Notifications règlementaires

Confronté à un incident de sécurité sur vos systèmes d’information : qui prévenir impérativement et sous quel délai.

Publié le 25 Septembre 2023 Mis à jour le 09 Octobre 2023

A destination de l’ANSSI

Vous êtes une entité manipulant des données classifiées, disposant d’un statut d’OIV, d’OSE, de FSN, de PSCE ou PSHE, ou responsable d’un produit ou d’un service qualifié par l’ANSSI, vous devez notifier sans délai tout incident de sécurité au CERT-FR selon les modalités suivantes.

Entité

Périmètre des incidents

Formulaire

Origine de l’obligation

Entité manipulant des données classifiées

Toute compromission d’un ACSSI

Notification via

  • l’officier de sécurité
  • la chaîne HFDS

II-910 Art.20

Organisme d’importance vitale [OIV]

Tout incident affectant le fonctionnement ou la sécurité des Systèmes d’Importance Vitale [SIIV]

Formulaire

 

Code de la défense Art. L1332-6-2

Opérateur de service essentiel [OSE]
  • Tout incident de sécurité susceptible d’impacter le fonctionnement du service essentiel
  • Tout incident de sécurité affectant les réseaux et systèmes nécessaire au service essentiel

Formulaire

LOI n° 2018-133 du 26 février 2018 Art. 7

Fournisseur de service numérique [FSN]

Tout incident ayant un impact significatif sur la fourniture des services

Formulaire

 

Décret n° 2018-384 du 23 mai 2018 Art. 20

Prestataires de services de confiance qualifiés et non qualifié d’identification électronique et les services de confiance pour les transactions électroniques (PSCE et PSHE) (eIDAS)

Toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel

Formulaire

Règlement européen eiDAS Art. 19.2

Tout produit qualifié par l’ANSSI
  • tout incident de sécurité affectant ou susceptible d’affecter le produit qualifié ou la gamme de produit à laquelle le produit qualifié appartient, y compris tout incident de sécurité affectant ou susceptible d’affecter un système d’information impliqué dans la spécification, la conception, le développement, la fabrication, l’exploitation, la maintenance, l’avant-vente, le support technique ou la livraison du produit qualifié ou de la gamme de produit à laquelle le produit qualifié appartient ;
  • tout incident de sécurité affectant ou susceptible d’affecter les données sensibles relatives aux utilisateurs du produit qualifié, que ces données soient à caractère personnel ou non.

Formulaire

ANSSI/QUAL-PROD-PROCESS Art. VII.2

Tout service qualifié par l’ANSSI
  • le service qualifié et particulièrement les systèmes d’information impliqués dans l’administration, l’exploitation, la maintenance, ou le support technique du service qualifié ;
  • les données sensibles relatives aux utilisateurs du service qualifié, que ces données soient à caractère personnel ou non

Formulaire

ANSSI/QUAL-SERV-PROCESS Art. VII.2

 

A destination d’autres entités

CNIL / RGPD

L'autorité chargée de la protection des données personnelles en France est la CNIL. Vous devez leur signaler toute violation de données personnelles que votre organisation aurait subie dans un court délai.

Si vous n’êtes pas en mesure d’évaluer l’atteinte à des données personnelles, la CNIL peut enregistrer des déclarations préalables d’incident.

Obligations spécifiques

Certaines organisations sont sujettes à des règlementations supplémentaires spécifiques. Votre service juridique pourra vous aider dans cette démarche.

Sur le même sujet :
ANSSI