
Notifications règlementaires
Confronté à un incident de sécurité sur vos systèmes d’information : qui prévenir impérativement et sous quel délai.
A destination de l’ANSSI
Vous êtes une entité manipulant des données classifiées, disposant d’un statut d’OIV, d’OSE, de FSN, de PSCE ou PSHE, ou responsable d’un produit ou d’un service qualifié par l’ANSSI, vous devez notifier sans délai tout incident de sécurité au CERT-FR selon les modalités suivantes.
Entité |
Périmètre des incidents |
Formulaire |
Origine de l’obligation |
Toute compromission d’un ACSSI |
Notification via
|
||
Tout incident affectant le fonctionnement ou la sécurité des Systèmes d’Importance Vitale [SIIV] |
|
||
|
|||
Tout incident ayant un impact significatif sur la fourniture des services |
|
||
Prestataires de services de confiance qualifiés et non qualifié d’identification électronique et les services de confiance pour les transactions électroniques (PSCE et PSHE) (eIDAS) |
Toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel |
||
|
|||
|
A destination d’autres entités
CNIL / RGPD
L'autorité chargée de la protection des données personnelles en France est la CNIL. Vous devez leur signaler toute violation de données personnelles que votre organisation aurait subie dans un court délai.
Si vous n’êtes pas en mesure d’évaluer l’atteinte à des données personnelles, la CNIL peut enregistrer des déclarations préalables d’incident.
Obligations spécifiques
Certaines organisations sont sujettes à des règlementations supplémentaires spécifiques. Votre service juridique pourra vous aider dans cette démarche.