Suis-je un fournisseur de services d'informatique en nuage au sens de NIS 2 ?
NIS 2 inscrit les services d'informatique en nuage au secteur 8 de l'Annexe I (infrastructure numérique). L'article 6(30) fixe la définition juridique couvrant l'IaaS, le PaaS et le SaaS. L'article 2(1) applique ensuite le test de taille habituel de l'entreprise moyenne. Le CIR (UE) 2024/2690 place les fournisseurs de cloud dans son annexe, ce qui signifie que certaines parties de ce règlement vous lient directement dans toute l'UE.
La version courte
Si vous fournissez un service d'informatique en nuage à des clients, vous entrez dans le champ de NIS 2 dès que vous franchissez le seuil de l'entreprise moyenne. L'Annexe I secteur 8 nomme directement les fournisseurs de services d'informatique en nuage sous l'infrastructure numérique. La définition de l'article 6(30) est large : IaaS, PaaS, SaaS, cloud public, cloud privé vendu en tant que service, offres hybrides, tout compte.
Contrairement aux télécommunications ou au DNS, les fournisseurs de cloud ne figurent pas sur la liste « indépendamment de la taille » de l'article 2(2). Le test habituel de l'article 2(1) s'applique : moyenne au sens de la recommandation 2003/361/CE signifie 50 salariés ou plus, ou un chiffre d'affaires annuel supérieur à 10 millions d'EUR. Franchissez l'un ou l'autre seuil et vous entrez dans le champ d'application. Restez sous les deux et vous êtes normalement hors champ, sous réserve des exceptions limitées de l'article 2(2) et (3) qui ne s'appliquent pas au cloud en tant que tel.
L'Allemagne inscrit cela dans le droit national par le §28 BSIG. Le BSI est votre autorité. En plus de la directive, le règlement d'exécution (UE) 2024/2690 de la Commission énumère les fournisseurs de cloud dans son annexe, de sorte que ses exigences techniques et méthodologiques vous lient directement sans nécessiter de loi allemande supplémentaire. Cette page parcourt la directive, la définition de l'UE et la transposition allemande dans cet ordre.
Directive NIS 2 (2022/2555), Annexe I secteur 8 et art. 6(30)
Secteur 8 Infrastructure numérique : fournisseurs de services d'informatique en nuage. Un « service d'informatique en nuage » est un service numérique qui permet l'administration à la demande et l'accès à distance étendu à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties entre plusieurs sites.
Deux passages doivent être lus ensemble. L'Annexe I secteur 8 nomme les fournisseurs de services d'informatique en nuage comme infrastructure essentielle. L'article 6(30) définit ce qui constitue un service d'informatique en nuage. La formulation est neutre sur le plan technologique et couvre l'IaaS, le PaaS et le SaaS. Aucun autre règlement de l'UE ne redéfinit ce terme, de sorte que la définition propre à la directive prévaut.
Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe
Le présent règlement s'applique aux entités visées à l'article 3 de la directive (UE) 2022/2555 énumérées dans l'annexe du présent règlement, à savoir : les fournisseurs de services DNS, les registres de noms de TLD, les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance.
Le CIR (UE) 2024/2690 énumère les fournisseurs de services d'informatique en nuage dans son annexe. C'est le mécanisme juridique qui compte : un règlement est directement applicable, sans transposition nationale nécessaire. Le CIR fixe le cadre détaillé de gestion des risques (§2), les exigences relatives à la gestion des incidents, à la sécurité de la chaîne d'approvisionnement, au traitement des vulnérabilités et les seuils d'« incident important » pour ces secteurs. Les fournisseurs de cloud ont donc affaire à un niveau directive (transposé par le BSIG) plus un niveau règlement qui les lie dans la même formulation dans tous les États membres.
§28 BSIG, Allemagne
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
L'Allemagne transpose les obligations relatives au cloud par le §28 BSIG. Le BSI est l'autorité NIS 2 centrale pour l'enregistrement, le cadre de gestion des risques et la déclaration d'incidents. Les fournisseurs de cloud au-dessus du seuil de taille sont classés comme « besonders wichtige Einrichtungen » (entités essentielles). En dessous du seuil, les obligations ne s'appliquent pas, sauf si l'un des rares cas d'inclusion limités de l'article 2(2) ou (3) est déclenché. Le cloud en tant que tel ne figure pas dans ces listes.
Fournissez-vous un service d'informatique en nuage ?
Appliquez la définition de l'article 6(30). Le service doit être numérique, à la demande, largement accessible à distance et reposer sur un ensemble modulable et variable de ressources pouvant être partagées. L'IaaS (calcul, stockage, réseau), le PaaS (runtimes gérés, bases de données en tant que service) et le SaaS (applications métier multilocataires vendues sur le réseau) répondent tous à la définition. Une application hébergée monolocataire vendue en tant que service y répond généralement aussi, parce que l'ensemble de ressources sous-jacent est partagé au niveau du fournisseur.
Franchissez-vous le seuil de taille ?
Les fournisseurs de cloud suivent le test habituel de l'article 2(1). Au sens de la recommandation 2003/361/CE, la catégorie moyenne commence à 50 salariés ou un chiffre d'affaires annuel supérieur à 10 millions d'EUR (avec un total de bilan annuel supérieur à 10 millions d'EUR comme alternative). À 250 salariés ou un chiffre d'affaires supérieur à 50 millions d'EUR, vous devenez une grande entreprise et êtes classé comme « essentiel ». En dessous de 50 salariés et d'un chiffre d'affaires inférieur à 10 millions d'EUR, vous êtes normalement hors du champ d'application en tant que fournisseur de cloud.
Le CIR vous lie directement
Une fois dans le champ d'application, deux niveaux se superposent. Le BSIG (en Allemagne) transpose la directive. Le CIR (UE) 2024/2690 vous énumère dans son annexe et vous lie directement. Cela signifie que le cadre de gestion des risques du §2 CIR, les règles relatives à la chaîne d'approvisionnement du §6 et les seuils d'importance des incidents s'appliquent dans la même formulation dans chaque État membre. Il n'existe aucune variante nationale du CIR à consulter.
Les trois niveaux de service comptent tous
L'article 6(30) est neutre quant au niveau de service. L'IaaS, le PaaS et le SaaS satisfont tous à la définition parce que les trois reposent sur un ensemble de ressources partagées modulable et variable. Une erreur fréquente consiste à supposer que « cloud » signifie uniquement l'IaaS des hyperscalers. Le texte vise un éditeur SaaS allemand vendant un outil RH multilocataire tout autant qu'AWS, Azure et GCP. Le seuil de taille filtre ensuite qui a effectivement des obligations.
Variable et partageable est la ligne de partage
Si l'ensemble de ressources n'est pas modulable et variable, ou n'est pas partageable, le service n'est pas un service d'informatique en nuage au sens de l'article 6(30). Un serveur dédié à un seul client avec une capacité fixe que vous exploitez pour le compte du client est de l'hébergement, et non du cloud. Une cage de centre de données dédiée à un client est de la colocation, et non du cloud. Les deux peuvent tout de même relever d'autres lignes de l'Annexe I secteur 8 (service de centre de données, service géré), mais pas de la ligne cloud. La définition opère le filtrage.
BSI / §28 BSIG
Le BSI est l'autorité NIS 2 centrale. L'enregistrement, le cadre de gestion des risques, le calendrier de déclaration des incidents (alerte précoce à 24h, notification à 72h, rapport final à 1 mois) passent tous par le BSI. Le §28 BSIG classe les fournisseurs de cloud dans le champ d'application comme « besonders wichtige Einrichtungen ». Une fois le seuil de taille franchi, vous vous enregistrez auprès du BSI.
BSI C5 (référence opérationnelle)
Le C5 est le catalogue de sécurité cloud du BSI. Ce n'est pas une obligation NIS 2, mais en pratique de nombreux clients cloud allemands demandent une attestation C5 type 2 dans leurs contrats. Le jeu de contrôles se recoupe largement avec le cadre de gestion des risques du §2 CIR, de sorte que les fournisseurs détenant déjà une attestation C5 peuvent réutiliser la majeure partie des preuves pour leur documentation de gestion des risques NIS 2.
ENISA / annexe du CIR
L'ENISA, l'agence de l'UE pour la cybersécurité, publie des orientations techniques de mise en œuvre pour le CIR. Parce que les fournisseurs de cloud sont énumérés dans l'annexe du CIR, ces orientations sont la référence quotidienne pour la gestion des risques du §2, les attentes en matière de chaîne d'approvisionnement et le modèle de seuil d'« incident important ». Le texte est identique à l'échelle de l'UE, de sorte qu'un fournisseur de cloud desservant DE, NL, FR et IT applique la même formulation du CIR sur chaque marché.
Autorités nationales de cybersécurité
Chaque État membre dispose de sa propre autorité NIS 2 gérant le niveau de l'enregistrement et de la surveillance : RDI aux Pays-Bas, ANSSI en France, ACN en Italie, INCIBE en Espagne. Les obligations de la directive sont transposées localement, le CIR lie la même formulation partout. Pour un fournisseur de cloud vendant dans toute l'UE, les enregistrements sont nationaux, le cadre de gestion des risques est un seul document utilisé partout.
Nous louons des serveurs dédiés, donc nous sommes un fournisseur de cloud au sens de NIS 2.
Généralement non, sur la ligne cloud. L'article 6(30) exige un ensemble modulable et variable de ressources pouvant être partagées. Un serveur dédié (bare-metal) loué à un seul client avec une capacité fixe est de l'hébergement. Cela peut vous faire relever de la ligne service de centre de données de l'Annexe I secteur 8 (définition différente, même secteur), ou de la ligne fournisseur de services gérés si vous l'exploitez aussi pour le client, mais pas du service d'informatique en nuage. Lisez les définitions, pas l'étiquette marketing de votre propre grille tarifaire.
Nous sommes un petit SaaS, donc les règles cloud ne s'appliquent pas à nous.
Le test juridique est en deux parties. D'abord l'article 6(30) : un SaaS multilocataire vendu sur le réseau sur une infrastructure partagée répond à la définition. Ensuite l'article 2(1) : le seuil de taille. Si vous avez moins de 50 salariés et moins de 10 millions d'EUR de chiffre d'affaires, vous êtes hors du champ d'application sur la ligne cloud. Si vous franchissez l'un ou l'autre, vous y êtes. « De niche » n'est pas une catégorie juridique. Les chiffres et la définition font le travail.
Nous exploitons un cloud privé pour notre propre groupe, donc nous sommes un fournisseur de cloud dans le champ d'application.
Généralement non. Le service de l'article 6(30) doit être fourni à des clients. Un cloud privé purement interne ne desservant que votre propre organisation n'est pas un service au sens réglementaire, de sorte qu'il ne compte pas pour la ligne cloud. Vous pouvez tout de même être dans le champ de NIS 2 au titre du secteur dans lequel votre groupe opère (énergie, santé, transports, fabrication), mais pas en tant que fournisseur de services d'informatique en nuage sur la base d'une plateforme interne.
Un éditeur SaaS allemand de 60 personnes avec un produit multilocataire et 12 millions d'EUR de chiffre d'affaires annuel est dans le champ de NIS 2 sur la ligne cloud. L'Annexe I secteur 8 nomme les fournisseurs de services d'informatique en nuage ; l'article 6(30) est satisfait parce que l'ensemble de ressources est partagé, variable et accessible à distance ; l'article 2(1) est satisfait parce que l'entreprise est de taille moyenne. Le §28 BSIG la classe comme « besonders wichtige Einrichtungen ». L'annexe du CIR la place sous le cadre de gestion des risques du §2 qui lie directement. Rien de tout cela n'est discrétionnaire.
Ce que nous voyons en pratique : le fournisseur rédige un cadre de gestion des risques du §2 CIR contre sa pile de production (application, runtime, couche de données, identité, comptes cloud de support), met en correspondance les thèmes de l'article 21(2) avec le cadre, et utilise la proportionnalité de l'article 21(1) pour ajuster la profondeur à une exploitation de 60 personnes. La détection des incidents, la cadence de notification 24h / 72h / 1 mois et les obligations relatives à la chaîne d'approvisionnement du §6 CIR reposent toutes sur la même liste d'actifs. Une attestation C5 type 2, si le fournisseur en détient une, couvre une large part des preuves du §2 et est réutilisée comme documentation, sans être refaite.
Notre test d'applicabilité parcourt l'article 6(30) étape par étape. Il demande ce que vous fournissez, si l'ensemble de ressources est partagé et variable, et si le service est vendu à des clients. Le résultat vous indique quelle ligne de l'Annexe I s'applique (cloud, centre de données, service géré, toutes des définitions distinctes), si le seuil de taille de l'article 2(1) vous vise, et quelles catégories de l'annexe du CIR vous lient directement en plus du BSIG.
Le module des actifs couvre la pile de production sur un seul inventaire : frontières des locataires, fournisseurs d'identité, magasins de données, comptes cloud de support, sous-traitants tiers. Le cadre de gestion des risques du §2 CIR s'exécute ensuite contre cet inventaire, de sorte que la même liste d'actifs alimente l'enregistrement auprès du BSI, les évaluations de la chaîne d'approvisionnement du §6 CIR et les preuves de l'attestation C5 sans double maintenance.
- Directive (UE) 2022/2555 (NIS 2), Annexe I secteur 8 et définition du service d'informatique en nuage de l'article 6(30) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 2(1) champ d'application par taille et par secteur ; article 2(2) inclusions indépendantes de la taille — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises — eur-lex.europa.eu/eli/reco/2003/361/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe (énumère les fournisseurs de services d'informatique en nuage parmi les entités directement liées) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi sur le BSI (BSIG), §28 telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), édition en vigueur — bsi.bund.de