Chaîne d'approvisionnement NIS 2 : les bases
L'article 21(2)(d) NIS 2 impose aux entreprises réglementées de sécuriser l'ensemble de leur chaîne d'approvisionnement. Cette page couvre les bases : ce que dit la règle, qui elle atteint, ce que vos clients demanderont et comment les fournisseurs prouvent leur cybersécurité sans devenir eux-mêmes une entité réglementée.
Pourquoi les petits fournisseurs sont concernés par NIS2
NIS2 (art. 21(2)(d) NIS-2, transposé au §30(2)(4) BSIG) impose explicitement aux entreprises réglementées de sécuriser l'ensemble de leur chaîne d'approvisionnement. Cela signifie que chaque entité essentielle et importante (les estimations du BSI situent la cohorte allemande aux alentours de 29 500) doit exiger contractuellement des normes de cybersécurité de ses fournisseurs.
Si votre entreprise compte moins de 50 salariés ou se situe en deçà des seuils de chiffre d'affaires, vous n'êtes pas directement réglementé par NIS2. Mais si vous fournissez des services informatiques, des logiciels, des composants, de la logistique ou tout autre service à une entreprise réglementée, vous serez confronté aux exigences NIS2 par le biais de vos contrats.
Ce n'est pas théorique. Les grandes entreprises mettent déjà à jour leurs conditions d'achat, ajoutent des clauses de cybersécurité et demandent des preuves de conformité à leurs fournisseurs. Les entreprises incapables de démontrer des mesures de sécurité adéquates risquent de perdre des contrats au profit de concurrents qui en sont capables.
§30(2) no 4 BSIG : sécurité de la chaîne d'approvisionnement
Les entités réglementées doivent garantir la « sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations avec les fournisseurs directs » (§30(2)(4) BSIG, transposant l'art. 21(2)(d) NIS-2). Cette obligation se répercute contractuellement sur chaque fournisseur de la chaîne.
Exigences contractuelles
Les entreprises réglementées par NIS2 doivent intégrer des exigences de cybersécurité dans les contrats de leurs fournisseurs. Attendez-vous à de nouvelles clauses couvrant la gestion des risques, la notification d'incident et les contrôles d'accès. Les contrats existants seront renégociés.
Audits et questionnaires fournisseurs
Vos clients enverront des questionnaires de sécurité et pourront mener des audits. Les entreprises qui utilisent nisd2.eu peuvent générer des preuves de conformité instantanément : celles qui n'ont pas de système s'agitent pendant des semaines.
Obligations de notification d'incident
Si un incident de sécurité dans votre entreprise affecte un client réglementé par NIS2, celui-ci doit adresser une alerte précoce au BSI dans les 24 heures (avec une notification complète dans les 72 heures et un rapport final dans un délai d'un mois, §32 BSIG). Il a besoin que vous disposiez de processus de détection et de notification des incidents qui fonctionnent.
Avantage concurrentiel
Lorsqu'une entreprise réglementée choisit entre deux fournisseurs et que l'un peut démontrer une sécurité alignée sur NIS2 tandis que l'autre ne le peut pas : le choix est évident. La conformité devient un facteur de différenciation commercial.
Exigences des cyberassurances
Les cyberassureurs exigent de plus en plus des preuves de sécurité de la chaîne d'approvisionnement. Les polices d'assurance de vos clients peuvent imposer que leurs fournisseurs respectent des normes minimales de cybersécurité.
Évaluation des risques
Identifiez et documentez les risques pesant sur les systèmes que vous utilisez pour le travail réalisé pour vos clients. Cela n'a pas besoin d'être complexe : une liste structurée assortie de plans de traitement suffit.
Contrôle d'accès
Qui peut accéder aux données et aux systèmes des clients ? Accès fondé sur les rôles, MFA pour l'accès à distance et gestion documentée des utilisateurs.
Gestion des incidents
Un processus documenté de détection, de réponse et de notification des incidents de sécurité. Votre client doit être informé en quelques heures, pas en quelques semaines.
Continuité d'activité
Que se passe-t-il si vos systèmes tombent en panne ? Stratégie de sauvegarde, procédures de rétablissement et plans testés pour continuer à livrer vos clients.
Politiques et preuves
Politiques de sécurité écrites, registres de formation et une piste d'audit prouvant que vous suivez vos propres règles. C'est ce que les auditeurs vérifient réellement.
Vérifiez votre exposition
Utilisez notre vérification d'applicabilité gratuite pour confirmer votre statut NIS2. Même si vous n'êtes pas directement dans le champ d'application, identifiez lesquels de vos clients sont réglementés par NIS2 : ces contrats s'accompagneront de nouvelles exigences.
Réalisez une évaluation des écarts
Comparez vos pratiques de sécurité actuelles aux 10 mesures du §30 BSIG. La plupart des petites entreprises en font déjà une partie de façon informelle : l'écart porte généralement sur la documentation, pas sur la pratique.
Mettez en œuvre les bases
Commencez par les éléments à plus fort impact : contrôle d'accès, stratégie de sauvegarde, processus de réponse aux incidents. La plateforme nisd2.eu vous accompagne à travers chaque exigence avec des modèles préétablis.
Constituez votre dossier de preuves
Lorsque votre client envoie un questionnaire de sécurité, vous devez avoir vos réponses prêtes. Politiques, registres de formation, évaluations des risques et mesures techniques : tout documenté et exportable.
Révisez chaque année
La conformité NIS2 n'est pas un projet ponctuel. Planifiez une révision annuelle de vos risques, mettez à jour vos politiques et actualisez la formation des collaborateurs. La plateforme suit automatiquement les échéances.
Questions fréquentes
Suis-je légalement tenu de me conformer à NIS2 en tant que petit fournisseur ?▾
Pas directement : NIS2 s'applique aux entreprises au-dessus du seuil européen de moyenne entreprise (50 salariés ou plus OU (plus de 10 M€ de chiffre d'affaires ET plus de 10 M€ de total de bilan), au titre de la recommandation 2003/361/CE de la Commission) dans un secteur réglementé. Toutefois, vos clients réglementés par NIS2 sont légalement tenus de sécuriser leur chaîne d'approvisionnement (§30(2)(4) BSIG, transposant l'art. 21(2)(d) NIS-2). Cela crée une obligation contractuelle qui se répercute sur vous. Vous ne serez pas sanctionné par le BSI, mais vous pourriez perdre des contrats.
Que se passe-t-il si je ne me conforme pas ?▾
Vos clients réglementés par NIS2 encourent des amendes pouvant atteindre 10 M€ / 2 % du chiffre d'affaires annuel mondial (entités essentielles) ou 7 M€ / 1,4 % (entités importantes) s'ils manquent à leurs obligations de sécurité de la chaîne d'approvisionnement (§65 BSIG). Ils exigeront soit que vous vous conformiez, soit ils vous remplaceront par un fournisseur qui le peut. La conséquence pratique est la perte d'activité, et non une amende du BSI.
Combien coûte la conformité d'un fournisseur ?▾
La plateforme nisd2.eu est gratuite. Pour une petite entreprise (10 à 50 salariés), le coût principal est le temps : généralement 2 à 4 semaines de travail à temps partiel pour mettre en place les premières politiques, évaluations des risques et processus. La maintenance courante représente quelques heures par trimestre.
Puis-je utiliser la conformité NIS2 comme argument de vente ?▾
Absolument. Lorsque vous pouvez démontrer des pratiques de sécurité alignées sur NIS2 avec des preuves documentées, vous devenez un fournisseur privilégié. Certaines entreprises font déjà valoir la conformité NIS2 de leur chaîne d'approvisionnement comme facteur de différenciation concurrentiel dans leurs appels d'offres et propositions.
Et si mon client ne m'a pas encore rien demandé ?▾
Il le fera. Le délai d'enregistrement auprès du BSI est passé en mars 2026 et plusieurs milliers d'entreprises rattrapent encore leur retard de mise en œuvre. À mesure qu'elles mettent en œuvre NIS2, la sécurité de la chaîne d'approvisionnement est l'une des 10 mesures obligatoires (§30(2)(4) BSIG). Anticiper la demande vous positionne comme un partenaire proactif et de confiance.
Démarrez votre conformité de chaîne d'approvisionnement : gratuit
La plateforme nisd2.eu vous guide à travers chaque exigence, génère votre dossier de preuves et vous maintient prêt pour l'audit. Sans coût, sans carte bancaire.