Guide NIS2

Guide NIS2 · 8 min

Clauses contractuelles fournisseurs NIS2 : que exiger de vos fournisseurs

NIS2 vous rend responsable du cyberrisque porté par vos fournisseurs (article 21, paragraphe 2, point d), et vous ne pouvez pas externaliser cette responsabilité. Le contrat est l'endroit où l'obligation devient réelle : il vous permet de demander des preuves, d'être informé des incidents à temps pour respecter vos propres délais de notification, et de tenir un fournisseur à un socle de sécurité. Voici une checklist pratique des clauses qui comptent : pourquoi chacune existe et comment les rendre exécutoires plutôt que décoratives.

À retenir

  • L'obligation de chaîne d'approvisionnement est la vôtre ; le contrat est le moyen de la répercuter en aval.
  • La clause de délai de notification protège vos propres délais au titre de l'article 23.
  • Une clause signée n'est pas une assurance : associez-la à un moyen de vérifier le fournisseur en continu.

Pourquoi des clauses contractuelles, pas seulement un questionnaire

Un questionnaire capte les déclarations d'un fournisseur un jour donné. Un contrat crée des obligations sur lesquelles vous pouvez agir : un socle qu'il doit respecter, un devoir de vous prévenir en cas de défaillance, et un droit de vérifier. L'article 21, paragraphe 2, point d de NIS2 attend de vous que vous gériez la sécurité de la relation avec vos fournisseurs directs, et l'article 23 peut faire de l'incident d'un fournisseur votre délai de notification. Ni l'un ni l'autre ne fonctionnent sur la seule bonne foi ; les deux doivent être écrits.

Source officielle : Directive NIS2 sur EUR-Lex — article 21, paragraphe 2, point d (mesures sur la chaîne) et article 23 (notification d'incident).

Les clauses à inclure

Adaptez la formulation à votre secteur et à votre conseil, mais couvrez chacune d'elles. Elles correspondent directement aux mesures attendues par NIS2 et aux délais qu'elle impose.

1

Socle de sécurité aligné sur les mesures NIS2

Exigez du fournisseur qu'il maintienne les mesures de l'article 21, paragraphe 2 pertinentes pour le service : gestion des risques, contrôle d'accès, MFA, chiffrement, gestion des vulnérabilités et correctifs, et sauvegardes testées. Référencez les mesures explicitement pour que la norme soit objective, et non une vague « bonne pratique du secteur ».

2

Fenêtre de notification d'incident

Fixez un délai ferme (souvent 24 heures) pour que le fournisseur vous notifie un incident de sécurité affectant votre service, un contact nommé joignable hors heures ouvrées, et les informations minimales à fournir. C'est ce qui vous permet de respecter votre propre alerte précoce de 24 heures et notification de 72 heures au titre de l'article 23.

3

Droit de demander des preuves et d'auditer

Réservez-vous le droit de demander des preuves des contrôles (certificats, résultats de tests, sorties de scan) et, pour les fournisseurs à risque plus élevé, d'auditer ou de commander une évaluation indépendante. Sans cela, « nous sommes sécurisés » est invérifiable.

4

Répercussion aux sous-traitants (quatrième partie)

Exigez que le fournisseur impose des obligations de sécurité et de notification équivalentes à ses propres sous-traitants, et qu'il divulgue ceux qui traitent significativement vos données ou soutiennent le service. Votre risque ne s'arrête pas à votre fournisseur direct.

5

Engagements de vulnérabilités et de correctifs

Définissez les délais attendus pour corriger les vulnérabilités activement exploitées et critiques sur les systèmes qui vous servent, et l'obligation de vous informer si une vulnérabilité pertinente ne peut être corrigée à temps.

6

Localisation des données et transparence des sous-traitants ultérieurs

Exigez la divulgation du lieu de traitement et de stockage de vos données et des sous-traitants utilisés, avec préavis avant tout changement important. Cela soutient à la fois votre vue chaîne d'approvisionnement NIS2 et vos obligations RGPD.

7

Coopération, remédiation et droit d'intervention

Obligez le fournisseur à coopérer à votre réponse à incident et avec toute autorité, à remédier aux constats dans les délais convenus, et accordez-vous des recours (plan de remédiation, escalade, in fine résiliation) à défaut.

8

Survie et restitution des données en fin de contrat

Assurez que la confidentialité, les obligations de preuve et la restitution ou suppression sécurisée de vos données survivent à la résiliation, afin qu'un fournisseur sortant ne devienne pas une exposition non surveillée.

Voyez comment vos fournisseurs se situent réellement

7 jours gratuits · sans carte bancaire · annulez à tout moment

Signez, puis vérifiez en continu

Une clause contractuelle pose l'obligation ; elle ne dit pas si le fournisseur la respecte aujourd'hui. L'écart entre la signature et la réalité est là où surviennent les incidents de chaîne d'approvisionnement. Associez les clauses à une surveillance externe et continue de la posture de chaque fournisseur afin que, lorsqu'un élément dérive (un certificat qui expire, des identifiants fuités, un service nouvellement exposé), vous le voyiez et puissiez invoquer la clause, plutôt que de l'apprendre par la notification d'incident.

Erreurs fréquentes

  • Une norme vague de « mesures de sécurité appropriées » sans rien d'objectif à faire respecter.
  • Aucun délai de notification, de sorte que vous apprenez l'incident d'un fournisseur une fois votre propre compte à rebours déjà lancé.
  • Des clauses qui s'arrêtent au fournisseur direct et ignorent les sous-traitants.
  • Signer une fois et ne jamais vérifier, traitant le contrat comme la fin de la diligence plutôt que son début.

Voir une surveillance fournisseurs de niveau NIS2

Un exemple de rapport fournisseur (constats, cartographie NIS2 et preuves) en deux minutes.

7 jours gratuits · sans carte bancaire · annulez à tout moment

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont

La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter

Ce que sont les sanctions NIS2 : les plafonds de l'article 34 (10 M€ / 2 % pour les entités essentielles, 7 M€ / 1,4 % pour les importantes), la responsabilité personnelle de la direction (art. 20, art. 32), les mesures non pécuniaires et comment les éviter.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.

Statut de transposition de NIS2 : dans quels pays de l'UE est-elle en vigueur

Lesquels des 27 États membres de l'UE ont transposé NIS2 en droit national et lesquels finalisent encore, et pourquoi les écarts atteignent votre chaîne d'approvisionnement malgré tout.

Dernière révision: 19 juin 2026

Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.