Guide NIS2

Guide NIS2 · 7 min

Vos fournisseurs utilisent-ils l'IA ? Le risque fournisseur NIS2 rencontre le règlement IA de l'UE

Sous NIS2, vous êtes responsable du cyber-risque porté par vos fournisseurs (article 21(2)(d)). De plus en plus, ce risque inclut l'IA : des fournisseurs intègrent l'IA dans les services dont vous dépendez, et leurs fournisseurs font de même. Le règlement IA de l'UE, désormais en application progressive, ajoute des obligations pour les organisations qui déploient des systèmes d'IA ou en dépendent, y compris ceux fournis par des tiers. La plupart des évaluations fournisseurs n'interrogent pas du tout l'IA. Ce guide explique où l'IA des fournisseurs et de la n-ième partie crée un risque au titre de NIS2 et du règlement IA, quoi évaluer et comment garder la visibilité.

À retenir

  • NIS2 fait du cyber-risque de vos fournisseurs votre responsabilité ; l'IA intégrée par les fournisseurs en fait désormais partie.
  • Le règlement IA ajoute des obligations lorsque vous dépendez de l'IA d'un tiers, y compris des systèmes à haut risque.
  • La plupart des questionnaires ignorent l'IA ; l'IA de la n-ième partie (les fournisseurs de vos fournisseurs) est l'angle mort le plus difficile.

Par où l'IA entre dans votre chaîne d'approvisionnement

L'IA vous atteint par les fournisseurs de trois façons : un prestataire utilise l'IA dans un service que vous consommez ; un prestataire traite vos données avec de l'IA (entraînement, inférence, outils de support) ; et les prestataires de votre prestataire font de même (n-ième partie). Chacun augmente la surface d'attaque (exposition du modèle et des données, injection d'invite, nouvelles intégrations) et l'exposition réglementaire. L'article 21(2)(d) de NIS2 vous rend responsable de la sécurité de ces relations, et le règlement IA ajoute des devoirs de transparence et de gestion des risques lorsque vous déployez des systèmes d'IA ou en dépendez, y compris ceux de tiers.

Sources officielles : Directive NIS2 sur EUR-Lex — article 21(2)(d) ; ainsi que le règlement IA de l'UE (règlement (UE) 2024/1689) pour les obligations propres à l'IA.

Quoi évaluer sur l'IA des fournisseurs

Ajoutez ces points à l'évaluation fournisseur. Ils correspondent aux mesures de chaîne d'approvisionnement de NIS2 et aux devoirs du règlement IA pour ceux qui dépendent de l'IA.

1

Où l'IA touche vos données

Demandez quelles parties du service utilisent l'IA, si vos données servent à l'entraînement ou à l'inférence, et où ce traitement a lieu. Cela détermine votre exposition NIS2 ainsi que votre position au regard du règlement IA et du RGPD.

2

Si l'IA est à haut risque selon le règlement IA

Si l'IA d'un fournisseur relève d'une catégorie à haut risque du règlement IA, vous héritez d'attentes de transparence, de supervision humaine et de tenue de registres quand vous en dépendez. Confirmez la classification et le travail de conformité du fournisseur.

3

IA de la n-ième partie (les fournisseurs de votre fournisseur)

Les fournisseurs revendent ou intègrent de plus en plus l'IA de tiers (modèles de fondation, API d'IA). Exigez la divulgation de ces sous-prestataires, pour qu'une panne de modèle, un incident de données ou un changement de politique ne vous prenne pas au dépourvu.

4

Contrôles de sécurité propres à l'IA

Protection contre l'injection d'invite et les fuites de données, contrôle d'accès aux points de terminaison des modèles, journalisation et supervision humaine des décisions automatisées. C'est l'extension à l'ère de l'IA du socle de l'article 21(2).

5

Notification des incidents liés à l'IA

Étendez la clause de notification de votre contrat aux défaillances propres à l'IA (fuite de données via un modèle, sortie nuisible ou manipulée), pour qu'un incident d'IA d'un fournisseur vous parvienne à temps pour votre propre déclaration.

Voyez comment vos fournisseurs se situent réellement

7 jours gratuits · sans carte bancaire · annulez à tout moment

Comment garder la visibilité à mesure que l'IA se répand

L'adoption de l'IA dans votre chaîne évolue plus vite qu'un questionnaire annuel : un fournisseur ajoute une fonction d'IA, change de fournisseur de modèle, ou un nouveau sous-traitant apparaît. Associez le questionnaire à une surveillance externe continue et à un inventaire vivant de la quatrième partie, afin que les nouvelles dépendances d'IA et les sous-prestataires derrière elles apparaissent dès leur survenue, associés aux obligations NIS2 et du règlement IA qu'ils déclenchent, plutôt qu'au prochain cycle de revue.

Erreurs fréquentes

  • Un questionnaire fournisseur qui n'interroge jamais l'IA.
  • Évaluer le fournisseur direct mais ignorer le modèle tiers ou l'API d'IA derrière son service.
  • Traiter l'IA uniquement comme un sujet d'innovation, pas comme une sécurité de la chaîne et une conformité au règlement IA.
  • Aucune obligation contractuelle de divulguer l'usage de l'IA ni de notifier les incidents propres à l'IA.

Voyez comment le risque fournisseur et IA s'associe à NIS2

Un exemple de rapport fournisseur (constats, correspondance NIS2 et preuves) en deux minutes.

7 jours gratuits · sans carte bancaire · annulez à tout moment

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont

La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter

Ce que sont les sanctions NIS2 : les plafonds de l'article 34 (10 M€ / 2 % pour les entités essentielles, 7 M€ / 1,4 % pour les importantes), la responsabilité personnelle de la direction (art. 20, art. 32), les mesures non pécuniaires et comment les éviter.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.

Statut de transposition de NIS2 : dans quels pays de l'UE est-elle en vigueur

Lesquels des 27 États membres de l'UE ont transposé NIS2 en droit national et lesquels finalisent encore, et pourquoi les écarts atteignent votre chaîne d'approvisionnement malgré tout.

Clauses contractuelles fournisseurs NIS2 : que exiger de vos fournisseurs

Les clauses qui rendent l'obligation de chaîne d'approvisionnement de NIS2 exécutoire : socle de sécurité, fenêtre de notification, droits de preuve et d'audit, répercussion aux sous-traitants, et vérification continue.

Votre posture de sécurité externe sous NIS2 : ce que voient fournisseurs et clients

Les signaux publiquement visibles que les clients évaluent au titre de l'art. 21(2)(d) de NIS2 : usurpation d'e-mail (SPF/DMARC), hygiène des certificats, systèmes exposés à Internet et identifiants fuités, pourquoi chacun compte et comment les vérifier et corriger.

Usurpation de fournisseur et fraude au président (BEC) : usurpation d'e-mail, DMARC et NIS2

L'une des attaques de chaîne d'approvisionnement les plus courantes ne nécessite aucune intrusion : un e-mail usurpé qui détourne un paiement ou vole des données. Comment fonctionnent le BEC et l'usurpation de fournisseur, les réglages SPF, DKIM et DMARC qui les arrêtent, et comment cela s'inscrit dans l'art. 21(2)(d) de NIS2.

Dernière révision: 19 juin 2026

Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.