Vos contrats fournisseurs font désormais partie de la conformité NIS2

Votre plus grand client vient de vous envoyer un avenant contractuel. Il contient des exigences de cybersécurité que vous n'avez jamais vues auparavant : obligations de notification d'incident, processus de gestion des vulnérabilités, preuves d'évaluations des risques et droit d'audit de vos contrôles de sécurité. Ce n'est pas une préférence d'entreprise. C'est NIS2.

Si vous fournissez des biens ou des services à toute organisation relevant de la directive NIS2, vos contrats sont sur le point de changer — ou ils ont déjà changé.

La base juridique : l'Article 21(2)(d) et le Règlement d'exécution 2024/2690

L'article 21(2)(d) de NIS2 impose aux entités concernées de traiter la « sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».

Voilà pour la directive. Les précisions proviennent du Règlement d'exécution UE 2024/2690, qui détaille exactement ce que les entités doivent faire. L'article 5.1.4 de ce règlement est la disposition qui transforme les relations fournisseurs dans toute l'UE. Il précise que les contrats entre entités réglementées NIS2 et leurs fournisseurs doivent inclure :

• Des exigences de cybersécurité que le fournisseur doit respecter
• Des obligations s'étendant aux sous-traitants — les exigences se propagent sur au moins deux niveaux
• Des droits d'audit permettant à l'entité réglementée de vérifier la conformité
• Des obligations de notification d'incident du fournisseur vers l'entité réglementée
• Des obligations de gestion des vulnérabilités

Il ne s'agit pas de recommandations. Ces dispositions sont juridiquement contraignantes dans chaque État membre de l'UE ayant achevé la transposition de NIS2 — actuellement l'Allemagne, la Belgique, l'Italie, la Hongrie, la Pologne, et plusieurs autres. D'autres pays activent ces obligations chaque trimestre.

Effet cascade dans la chaîne d'approvisionnement — Comment une violation se propage
!
Origine de la violation
Fournisseur de niveau 1 compromis
Un prestataire de services informatiques critiques ou un éditeur de logiciels est victime d'une cyberattaque
Se propage aux clients directs
▼
Impact direct (Niveau 2)
1
L'entité essentielle A perd l'accès à des services critiques
2
Les données sensibles de l'entité essentielle B sont exposées
3
L'entité importante C subit une perturbation opérationnelle
Se diffuse plus en aval
▼
Impact indirect (Niveau 3)
1
Les clients en aval de l'entité A sont affectés
2
Une enquête réglementaire est déclenchée sur toute la chaîne
3
Cascade de notifications d'incidents NIS2 pour toutes les entités impactées
4
Les dommages réputationnels et financiers se propagent à l'ensemble du secteur
Origine
Impact direct
Impact indirect

Qui est concerné ? Bien plus d'entreprises que vous ne le pensez

NIS2 réglemente directement les entités essentielles et importantes : entreprises énergétiques, hôpitaux, opérateurs de transport, fournisseurs d'infrastructures numériques, services des eaux, et bien d'autres. Ces organisations se comptent par dizaines de milliers dans toute l'UE.

Mais c'est là que cela devient particulièrement important pour les PME. Chacune de ces entités réglementées a des fournisseurs. Et en vertu de l'article 21(2)(d), elles doivent évaluer la posture de cybersécurité de ces fournisseurs et inclure des exigences de sécurité dans leurs contrats.

Cela signifie que vous êtes concerné si :

• Vous fournissez des services informatiques (services managés, hébergement cloud, développement logiciel) à une entreprise relevant d'un secteur NIS2
• Vous approvisionnez en composants ou matières premières un fabricant classifié comme entité essentielle ou importante
• Vous assurez la logistique, le transport ou l'entreposage pour une entité réglementée
• Vous fournissez des services professionnels (conseil, juridique, comptabilité) impliquant l'accès aux systèmes ou données d'une entité réglementée
• Vous êtes sous-traitant de l'un des acteurs précédents — la chaîne s'étend sur au moins deux niveaux

Une PME de 30 personnes développant des applications sur mesure pour un hôpital néerlandais ? Dans le périmètre via le contrat. Un MSP polonais gérant des serveurs pour une entreprise énergétique allemande ? Dans le périmètre. Une société logistique belge assurant le transport pour une régie des eaux française ? Même situation.

L'enseignement essentiel : il n'est pas nécessaire d'être vous-même une entité NIS2 pour faire face aux exigences NIS2. Les obligations vous atteignent à travers les contrats de vos clients.

À quoi ressembleront ces clauses contractuelles ?

Sur la base du Règlement d'exécution et des premières pratiques d'application à travers l'UE, attendez-vous à ce que vos clients réglementés NIS2 incluent des clauses couvrant les domaines suivants :

1. Exigences de référence en matière de sécurité

Votre client définira les normes minimales de cybersécurité que vous devez respecter. Celles-ci s'alignent généralement sur les dix mesures de sécurité de l'article 21(2), notamment :

• Analyse des risques et politiques de sécurité des systèmes d'information
• Procédures de gestion des incidents
• Continuité d'activité et gestion de crise
• Politiques de cryptographie et de chiffrement, le cas échéant
• Sécurité des ressources humaines et contrôle des accès
• Authentification multifacteur

2. Obligations de notification d'incident

Vous serez tenu de notifier à votre client tout incident de sécurité susceptible d'affecter ses systèmes ou ses données. Les délais reprennent les propres exigences de signalement de NIS2 — généralement 24 heures pour l'alerte précoce, 72 heures pour la notification complète. Votre client en a besoin car il a lui-même des obligations de signalement au titre de l'article 23.

3. Droits d'audit et de vérification

Attendez-vous à des clauses accordant à votre client (ou à son auditeur) le droit de vérifier vos contrôles de sécurité. Cela peut inclure :

• La demande de preuves de certifications de sécurité (ISO 27001, SOC 2)
• Des évaluations de sécurité sur site ou à distance
• Des questionnaires d'auto-évaluation périodiques
• L'accès aux résultats de tests d'intrusion ou de rapports d'analyse de vulnérabilités

4. Transmission des obligations aux sous-traitants

Si vous faites appel à des sous-traitants, vous serez tenu de leur imposer des exigences de cybersécurité équivalentes. C'est l'effet de cascade — les obligations NIS2 de votre client vous traversent pour atteindre vos propres fournisseurs. La chaîne s'étend sur au moins deux niveaux.

5. Clauses de résiliation

De nombreux contrats incluront le droit de résilier si vous ne respectez pas les exigences de cybersécurité ou si vous êtes victime d'une violation de sécurité significative qui n'est pas résolue de manière satisfaisante.

Ce que cela signifie concrètement pour les PME

Soyons directs quant aux implications pratiques :

La bonne nouvelle : l'essentiel de ce que NIS2 exige à travers les contrats fournisseurs correspond aux bonnes pratiques de base en matière de cybersécurité que toute entreprise bien gérée devrait déjà avoir. Si vous disposez de contrôles d'accès corrects, d'une gestion des correctifs, de procédures de sauvegarde et de plans de réponse aux incidents, vous ne partez pas de zéro.

La réalité : beaucoup de PME n'ont pas ces mesures documentées et formalisées. Avoir de bonnes pratiques ne suffit pas — vous avez besoin de preuves. Les contrats vous demanderont de démontrer votre conformité, pas seulement de l'affirmer.

L'opportunité : les entreprises qui se préparent maintenant acquièrent un avantage concurrentiel. Lorsque votre concurrent ne peut pas démontrer des mesures de sécurité conformes à NIS2 et que vous le pouvez, c'est vous qui remportez le contrat. C'est déjà une réalité en Allemagne, où l'application par le BSI a fait de la sécurité des fournisseurs une priorité au niveau de la direction.

Voici une démarche pratique :

1. Identifiez quels clients sont des entités NIS2. Vérifiez s'ils opèrent dans des secteurs essentiels ou importants. En cas de doute, interrogez-les directement — ils le savent.
2. Réalisez une analyse des écarts par rapport aux mesures de l'article 21. Une analyse des écarts NIS2 pas à pas identifie là où vous satisfaites aux exigences et là où vous avez des lacunes.
3. Documentez tout ce que vous faites déjà. Beaucoup de PME ont des pratiques de sécurité adéquates mais aucune documentation. Commencez par des politiques écrites pour le contrôle des accès, la réponse aux incidents et les procédures de sauvegarde.
4. Combler les lacunes. Priorisez en fonction de ce que vos clients sont susceptibles d'exiger en premier : capacité de notification d'incident, contrôle des accès et gestion des vulnérabilités.
5. Préparez votre dossier de preuves. Créez un profil de sécurité fournisseur que vous pouvez partager avec vos clients : certifications, politiques, date du dernier audit, contact pour la réponse aux incidents.

Réalisez le Quick Scan NIS2 gratuit pour savoir en cinq minutes où se situe votre organisation par rapport aux exigences de l'article 21.

NIS2 vs ISO 27001 — Comparaison des exigences
◈NIS2 uniquement
Notification obligatoire des incidents aux autorités (24h / 72h)
Responsabilité personnelle au niveau du conseil pour la cybersécurité
Obligations de sécurité de la chaîne d'approvisionnement pour les entités essentielles
Obligations réglementaires sectorielles spécifiques
⬡Exigences communes
Gestion des risques liés à la sécurité de l'information
Contrôle d'accès et gestion des identités
Continuité d'activité et reprise après sinistre
Sensibilisation et formation à la sécurité
◇ISO 27001 uniquement
Cycles d'audit interne et de revue de direction
Documentation de la Déclaration d'Applicabilité (DdA)
Certification formelle et audit par tierce partie
◈NIS2 uniquement
Notification obligatoire des incidents aux autorités (24h / 72h)
Responsabilité personnelle au niveau du conseil pour la cybersécurité
Obligations de sécurité de la chaîne d'approvisionnement pour les entités essentielles
Obligations réglementaires sectorielles spécifiques
⬡Exigences communes
Gestion des risques liés à la sécurité de l'information
Contrôle d'accès et gestion des identités
Continuité d'activité et reprise après sinistre
Sensibilisation et formation à la sécurité
◇ISO 27001 uniquement
Cycles d'audit interne et de revue de direction
Documentation de la Déclaration d'Applicabilité (DdA)
Certification formelle et audit par tierce partie
La colonne centrale présente les exigences partagées par la NIS2 et l'ISO 27001

Le calendrier, c'est maintenant

Ce n'est pas un problème futur. Les exigences contractuelles circulent déjà dans les pays ayant achevé la transposition de NIS2 :

• Allemagne : NIS2UmsuCG en vigueur depuis décembre 2025. Délai d'enregistrement auprès du BSI dépassé en mars 2026. Les entités réglementées mettent activement à jour leurs contrats fournisseurs.
• Belgique : Maturité opérationnelle complète. Les évaluations de la chaîne d'approvisionnement font partie de la conformité courante.
• Italie : L'ACN publie des orientations sectorielles jusqu'en septembre 2026. Délai pour les mesures de mise en œuvre : octobre 2026.
• Pologne : La loi NIS2 est entrée en vigueur en mars 2026. Délai d'enregistrement : 3 octobre 2026.
• Pays-Bas : Vote sur la Cyberbeveiligingswet (Cbw) imminent après le débat parlementaire de mars 2026. Entrée en vigueur prévue au T2 2026.
• Autriche : La NISG 2026 prend pleinement effet le 1er octobre 2026.

Chaque pays qui entre en vigueur signifie davantage d'entités réglementées envoyant des contrats mis à jour à leurs fournisseurs. Si vous opérez à l'international — et la plupart des chaînes d'approvisionnement le font — la vague des exigences contractuelles grossit rapidement.

Trois erreurs à éviter

Erreur n°1 : « Nous ne sommes pas dans le périmètre NIS2, donc cela ne nous concerne pas. » C'est l'idée reçue la plus répandue et la plus coûteuse. Vous n'êtes peut-être pas une entité NIS2, mais vos clients le sont. Leurs obligations de conformité deviennent vos obligations contractuelles. Les ignorer, c'est perdre des contrats.

Erreur n°2 : « Nous nous en occuperons à la réception du contrat. » Au moment où l'avenant contractuel arrive, votre client attend une réponse en quelques semaines, pas en quelques mois. Réaliser une analyse des écarts, mettre en place des mesures et documenter les preuves prend au minimum 3 à 6 mois. Commencez avant que le contrat n'arrive.

Erreur n°3 : « Une certification ISO 27001 couvre tout. » ISO 27001 est une excellente base, mais NIS2 comporte des exigences spécifiques (délais de signalement d'incident, effet de cascade dans la chaîne d'approvisionnement, obligations de gouvernance au titre de l'article 20) qui vont au-delà de la gestion générale de la sécurité de l'information. Utilisez votre cadre ISO comme point de départ, puis cartographiez les lacunes spécifiques à NIS2.

Points essentiels à retenir

• L'article 21(2)(d) de NIS2 et l'article 5.1.4 du Règlement d'exécution 2024/2690 rendent les clauses de cybersécurité dans les contrats fournisseurs juridiquement obligatoires pour les entités réglementées.
• Les PME qui approvisionnent des entités NIS2 sont indirectement dans le périmètre via les exigences contractuelles — même si elles ne sont pas elles-mêmes des entités NIS2.
• L'effet de cascade est bien réel : les exigences se propagent de l'entité réglementée au fournisseur, puis au sous-traitant, sur au moins deux niveaux.
• La préparation est un avantage concurrentiel. Les entreprises capables de démontrer une sécurité conforme à NIS2 remportent les contrats. Celles qui ne le peuvent pas les perdent.
• Les sanctions pour les entités réglementées NIS2 peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Elles ont de fortes incitations financières à s'assurer de la conformité de leurs fournisseurs — et à remplacer ceux qui ne le sont pas.

---

Sources : DLA Piper — NIS2 Directive Explained Part 3: Supply Chain Security, DIESEC — NIS2 for SMEs, Turing Law — NIS2 and Contracting, Règlement d'exécution UE 2024/2690, Directive NIS2 2022/2555 Article 21(2)(d).