norppa.io
Guides

Guide NIS2 · 11 min

NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont

La plupart des entreprises ne sont jamais formellement désignées comme entités essentielles ou importantes au titre de NIS2. Beaucoup doivent pourtant s'y conformer. Si vos clients relèvent de NIS2, la directive les rend responsables de la sécurité de leur chaîne d'approvisionnement, et cette responsabilité vous atteint par les contrats, les questionnaires et une surveillance continue. Ce guide explique comment l'obligation se répercute sur un fournisseur non désigné, ce que vos clients vont demander, et comment répondre de façon crédible et en faire un avantage commercial.

Points clés

  • NIS2 n'a pas besoin de vous nommer. Si vos clients sont dans le champ, leur obligation de sécurité de la chaîne d'approvisionnement (article 21, paragraphe 2, point d) devient votre réalité contractuelle.
  • Attendez-vous à des questionnaires de sécurité, à des preuves des mesures de l'article 21, paragraphe 2, à une clause de notification d'incident et, de plus en plus, à l'acceptation d'une surveillance continue.
  • Les fournisseurs capables de démontrer leur sécurité sur demande conservent leurs contrats et en gagnent de nouveaux ; ceux qui ne le peuvent pas sont remplacés en silence.

Comment NIS2 atteint un fournisseur jamais désigné

NIS2 s'applique directement uniquement aux organisations qu'elle classe comme entités essentielles ou importantes, selon le secteur et la taille. Si vous n'en êtes pas, aucune autorité nationale ne vous adressera d'injonction. C'est là que beaucoup de fournisseurs cessent de lire, et là que naît le malentendu.

La directive ne régule pas directement les fournisseurs de vos fournisseurs. Elle rend plutôt chaque entité concernée responsable du risque de cybersécurité dans sa propre chaîne d'approvisionnement (article 21, paragraphe 2, point d). Pour s'acquitter de cette obligation, vos clients doivent évaluer, encadrer et surveiller la sécurité des fournisseurs dont ils dépendent. Si vous êtes l'un d'eux, leur obligation juridique devient votre obligation commerciale. Vous êtes impliqué indirectement, par la relation et non par une désignation.

Ce que votre client concerné doit faire, et pourquoi cela retombe sur vous

L'article 21, paragraphe 2, point d exige des entités essentielles et importantes qu'elles gèrent la sécurité de la chaîne d'approvisionnement, y compris les aspects de sécurité de la relation entre chaque entité et ses fournisseurs ou prestataires directs. En pratique, votre client doit :

  • Identifier les fournisseurs critiques pour ses services et évaluer le cyber-risque que chacun introduit.
  • Fixer des exigences de sécurité pour ces fournisseurs et les inscrire dans les contrats et les accords de traitement des données.
  • Vérifier que les exigences sont respectées, non pas une fois à l'intégration mais en continu.
  • Assumer les incidents qui trouvent leur origine chez un fournisseur, car au titre de NIS2 une perturbation causée par un fournisseur reste l'incident que le client doit traiter et notifier.
  • Démontrer à son autorité de contrôle que cette supervision des fournisseurs a réellement lieu.

Ce que vos clients vous demanderont

À mesure que cette supervision mûrit, les demandes adressées aux fournisseurs convergent vers un ensemble reconnaissable :

  • Un questionnaire de sécurité ou une auto-évaluation, souvent rattaché aux mesures de l'article 21, paragraphe 2 ou à une norme comme ISO 27001.
  • Des preuves derrière les réponses : politiques, certificats et résultats récents de tests ou d'analyses, plutôt que des affirmations non étayées.
  • Une clause de notification d'incident vous engageant à alerter rapidement le client lorsque quelque chose le concerne, afin qu'il respecte ses propres délais de notification.
  • Des exigences de sécurité contractuelles et, pour les fournisseurs critiques, un droit d'audit ou de demander une assurance indépendante.
  • L'acceptation d'une surveillance externe continue, car un questionnaire ponctuel rempli l'an dernier ne satisfait plus une obligation continue.

Les mesures de l'article 21, paragraphe 2 que vos clients attendent de vous

Même si l'article 21, paragraphe 2 lie votre client et non vous, ses dix mesures sont le modèle que la plupart des acheteurs réutilisent pour fixer les exigences à leurs fournisseurs. Mieux vaut pouvoir montrer, à votre échelle, que vous traitez chacune :

Gestion des risques et politiques

Une approche documentée et régulièrement revue du risque de sécurité de l'information, portée au niveau de la direction. (art. 21, § 2, a)

Gestion des incidents

Un processus défini pour détecter les incidents de sécurité, y répondre et en tirer des leçons. (art. 21, § 2, b)

Continuité d'activité et sauvegardes

Sauvegardes, plans de reprise et gestion de crise pour que le service survive à une perturbation. (art. 21, § 2, c)

Sécurité de la chaîne d'approvisionnement

Votre propre supervision des sous-traitants et prestataires dont vous dépendez ; l'obligation se propage le long de la chaîne. (art. 21, § 2, d)

Acquisition, développement et maintenance sécurisés

La sécurité intégrée à la façon dont vous achetez, construisez et corrigez vos systèmes, y compris la gestion et la divulgation des vulnérabilités. (art. 21, § 2, e)

Évaluation de l'efficacité

Tests et revues périodiques pour confirmer que les mesures fonctionnent réellement. (art. 21, § 2, f)

Cyberhygiène et formation

Pratiques de base et sensibilisation du personnel, tenues à jour. (art. 21, § 2, g)

Cryptographie et chiffrement

Usage approprié de la cryptographie pour protéger les données en transit et au repos. (art. 21, § 2, h)

Contrôle d'accès et gestion des actifs

Connaître vos actifs et contrôler qui peut accéder à quoi. (art. 21, § 2, i)

Authentification multifacteur et communications sécurisées

MFA, et communications vocales, vidéo, texte et d'urgence sécurisées le cas échéant. (art. 21, § 2, j)

La notification d'incident circule dans les deux sens

NIS2 impose aux entités concernées un calendrier serré : une alerte précoce sous 24 heures, une notification plus complète sous 72 heures et un rapport final sous un mois (article 23). Elles ne peuvent pas le respecter si un fournisseur garde une mauvaise nouvelle pour lui. Leurs contrats exigent donc de plus en plus que vous les informiez sans délai lorsqu'un incident affecte, ou pourrait affecter, les services que vous leur fournissez.

Pour un fournisseur non désigné, la conséquence pratique est simple : il vous faut votre propre processus d'incident, avec une escalade interne claire et une manière définie d'informer les clients concernés, afin qu'un problème de votre côté ne devienne pas un délai manqué du leur. Un fournisseur qui détecte, contient et communique bien est bien plus facile à conserver que celui qui se tait.

Une exigence à traiter comme un avantage

Il est facile de lire tout cela comme une charge imposée par la réglementation d'un autre. Les meilleurs fournisseurs le lisent à l'inverse. À mesure que davantage d'acheteurs relèvent de NIS2 et resserrent leurs contrôles, la capacité à répondre vite et avec des preuves à un questionnaire de sécurité devient une raison de gagner et de garder des marchés, plutôt qu'un obstacle à franchir.

L'inverse est tout aussi vrai et plus discret : les fournisseurs incapables de démontrer leur posture sont de plus en plus écartés aux achats, souvent sans qu'on leur en dise la raison. Devancer les questions, avant qu'un client ne les pose, transforme NIS2 d'un coût de conformité en un argument de vente.

Comment répondre de façon crédible

Vous n'avez pas à devenir une entité essentielle du jour au lendemain. Vous devez être prêt pour les questions et pouvoir étayer vos réponses. Une voie proportionnée :

  • Connaissez d'abord votre propre posture externe : domaines, certificats, authentification des e-mails, services exposés et vulnérabilités connues, c'est-à-dire ce que l'évaluation d'un client examinera.
  • Comblez les lacunes courantes que signalent questionnaires et analyses : imposez TLS 1.2+, publiez SPF, DKIM et DMARC, corrigez rapidement, exigez la MFA et supprimez les interfaces d'administration exposées.
  • Mettez par écrit l'essentiel : une courte politique de sécurité de l'information, un processus d'incident et un relevé de qui est responsable de la sécurité. La preuve l'emporte sur l'affirmation.
  • Gardez vos réponses à jour. Traitez l'assurance comme continue, car c'est de plus en plus ainsi que vos clients la traitent.
  • Si vous servez des acheteurs plus grands ou réglementés, envisagez ISO 27001 ou un équivalent comme raccourci reconnu, mais n'attendez pas pour commencer.

Source : Directive (UE) 2022/2555 (NIS2), article 21, paragraphe 2 Les États membres transposent NIS2 dans leur droit national ; confirmez donc les attentes exactes envers les fournisseurs auprès de vos clients et, au besoin, de votre autorité compétente.

Comment norppa.io aide

norppa.io donne à un fournisseur non désigné la même vision continue et étayée de sa sécurité que celle qu'un client NIS2 s'attend désormais à voir. Vos domaines sont contrôlés sur plus de cent points de contrôle chaque jour, les plus sensibles toutes les six heures, et chaque constatation est rattachée à l'article NIS2 concerné, afin que vous puissiez répondre à un questionnaire avec des preuves actuelles plutôt que des affirmations.

Le questionnaire d'auto-évaluation saisit vos contrôles de processus et contractuels, et chaque réponse est confrontée au profil technique en direct, de sorte que lorsque l'équipe achats d'un client demande des preuves, vous pouvez remettre une image claire et corroborée au lieu d'un tableur qui était exact au printemps dernier.

Soyez prêt avant que vos clients ne demandent

Voyez un exemple de rapport fournisseur (constatations, cartographie des articles NIS2 et preuves) en deux minutes environ.

Voir un exemple de rapport
Voir le tableau de bord exemple

Dernière révision: 19 juin 2026

Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.