Appréciations coordonnées des risques au titre de l'article 22 de NIS 2
L'article 22 est la manière dont l'UE apprécie le risque stratégique de chaîne d'approvisionnement pour des éléments comme la 5G, le cloud et les fournisseurs de services gérés. Le groupe de coopération réalise l'appréciation. L'ENISA et la Commission l'appuient. Les entités doivent ensuite en tenir compte lorsqu'elles choisissent leurs fournisseurs au titre de l'article 21, paragraphe 2, point d).
La version courte
L'article 22 de NIS 2 confère au groupe de coopération, conjointement avec la Commission et l'ENISA, le pouvoir de mener des appréciations coordonnées des risques sur la sécurité des chaînes d'approvisionnement pour des services, systèmes ou produits TIC critiques spécifiques. La boîte à outils 5G de 2020 a été le premier exemple concret. Le cloud, les fournisseurs de services gérés, les fournisseurs d'identité et d'autres peuvent être appréciés de la même manière.
Ces appréciations sont au niveau de l'UE et stratégiques. Elles couvrent les facteurs de risque techniques et, le cas échéant, les facteurs non techniques aussi. Non technique signifie la géopolitique, l'environnement réglementaire, la propriété et le contrôle des fournisseurs. La boîte à outils 5G a traité le risque lié aux fournisseurs à haut risque hors UE sous exactement cet intitulé.
L'article 22 ne lie pas les entités directement. L'article 21, paragraphe 3, le fait. Les entités dans le périmètre doivent tenir compte des résultats des appréciations coordonnées lorsqu'elles choisissent leurs mesures de sécurité fournisseurs au titre de l'article 21, paragraphe 2, point d). C'est le pont entre la stratégie au niveau de l'UE et les achats au niveau de l'entité.
Article 22, paragraphes 1 et 2, de la directive NIS 2 (2022/2555)
1) Le groupe de coopération, en coopération avec la Commission et l'ENISA, peut mener des appréciations coordonnées des risques de sécurité de chaînes d'approvisionnement de services TIC, systèmes TIC ou produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques. 2) La Commission, après consultation du groupe de coopération et de l'ENISA, et le cas échéant des parties prenantes concernées, recense les services TIC, systèmes TIC ou produits TIC critiques spécifiques susceptibles de faire l'objet de l'appréciation coordonnée des risques de sécurité visée au paragraphe 1.
L'article 22 met en place le mécanisme. Le groupe de coopération réalise l'appréciation. La Commission choisit quels produits, systèmes et services TIC sont appréciés. L'ENISA appuie les deux. Les appréciations sont à l'échelle de l'UE et stratégiques, et non entité par entité.
Article 21, paragraphe 3, de NIS 2 + CIR (UE) 2024/2690 §5
Article 21, paragraphe 3 : Les États membres veillent à ce que, lorsqu'elles examinent quelles mesures visées au point d) du paragraphe 2 du présent article sont appropriées, les entités tiennent compte des vulnérabilités propres à chaque fournisseur direct et prestataire de services directs ainsi que de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé. Les États membres veillent également à ce que, lorsqu'elles examinent quelles mesures visées audit point sont appropriées, les entités soient tenues de prendre en compte les résultats des appréciations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques menées conformément à l'article 22, paragraphe 1.
L'article 21, paragraphe 3, est l'effet au niveau de l'entité. Si vous êtes dans le périmètre et que vous choisissez des fournisseurs au titre de l'article 21, paragraphe 2, point d), vous devez tenir compte des résultats de l'article 22. Le CIR §5 fixe ensuite le détail opérationnel de la sécurité fournisseurs au niveau de l'entité, et la profondeur de la preuve d'achat est régie par la clause de proportionnalité de l'article 21, paragraphe 1.
§30, alinéa 2, point 4, du BSIG et participation au groupe de coopération (Allemagne)
La sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, y compris la gestion et la divulgation des vulnérabilités.
L'Allemagne reprend l'obligation de sécurité fournisseurs dans le §30, alinéa 2, point 4, du BSIG. Le BMI et le BSI participent au groupe de coopération pour le compte de l'Allemagne, de sorte que les résultats de l'article 22 alimentent les orientations nationales. Le BSI publie des synthèses dans ses Infopakete et ses orientations sectorielles. Il n'existe pas de loi allemande distincte pour l'article 22 lui-même : c'est un mécanisme du groupe de coopération, et l'effet au niveau de l'entité passe déjà par le §30 du BSIG.
Qui le mène
Le groupe de coopération, travaillant avec la Commission et l'ENISA. Le groupe de coopération est le forum permanent des autorités des États membres au titre de l'article 14 de NIS 2. L'ENISA apporte l'appui technique et rédige une grande partie de l'analyse sous-jacente. La Commission convoque et pilote.
Ce qu'il couvre
La Commission choisit les produits, systèmes et services TIC critiques spécifiques qui sont appréciés. Après consultation du groupe de coopération, de l'ENISA et, le cas échéant, d'autres parties prenantes. La 5G a été la première. Le cloud, les fournisseurs d'identité, les fournisseurs de services gérés et d'autres peuvent suivre. Rien dans le texte ne le limite à une seule technologie.
Comment il atterrit au niveau de l'entité
Les entités dans le périmètre doivent tenir compte des résultats de l'appréciation lorsqu'elles choisissent leurs fournisseurs au titre de l'article 21, paragraphe 2, point d). C'est la prise opérationnelle. Pas « se conformer à l'article 22 ». « Tenir compte des résultats de l'article 22 lors du choix et de la gestion de vos fournisseurs ».
Stratégique au niveau de l'UE, opérationnel au niveau de l'entité
L'article 22 se situe à la couche stratégique de l'UE. Le groupe de coopération, la Commission et l'ENISA le mènent. Le résultat est une lecture coordonnée d'une chaîne d'approvisionnement particulière. Les entités opérationnalisent ensuite cette lecture par l'article 21, paragraphe 2, point d), et le CIR §5, modulés par la clause de proportionnalité de l'article 21, paragraphe 1. Les deux couches ne se confondent pas en une seule.
Facteurs de risque techniques et non techniques
L'article 22, paragraphe 1, nomme explicitement les deux. Les facteurs techniques sont la surface de cybersécurité habituelle : vulnérabilités connues, pratiques de développement sécurisé, comportement de correctifs. Les facteurs non techniques sont la géopolitique, l'exposition réglementaire, la propriété et le contrôle du fournisseur. La boîte à outils 5G a traité les profils de fournisseurs à haut risque hors UE sous exactement cet intitulé. L'article 22 est le seul article de NIS 2 où le risque non technique est nommé dans le texte.
Le BMI et le BSI via le groupe de coopération
Le BMI et le BSI représentent l'Allemagne au groupe de coopération. Lorsqu'une appréciation coordonnée est publiée, le BSI en intègre la substance dans ses Infopakete et ses orientations sectorielles. Le §30, alinéa 2, point 4, du BSIG porte l'obligation de sécurité fournisseurs au niveau de l'entité. Le résultat de l'article 22 est l'un des éléments qui déterminent la manière dont un auditeur allemand lit « approprié » au titre du §30.
Appui technique de l'ENISA
L'ENISA est nommée à l'article 22, paragraphe 1, comme partenaire technique. Elle réalise une grande partie du travail analytique des appréciations coordonnées et l'alimente dans le groupe de coopération. L'ENISA tient également les orientations techniques de mise en œuvre du CIR, que les entités utilisent ensuite pour opérationnaliser les obligations de sécurité fournisseurs au titre de l'article 21, paragraphe 2, point d).
Transpositions nationales de l'article 21, paragraphe 3
Chaque État membre transpose l'article 21, paragraphe 3, dans sa propre loi NIS 2 (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). L'obligation de tenir compte des résultats des appréciations coordonnées est la même à l'échelle de l'UE. Ce qui diffère, c'est quelle autorité nationale publie des orientations et comment les règles d'achat reprennent les résultats de l'appréciation.
L'article 22 n'est que la règle 5G.
La 5G a été le premier exemple concret, pas le seul. L'article 22, paragraphe 2, confère à la Commission un pouvoir ouvert de choisir quels produits, systèmes et services TIC critiques sont appréciés. Le cloud, les fournisseurs de services gérés, les fournisseurs d'identité et d'autres peuvent tous y être soumis. Traiter l'article 22 comme un article 5G uniquement sous-estime largement son périmètre.
Nous sommes sous le seuil de taille, donc l'article 22 ne nous concerne pas.
L'article 22 lui-même ne s'applique pas directement aux entités. Il s'applique au niveau de l'UE. Ce qui s'applique à vous, si vous êtes une entité dans le périmètre de NIS 2, c'est l'article 21, paragraphe 3 : vous devez tenir compte des résultats des appréciations coordonnées dans vos choix de fournisseurs au titre de l'article 21, paragraphe 2, point d). Votre taille ne change rien à cette obligation une fois que vous êtes dans le périmètre.
L'article 22 est la manière dont l'UE fait appliquer NIS 2 contre les fournisseurs.
L'article 22 est un mécanisme d'appréciation des risques, pas un outil de contrôle. Il n'impose pas d'obligations aux fournisseurs. Il produit une lecture coordonnée de l'UE dont les entités doivent ensuite tenir compte au titre de l'article 21, paragraphe 3. Le contrôle des entités passe par les autorités de surveillance nationales au titre des articles 31 à 37. Le contrôle des fournisseurs passe indirectement par les clauses d'achat au niveau de l'entité au titre de l'article 21, paragraphe 2, point d).
Surveillez les résultats du groupe de coopération. Le BSI les synthétise dans les Infopakete. L'ENISA les référence dans les mises à jour des TIG. Si une appréciation coordonnée porte sur une technologie dont vous dépendez (5G, cloud, fournisseurs de services gérés), mettez à jour votre politique de sécurité fournisseurs et votre registre des fournisseurs en conséquence. Citez l'appréciation dans le dossier pour qu'un auditeur voie le lien.
La boîte à outils 5G est l'exemple concret. Certaines restrictions sur les fournisseurs à haut risque se sont répercutées dans les règles d'achat nationales, puis dans les choix de fournisseurs au niveau de l'entité. Attendez-vous au même schéma lorsque de nouvelles appréciations seront publiées. Vous n'avez pas besoin de lire le document complet du groupe de coopération. La synthèse du BSI plus une entrée d'une ligne sur les fournisseurs concernés dans votre registre suffisent à montrer que vous avez tenu compte des résultats.
Le registre des fournisseurs relie chaque fournisseur aux résultats pertinents de l'article 22, le cas échéant. Si une appréciation coordonnée classe un fournisseur ou une catégorie de fournisseurs, vous étiquetez le fournisseur avec cette classification. Votre auditeur voit à la fois la référence de l'appréciation et votre décision de traitement au même endroit.
Le registre des risques reprend les mêmes étiquettes. Un fournisseur sous appréciation coordonnée apparaît comme une entrée de risque avec l'appréciation comme source. Le traitement, la validation et la revue continue passent par le flux standard du CIR §2. Pas de flux de travail distinct pour les éléments de l'article 22. Même forme que tout autre risque fournisseur, juste avec une citation externe plus forte.
- Directive (UE) 2022/2555 (NIS 2), articles 21 et 22 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §5 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Boîte à outils de l'UE pour la cybersécurité, mesures d'atténuation des risques pour les réseaux 5G (2020) — digital-strategy.ec.europa.eu
- Loi sur le BSI (BSIG), §30, alinéa 2, point 4, telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Orientations techniques de mise en œuvre de l'ENISA pour le CIR (UE) 2024/2690 (en date de mai 2026)