible |
| 2 — Notification d'incident | ≤ 72 h après connaissance | Art 23(4)(b) | Mise à jour de l'alerte précoce ; évaluation initiale de la gravité et de l'impact ; indicateurs de compromission si disponibles |
| 3 — Intermédiaire / avancement | Sur demande de l'autorité ; ou à un mois si l'incident perdure | Art 23(4)(c), (e) | Mises à jour pertinentes de l'état ; calendrier prévisionnel |
| 4 — Rapport final | ≤ 1 mois après la notification | Art 23(4)(d) | Description détaillée avec gravité et impact ; type de menace ou cause profonde ; mesures d'atténuation appliquées et en cours ; impact transfrontière |
Comment l'utiliser
Étape 1 — Câblez le formulaire 0 dans votre processus d'incident maintenant, pas pendant un incident. La fiche de registre capture l'horodatage de prise de connaissance qui démarre l'horloge des 24 heures, nomme le commandant d'incident et le responsable des notifications, et porte l'évaluation d'importance. Les équipes qui décident qui notifie et via quel compte de portail avant un incident sont celles qui tiennent le délai ; notre guide sur le plan de réponse aux incidents face au système de gestion explique pourquoi le plan seul n'est pas la capacité.
Étape 2 — Évaluez l'importance au regard du bon test. Partez des deux branches de l'article 23(3). Si vous êtes un prestataire DNS, un registre de TLD, un fournisseur de cloud, de centre de données, de CDN, de services managés (de sécurité), une place de marché en ligne, un moteur de recherche, un réseau social ou un prestataire de services de confiance, appliquez les critères quantitatifs du règlement d'exécution (UE) 2024/2690 — un seul déclencheur de l'article 3 suffit, et les incidents récurrents de même cause profonde apparente s'agrègent sur six mois. Dans le doute, rappelez-vous que l'article 30 permet la notification volontaire des incidents sous le seuil.
Étape 3 — Déposez l'alerte précoce sous 24 heures, en version légère. Deux indications obligatoires, un bloc de contact, une description en deux phrases. N'attendez pas la forensique : c'est la notification à 72 heures qui porte l'évaluation initiale de gravité et d'impact, et la réponse du CSIRT à votre alerte précoce au titre de l'article 23(5) peut la façonner.
Étape 4 — Tenez les destinataires de vos services informés. L'article 23 impose de notifier les destinataires de services affectés négativement par des incidents importants et, pour les cybermenaces importantes, d'indiquer aux destinataires concernés les contre-mesures possibles — et les autorités peuvent ordonner une divulgation publique. Le formulaire 2 porte un champ de communication aux destinataires pour que ce point soit décidé, pas oublié ; un Trust Center donne à ces avis un emplacement permanent et partageable par lien.
Étape 5 — Clôturez avec le rapport final et rebouclez les enseignements. Les quatre éléments de l'article 23(4)(d) sont obligatoires ; le pack ajoute un bloc retour d'expérience qui réinjecte les constats dans vos mesures de gestion des risques de l'article 21 — les obligations de chaîne d'approvisionnement et de notification que les audits NIS2 testent réellement.
Base juridique
Les formulaires se mappent sur la directive (UE) 2022/2555, article 23 : le test d'importance de l'article 23(3), les rapports par étapes et leur contenu à l'article 23(4)(a)–(e), l'obligation de réponse du CSIRT sous 24 heures à l'article 23(5) et la notification des destinataires à l'article 23(1)–(2). Les champs d'évaluation d'importance intègrent le règlement d'exécution (UE) 2024/2690 de la Commission, directement applicable depuis le 7 novembre 2024 aux entités DNS, TLD, cloud, centres de données, CDN, services managés (de sécurité), places de marché, moteurs de recherche, réseaux sociaux et services de confiance — ses déclencheurs transversaux de l'article 3 et ses seuils par service des articles 4 à 14 transforment la « perturbation opérationnelle grave » en chiffres. La notification volontaire des incidents sous le seuil repose sur l'article 30 de la directive. Les lois nationales de transposition peuvent ajouter des champs et raccourcir les délais sectoriels — une raison de sur-structurer votre registre interne, pas de le sous-structurer.
Au-delà de l'UE : Royaume-Uni et Norvège
Au Royaume-Uni, le Cyber Security and Resilience Bill — devant le Parlement avec une sanction royale attendue fin 2026 — propose de remplacer la notification NIS unique à 72 heures par une obligation à deux étapes de type NIS2 : une notification initiale sous 24 heures après la prise de connaissance et un rapport complet sous 72 heures, déposés auprès du régulateur avec le NCSC informé en parallèle. En Norvège, la digitalsikkerhetsloven est en vigueur depuis le 1er octobre 2025 et applique déjà la même échelle — notification au NSM et à l'autorité sectorielle sous 24 heures, mise à jour sous 72 heures et rapport d'incident sous un mois — tandis que NIS2 attend son incorporation dans l'accord sur l'EEE, une loi de remplacement plus large étant attendue. Un groupe opérant dans l'UE, au Royaume-Uni et en Norvège peut donc faire tourner un seul registre interne et un seul jeu de formulaires pour les trois régimes ; seul le portail de destination change.
Du dépôt sous pression à la préparation démontrable
Notifier dans les délais prouve que l'incident a été géré ; ce que les autorités de supervision demandent de plus en plus ensuite, c'est s'il avait été préparé — plans de réponse testés, SLA de notification des fournisseurs, preuve que les mesures de l'article 21 existaient avant la compromission. La surveillance continue d'Orbiq maintient cette couche de preuves à jour — mesures de sécurité, assurances fournisseurs, artefacts de préparation aux incidents — et publie la face client sur votre Trust Center, de sorte que la même préparation qui satisfait le régulateur répond aussi au client qui demande « avez-vous été affecté ? ». Si vous cartographiez encore vos obligations, commencez par notre guide de la directive NIS2 ; si le risque vient de vos fournisseurs, associez ce pack à la checklist de demande de preuves fournisseurs NIS2.
Sources et références
- Directive (UE) 2022/2555 (NIS2) — texte intégral — article 23(1)–(5), article 30.
- Règlement d'exécution (UE) 2024/2690 de la Commission — critères d'importance pour les entités d'infrastructure numérique et de services TIC ; applicable depuis le 7 novembre 2024.
- Gouvernement britannique — Cyber Security and Resilience Bill : fiche notification d'incidents — la structure proposée notification initiale 24 heures / rapport complet 72 heures.
- Lov om digital sikkerhet (digitalsikkerhetsloven) — le cadre norvégien, en vigueur depuis le 1er octobre 2025.
- ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — juin 2025 ; attentes en matière de gestion et de notification des incidents.
- Mayer Brown — Cyber rules for essential and important entities take effect in Germany — NIS2UmsuCG en vigueur depuis le 6 décembre 2025 ; signalement au BSI.
Pour aller plus loin
- Notification d'incidents NIS2 : le délai de 24 heures et comment le tenir
- Notification des incidents et obligations de chaîne d'approvisionnement : articles 21 à 23 de NIS2
- Plan de réponse aux incidents vs système de gestion des incidents
- Checklist de conformité NIS2 : les mesures de l'article 21
- Checklist de demande de preuves fournisseurs NIS2 (modèle gratuit)
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Questions fréquentes
Quels sont les délais de notification d'incident sous NIS2 ?
L'article 23(4) de NIS2 fixe une échelle à trois étapes, toutes comptées à partir du moment où l'entité a connaissance d'un incident important : une alerte précoce sous 24 heures, une notification d'incident sous 72 heures (24 heures pour les prestataires de services de confiance dans certaines lois nationales), et un rapport final au plus tard un mois après la notification d'incident. Un CSIRT ou une autorité compétente peut en outre demander des rapports d'étape intermédiaires, et si l'incident est toujours en cours à l'échéance d'un mois, un rapport d'avancement est déposé et le rapport final suit dans le mois qui suit la fin du traitement de l'incident.
Que doit contenir l'alerte précoce à 24 heures ?
Délibérément peu de choses. L'article 23(4)(a) n'exige que l'indication de savoir si l'incident important est suspecté d'avoir été causé par des actes illicites ou malveillants, et s'il pourrait avoir un impact transfrontière. L'alerte précoce existe pour que les autorités acquièrent vite une vision de la situation — et l'article 23(5) oblige le CSIRT à répondre sous 24 heures avec des orientations et, sur demande, un appui technique.
Qu'est-ce qui rend un incident « important » au sens de NIS2 ?
Article 23(3) : l'incident a causé ou est susceptible de causer une perturbation opérationnelle grave ou des pertes financières pour l'entité, ou a affecté ou est susceptible d'affecter d'autres personnes en causant des dommages matériels ou immatériels considérables. Pour les entités d'infrastructure numérique et de services TIC, le règlement d'exécution (UE) 2024/2690 rend ce test quantitatif — par exemple une perte financière directe supérieure à 500 000 euros ou à 5 % du chiffre d'affaires annuel (le plus bas des deux), ou une résolution DNS indisponible plus de 30 minutes.
Que doit contenir le rapport final à un mois ?
L'article 23(4)(d) impose quatre éléments : une description détaillée de l'incident, y compris sa gravité et son impact ; le type de menace ou la cause profonde qui l'a probablement déclenché ; les mesures d'atténuation appliquées et en cours ; et, le cas échéant, l'impact transfrontière. Si l'incident est toujours en cours à l'échéance du rapport final, un rapport d'avancement est soumis à la place, le rapport final étant dû dans le mois qui suit la fin du traitement de l'incident.
Où soumettre concrètement les rapports d'incident NIS2 ?
Via votre CSIRT national ou le canal de votre autorité compétente. En Allemagne, les entités déclarent via le portail de signalement du BSI au titre de la NIS2UmsuCG, en vigueur depuis le 6 décembre 2025. En Norvège, la digitalsikkerhetsloven (en vigueur depuis le 1er octobre 2025) route les notifications vers le NSM et l'autorité sectorielle selon la même échelle 24 heures/72 heures/un mois. Les autres États membres opèrent leurs propres portails — les formulaires de ce pack structurent le contenu pour que la soumission devienne de la transcription, pas de la rédaction.
Les entreprises britanniques ont-elles des obligations de notification équivalentes ?
Elles arrivent. Le Cyber Security and Resilience Bill du Royaume-Uni — devant le Parlement avec une sanction royale attendue fin 2026 — propose un régime à deux étapes étroitement aligné sur NIS2 : une notification initiale sous 24 heures après avoir eu connaissance d'un incident significatif et un rapport complet sous 72 heures, soumis au régulateur avec le NCSC informé en parallèle. Les groupes opérant à la fois dans l'UE et au Royaume-Uni peuvent réutiliser le même registre interne et les mêmes formulaires pour les deux régimes.