Clauses contractuelles fournisseurs NIS 2
L'article 21, paragraphe 2, point d), de NIS 2 oblige les entités à traiter la sécurité dans leurs relations avec leurs fournisseurs directs et prestataires de services directs. L'article 21, paragraphe 1, décide jusqu'où va cette obligation.
Ce qu'exige l'article 21, paragraphe 2, point d)
L'article 21, paragraphe 2, point d), de NIS 2 inscrit la sécurité de la chaîne d'approvisionnement parmi les dix mesures minimales de gestion des risques de cybersécurité. La directive est précise quant au périmètre : elle couvre les aspects liés à la sécurité de la relation entre une entité et ses fournisseurs directs ou prestataires de services directs. Elle ne réglemente pas l'ensemble de la chaîne d'approvisionnement, et elle n'exige pas une clause type générique.
La clause associée est l'article 21, paragraphe 1. Toutes les mesures au titre de l'article 21, paragraphe 2, y compris la sécurité des relations fournisseurs, doivent être appropriées et proportionnées aux risques auxquels l'entité fait face. Le coût de mise en œuvre, la taille de l'entité, la probabilité des incidents et leur gravité entrent tous dans le test de proportionnalité. On n'attend pas la même profondeur contractuelle d'une régie de déchets de 60 personnes et d'un fournisseur cloud de premier rang.
La question pratique pour une entité dans le périmètre n'est donc pas quelles clauses copier depuis un modèle, mais quels aspects liés à la sécurité de chaque relation fournisseur importent, quelle preuve l'entité a besoin pour gérer le risque résiduel, et comment consigner que le choix fondé sur le risque a été fait délibérément.
Article 21, paragraphe 2, point d), de NIS 2
la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services directs
L'une des dix mesures minimales énumérées à l'article 21, paragraphe 2. Notez la limitation délibérée aux fournisseurs directs et prestataires de services directs. La directive n'étend pas la clause aux sous-fournisseurs de rang n. Les considérants 85 et 90 confirment que l'appréciation est fondée sur le risque et tient compte des vulnérabilités propres à chaque fournisseur et de la qualité globale de leurs pratiques de cybersécurité.
CIR 2024/2690, annexe section 5
Les entités concernées établissent, mettent en œuvre et appliquent une politique de sécurité de la chaîne d'approvisionnement régissant les relations avec leurs fournisseurs directs et prestataires de services directs.
Le règlement d'exécution 2024/2690 de la Commission précise la mesure relative à la chaîne d'approvisionnement pour les seules entités d'infrastructure numérique (DNS, registres de TLD, cloud, centres de données, CDN, services gérés et services de sécurité gérés, places de marché en ligne, moteurs de recherche, réseaux sociaux, prestataires de services de confiance). La section 5 de l'annexe énumère les critères de sélection, les exigences contractuelles, les obligations de surveillance et la gestion de la sortie. Pour les autres secteurs, c'est le droit national de transposition qui s'applique.
§30, alinéa 2, point 4, du BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
La NIS2UmsuCG allemande transpose l'article 21, paragraphe 2, point d), un pour un dans le §30, alinéa 2, point 4, du BSIG. Le §30, alinéa 1, du BSIG reporte la clause de proportionnalité. Les orientations du BSI à ce jour traitent la sécurité des relations fournisseurs comme une obligation de politique plus contrat plus surveillance, et non comme une liste de clauses.
Quels fournisseurs sont dans le périmètre
L'article 21, paragraphe 2, point d), vise les fournisseurs directs et prestataires de services directs, et non l'ensemble de la chaîne en amont. Une entité est censée identifier quels fournisseurs traitent, transmettent ou stockent des données dont l'entité dépend, ou dont l'interruption de service affecterait son service essentiel ou important. Le fournisseur de papeterie est hors périmètre, l'hébergeur cloud de la base de données clients est dans le périmètre. Le critère de sélection est le risque que le fournisseur introduit, pas la valeur du contrat.
Ce que la couche contractuelle couvre généralement
Les orientations du BSI et la section 5 du CIR décrivent une politique de relations fournisseurs qui se traduit en exigences contractuelles. Les éléments courants que recherchent les régulateurs comprennent une référence à une base de sécurité, une obligation de notification d'incident alignée sur les délais de l'article 23, la transparence sur les sous-traitants importants, un droit d'audit ou de preuve proportionné au risque, et des droits de résiliation pour motifs de sécurité. La profondeur est calibrée par classe de risque fournisseur, et non appliquée uniformément.
Comment l'entité vérifie le fournisseur
La directive est neutre en matière de technologie et de certificat. La preuve peut être un questionnaire fournisseur, une certification reconnue telle qu'ISO 27001 ou SOC 2, un rapport de test d'intrusion récent, ou une clause d'audit contractuelle exercée par échantillonnage. La section 5 du CIR 2024/2690 énumère explicitement plusieurs formes de preuve acceptables. L'entité décide quelle forme est appropriée à la classe de risque de chaque fournisseur et documente cette décision.
Fournisseurs directs uniquement, pas de répercussion automatique
L'article 21, paragraphe 2, point d), nomme les fournisseurs directs et prestataires de services directs. Il n'impose pas de répercussion contractuelle à chaque sous-fournisseur de rang n. Lorsque le risque lié aux sous-traitants est important, l'entité le traite par le contrat direct, généralement en exigeant la transparence sur les sous-traitants critiques et des droits d'approbation pour les changements importants. Une clause de répercussion globale n'est pas une exigence de la directive et est généralement inopposable à des parties sans contrat direct.
Proportionné au risque, pas une norme fixe
L'article 21, paragraphe 1, exige que les mesures soient appropriées et proportionnées, tenant compte de l'état de l'art, du coût de mise en œuvre, de la taille de l'entité, de son exposition, de la probabilité des incidents et de leur gravité. La même proportionnalité s'applique à la clause de relation fournisseur. Un bon de commande standard n'a pas besoin d'une clause d'audit complète si le risque fournisseur est faible. Un fournisseur de services de sécurité gérés justifie une clause plus poussée qu'un fournisseur de matériel. La décision est documentée, pas normalisée.
BSI IT-Grundschutz OPS.2 et ORP.4
Les modules de base du référentiel IT-Grundschutz du BSI OPS.2 (externalisation côté utilisateurs de services) et CON.7 (externalisation côté prestataires de services), plus ORP.4 (identité et accès), décrivent un processus de relations fournisseurs compatible avec l'article 21, paragraphe 2, point d). Pour les entités utilisant le raccourci Grundschutz du §44, alinéa 2, du BSIG, l'application de ces modules est traitée comme preuve de la mesure de relation fournisseur.
ENISA Threat Landscape for Supply Chain Attacks
Les rapports répétés de l'ENISA sur les attaques de la chaîne d'approvisionnement cadrent le tableau de risque auquel la directive répond. L'ENISA ne publie pas de modèle de contrat. Ses travaux sont référencés dans les considérants de la directive sur le risque de chaîne d'approvisionnement et nourrissent la méthodologie de risque fournisseurs du groupe de coopération, mais ce n'est pas une norme contractuelle contraignante.
CIR 2024/2690 annexe section 5
Pour les onze types d'entités d'infrastructure numérique dans le périmètre du CIR 2024/2690, la section 5 de l'annexe fixe une spécification de politique fournisseurs plus concrète : critères de sélection, exigences contractuelles, surveillance tout au long du cycle de vie du contrat, conditions de sortie. Pour tous les autres secteurs, cela reste une orientation utile mais non directement contraignante ; la transposition nationale et les orientations de l'autorité prévalent.
Un avenant fournisseur unique, signé par tous, satisfait à l'article 21, paragraphe 2, point d).
La directive oblige les entités à traiter les aspects liés à la sécurité de la relation, ce que l'article 21, paragraphe 1, rattache à un test de proportionnalité par fournisseur. Un avenant unique appliqué uniformément contredit la proportionnalité et crée soit des petits fournisseurs sur-contractés, soit des prestataires critiques sous-contractés. L'artefact défendable est la politique de risque fournisseurs plus la classification de risque par fournisseur, les clauses contractuelles découlant de cette classification.
La certification ISO 27001 côté fournisseur remplace tous les droits d'audit et de preuve.
Une certification reconnue est une preuve acceptable pour de nombreuses classes de risque fournisseur, mais l'article 21, paragraphe 2, point d), ne nomme pas ISO 27001 et ne délègue pas l'obligation à un certificateur. L'entité reste responsable de la relation au titre du §30 du BSIG. Lorsque le risque fournisseur est élevé ou que le périmètre de certification exclut le service consommé, des droits de vérification supplémentaires restent appropriés. La section 5 du CIR énumère explicitement plusieurs formes de preuve en parallèle.
Les petits fournisseurs sont hors du périmètre de l'obligation de sécurité fournisseurs de l'entité.
L'article 21, paragraphe 2, point d), n'exempte pas les petits fournisseurs. Le périmètre NIS 2 propre au fournisseur au titre de l'article 2 est une question distincte. L'obligation de l'entité est de traiter les aspects liés à la sécurité de sa relation fournisseur directe, indépendamment de la taille du fournisseur, calibrée au risque que ce fournisseur introduit. Un hébergeur de sauvegarde de deux personnes traitant des données critiques attire plus d'attention qu'un prestataire de restauration de mille personnes.
Les auditeurs qui examinent la sécurité fournisseurs dans les entités NIS 2 demandent généralement trois artefacts dans cet ordre : la politique de risque fournisseurs qui fixe la logique de classification, l'inventaire des fournisseurs avec la classification appliquée, et un échantillon de contrats de chaque classe de risque montrant comment la politique se reflète. Les clauses contractuelles elles-mêmes sont la dernière couche, pas la première.
Lorsque l'entité utilise la voie Grundschutz du §44, alinéa 2, du BSIG, les modules OPS.2 et CON.7 structurent déjà la politique de risque fournisseurs et la couche contractuelle. Les entités hors d'Allemagne s'appuient sur les orientations équivalentes de l'autorité nationale ou, pour les entités d'infrastructure numérique, sur la section 5 de l'annexe du CIR 2024/2690. La directive elle-même n'impose pas de liste de clauses uniforme.
Le module fournisseurs de la plateforme capture les artefacts qu'un auditeur attend : un inventaire des fournisseurs avec classification de risque, le service ou l'actif lié, la forme de preuve convenue par fournisseur (questionnaire, référence de certification, clause d'audit, preuve ponctuelle), et le chemin de notification d'incident remontant vers le propre flux de notification de l'article 23 de l'entité.
Le portail fournisseurs permet aux fournisseurs directs de répondre aux questionnaires et de téléverser des preuves sous un accès par jeton, de sorte que l'échange est documenté au même endroit. La plateforme ne publie pas de modèles de contrat. Elle consigne que la mesure de relation fournisseur au titre du §30, alinéa 2, point 4, du BSIG est en place et étayée par fournisseur.
- Directive (UE) 2022/2555 (NIS 2), article 21, paragraphe 2, point d), et article 21, paragraphe 1, EUR-Lex
- Considérants 85 et 90, directive (UE) 2022/2555, EUR-Lex
- Règlement d'exécution (UE) 2024/2690 de la Commission, annexe section 5, EUR-Lex
- BSIG §30, alinéa 2, point 4, et §30, alinéa 1, gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, modules OPS.2 et CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA