Anhang I Sektor 9 NIS 2

Sommes-nous un fournisseur de services gérés au sens de NIS2 ?

NIS2 a ajouté les MSP comme secteur nouveau qui n'existait pas dans NIS 1. Si vous exploitez à distance les systèmes informatiques de vos clients, vous relevez très probablement du champ d'application. L'annexe I secteur 9 nomme l'activité. L'article 6(39) en définit le périmètre. Le test de la taille s'applique toujours, avec une seule exception étroite qui ne couvre pas la plupart des MSP.

Simon OrzelSimon Orzel·

En bref

NIS 1 ne comportait pas du tout les MSP en tant que catégorie. La directive de 2022 les a ajoutés. L'annexe I secteur 9 énumère la gestion des services TIC sur une base interentreprises, et l'article 6(39) en donne la définition juridique : une entité qui fournit des services liés à l'installation, la gestion, l'exploitation ou la maintenance de produits, réseaux, infrastructures, applications TIC ou de tout autre réseau et système d'information, par voie d'assistance ou d'administration active réalisée soit dans les locaux des clients, soit à distance. Si cela vous décrit, vous êtes très probablement un MSP relevant du champ d'application.

MSP et MSSP sont deux catégories distinctes. L'article 6(39) définit le MSP. L'article 6(40) définit le MSSP comme un fournisseur de services gérés qui réalise ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité. Les deux relèvent de l'annexe I secteur 9. Une entité peut être les deux à la fois. La plupart des prestataires informatiques généralistes sont des MSP et non des MSSP. Un pur SOC ou une société de tests d'intrusion est un MSSP.

Le test de la taille s'applique toujours. NIS2 s'applique normalement aux entreprises moyennes et plus grandes : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et de total du bilan, conformément à l'article 2(1) et à la recommandation 2003/361/CE. L'article 2(2)(g) prévoit un ensemble étroit de secteurs où la taille ne conditionne pas le champ d'application, mais cette dérogation couvre le DNS, les registres de TLD, les prestataires de services de confiance qualifiés et quelques autres types d'infrastructure numérique. Elle n'inclut pas les petits MSP indépendamment de leur taille. Un petit MSP en dessous du test de la taille est hors du champ d'application de NIS2.

La source juridique
L'annexe I énumère la gestion des services TIC comme secteur. L'article 6(39) définit le MSP. L'article 2(1) et la recommandation 2003/361/CE fixent le test de la taille. Le §28 BSIG est la porte d'entrée allemande, avec l'Anlage 1 qui énumère explicitement les MSP.

Directive NIS2 (2022/2555), annexe I secteur 9

Gestion des services TIC (interentreprises) : fournisseurs de services gérés ; fournisseurs de services de sécurité gérés.

NIS 1 ne contenait pas du tout ce secteur. NIS2 l'a introduit comme catégorie nouvelle, ce qui constitue l'une des plus importantes extensions pratiques du champ d'application dans la directive. Le MSP et le MSSP se situent tous deux à l'intérieur du même ensemble de l'annexe I secteur 9. Le qualificatif « interentreprises » importe : servir des consommateurs n'est pas couvert par le secteur 9, servir d'autres entreprises l'est.

Article 6(39) de la directive NIS2 (définition du MSP)

On entend par fournisseur de services gérés une entité qui fournit des services liés à l'installation, la gestion, l'exploitation ou la maintenance de produits, réseaux, infrastructures, applications TIC ou de tout autre réseau et système d'information, par voie d'assistance ou d'administration active réalisée soit dans les locaux des clients, soit à distance.

L'article 6(40) ajoute la définition du MSSP : un fournisseur de services gérés qui réalise ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité. La directive choisit les verbes délibérément : installation, gestion, exploitation, maintenance, administration active. Vendre un produit sans exploitation continue ne satisfait pas à la définition. Un service d'assistance qui réinitialise des mots de passe sans exploiter les systèmes n'y satisfait pas non plus.

§28 BSIG (Allemagne), Anlage 1 secteur « Digitale Infrastruktur »

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

Le §28 BSIG, conjointement avec l'Anlage 1 du BSIG, nomme explicitement les « Anbieter von verwalteten Diensten » (MSP) et les « Anbieter von verwalteten Sicherheitsdiensten » (MSSP) sous le Sektor Digitale Infrastruktur, qui correspond à l'annexe I secteur 9 de NIS2. La sektorspezifische FAQ du BSI ajoute une clarification pratique utile : le simple hébergement web ne fait pas de vous un MSP, et une remise de projet ponctuelle non plus. C'est l'administration active continue qui importe.

Trois questions à trancher
Trois tests dans l'ordre. Le service d'abord, la taille ensuite, MSP contre MSSP en troisième. Les deux premiers décident si NIS2 s'applique. Le troisième décide de la sous-catégorie dans laquelle vous vous situez.
Service

Exploitez-vous activement les systèmes informatiques de vos clients ?

L'article 6(39) énumère les verbes qui comptent : installation, gestion, exploitation, maintenance, administration active. Réalisée dans les locaux du client ou à distance. La relation client doit être continue, et non une installation ponctuelle. Le simple hébergement web sans administration est exclu. Vendre une licence logicielle et s'en aller est exclu. Exploiter un pare-feu géré, appliquer des correctifs sur les serveurs des clients, exploiter leur tenant Microsoft 365, gérer à distance les terminaux : tout cela est inclus.

Taille

Êtes-vous une entreprise moyenne ou plus grande ?

L'article 2(1) plus la recommandation 2003/361/CE : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et de total du bilan. Appliquez le test à l'entité juridique. L'article 2(2)(g) énumère des dérogations sectorielles étroites où la taille ne conditionne pas le champ d'application, mais le MSP ne figure pas sur cette liste de dérogations. La dérogation s'applique aux fournisseurs de services DNS, aux registres de noms de domaine de premier niveau (TLD), aux prestataires de services de confiance qualifiés et à quelques autres types d'infrastructure numérique. Un petit MSP en dessous du test de la taille est hors du champ d'application, point final.

MSP contre MSSP

Fournissez-vous également des services de sécurité ?

L'article 6(40) définit le MSSP comme un fournisseur de services gérés qui réalise ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité. Un SOC, un service de détection et de réponse géré, une mission de test d'intrusion avec un accompagnement de remédiation continu, un service de gestion des vulnérabilités : ce sont des activités de MSSP. Un prestataire informatique généraliste qui exploite des serveurs et des terminaux est un MSP. Un prestataire qui exploite la pile de sécurité par-dessus est les deux. L'annexe I traite les deux comme « wichtige Einrichtung » au titre du §28(2) BSIG par défaut.

Deux principes qui tranchent la plupart des cas limites
Les deux découlent directement de la formulation de l'article 6(39). Les deux tranchent des cas qui paraissent ambigus en surface.

« Géré » est une liste de verbes large, pas une étiquette marketing

Certaines entités ne se qualifient pas de MSP et satisfont pourtant à la définition. Certaines se qualifient de MSP et n'y satisfont pas. Le test juridique est la liste de verbes de l'article 6(39) : installation, gestion, exploitation, maintenance, administration active de produits, réseaux, infrastructures, applications ou systèmes TIC pour des tiers. Si ces verbes décrivent ce que vous faites de manière récurrente, vous êtes un MSP au sens de NIS2, que votre site web le dise ou non.

Votre propre informatique interne ne fait pas de vous un MSP

Exploiter l'informatique pour vous-même n'est pas un service géré. Le client doit être quelqu'un d'autre. Les services informatiques internes au service de leur propre employeur ne relèvent pas du champ d'application en tant que MSP. Une société de services distincte au sein d'un groupe qui exploite l'informatique pour les entités sœurs est une question différente et compte généralement, car les sociétés sœurs sont des parties juridiquement distinctes. Voir la page sur l'informatique de groupe pour ce cas.

Comment les régulateurs nationaux appliquent cela
La définition du MSP relève du droit de l'UE à l'article 6(39), elle est donc identique dans chaque État membre. Ce qui diffère, c'est l'autorité auprès de laquelle vous vous enregistrez et la rigueur avec laquelle l'orientation sectorielle la lit.
Allemagne

BSI / §28 BSIG et Anlage 1

Le BSI est l'autorité cyber pour les MSP en Allemagne. L'Anlage 1 du BSIG énumère les « Anbieter von verwalteten Diensten » et les « Anbieter von verwalteten Sicherheitsdiensten » sous Digitale Infrastruktur, ce qui correspond directement à l'annexe I secteur 9 de NIS2. La sektorspezifische FAQ du BSI contient le texte pratique le plus utile : le simple hébergement web n'est pas un MSP, un projet ponctuel n'est pas un MSP, l'administration active continue l'est. Le portail d'enregistrement du §33 BSIG est l'endroit où les MSP au-dessus du test de la taille s'enregistrent.

À l'échelle de l'UE

ENISA Technical Implementation Guidance

Le TIG de l'ENISA couvre les activités MSP et MSSP au titre du chapitre de l'annexe I secteur 9 et met en correspondance les mesures de l'article 21 avec les opérations qu'exécute un MSP type. Le tableau de correspondance du TIG renvoie à ISO 27001, NIST CSF 2.0 et ETSI 319 401, de sorte que les MSP qui exploitent déjà un ISMS ou une opération alignée sur l'ETSI peuvent réutiliser l'essentiel de ce travail.

Autres États membres

Les MSP aux Pays-Bas, en Autriche, en Belgique et ailleurs

L'article 6 de la directive constitue un ensemble unique de définitions pour toute l'UE. Les autres transpositions reprennent la formulation : l'Autriche via la NISG, les Pays-Bas via la Cyberbeveiligingswet, la Belgique via la NIS2-Wet. Un MSP servant des clients par-delà les frontières relève du champ d'application partout où il dispose d'un établissement, et s'enregistre dans chaque État membre où il fournit le service. La définition de fond ne change pas d'un pays à l'autre.

Trois pièges que nous voyons presque chaque semaine
Les trois reviennent dans les échanges avec des MSP qui tentent de trancher leur question de champ d'application. Les trois sont faux.

  • Nous ne faisons que répondre à des tickets, nous ne gérons pas vraiment les systèmes des clients.

    Si les tickets impliquent l'installation, la configuration, l'application de correctifs ou l'exploitation des systèmes des clients de manière continue, il s'agit d'une administration active au sens de l'article 6(39). Réactif ne signifie pas hors du champ d'application. Un service d'assistance qui ne fait que réinitialiser des mots de passe sans toucher aux systèmes sous-jacents est une exception étroite. Un service d'assistance qui applique des correctifs à Windows, redémarre des services ou déploie une configuration sur les terminaux fournit des services gérés.

  • Nous sommes trop petits pour relever du champ d'application, la dérogation nous y inclut quand même.

    L'article 2(2)(g) n'inclut pas les petits MSP indépendamment de leur taille. La dérogation s'applique aux fournisseurs de services DNS, aux registres de noms de domaine de premier niveau (TLD), aux prestataires de services de confiance qualifiés, aux fournisseurs de réseaux publics de communications électroniques et de services, et à quelques autres types d'infrastructure numérique. Les MSP ne figurent pas sur cette liste. Un petit MSP en dessous du test de la taille (moins de 50 salariés et ne dépassant pas les seuils de chiffre d'affaires et de total du bilan) est hors du champ d'application de NIS2 lui-même, même si les contrats clients peuvent encore exiger que vous démontriez les mesures de l'article 21 au titre de la clause sur la chaîne d'approvisionnement.

  • Nous ne servons que notre propre groupe, nous sommes donc un service informatique interne.

    Si les entités que vous servez sont juridiquement distinctes de votre société de services, même au sein du même groupe, il s'agit de services rendus à des tiers au sens de l'article 6(39). Une GmbH de services informatiques centralisés qui exploite l'infrastructure des GmbH sœurs est un MSP dans la lecture NIS2. La page distincte sur l'informatique de groupe traite ce cas plus en détail.

À quoi cela ressemble en pratique

Un MSP type du segment intermédiaire, avec 70 salariés, environ 80 clients PME et une offre de services mêlant terminaux gérés, administration Microsoft 365, pare-feu gérés et gestion des correctifs pour les serveurs des clients, se situe sans ambiguïté dans le champ d'application de NIS2. L'annexe I secteur 9 capte l'activité. L'article 6(39) capte les verbes. Le test de la taille est confortablement satisfait avec 70 salariés. La classification par défaut au titre du §28(2) BSIG est « wichtige Einrichtung ».

Le registre des risques du §30 doit couvrir l'infrastructure de gestion qui touche aux systèmes des clients : outillage RMM, hôtes de rebond, la pile SOC si vous en exploitez une, la pile d'accès à privilèges. La cascade de notification d'incident du §32 s'applique lorsqu'un incident affecte votre propre infrastructure ou, par extension, les clients que vous administrez. L'enregistrement du §33 est une soumission unique auprès du BSI pour l'ensemble de l'entité juridique. Les contrats clients doivent ensuite comporter des clauses au titre de l'article 21(2)(d) pointant vers les mêmes mesures, ce qui est le point où la conformité de la chaîne d'approvisionnement rejoint la conformité du MSP.

Comment nous traitons cela sur la plateforme

Le contrôle d'applicabilité guide les MSP à travers le cas de l'annexe I secteur 9 de manière explicite. Vous cochez les verbes de service que vous exécutez, la plateforme applique le test de la taille et vous indique dans quelle catégorie du §28 BSIG vous atterrissez. Si vous exploitez également des services de sécurité, elle propose la branche MSSP en parallèle sans vous forcer à choisir l'une ou l'autre.

Le portail fournisseurs gère l'autre côté du contrat. Les clients qui achètent des services gérés auprès de vous peuvent recevoir un questionnaire structuré et un résumé publié des mesures de l'article 21, de sorte qu'une seule preuve couvre l'ensemble des clauses contractuelles que vous enverriez sinon en PDF à chaque client séparément.

Sources
  • Directive (UE) 2022/2555 (NIS2), annexe I secteur 9 (gestion des services TIC B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directive (UE) 2022/2555 (NIS2), article 6(39) (définition du fournisseur de services gérés) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directive (UE) 2022/2555 (NIS2), article 6(40) (définition du fournisseur de services de sécurité gérés) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directive (UE) 2022/2555 (NIS2), article 2(1) et article 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises
  • Loi BSI (BSIG), §28 et Anlage 1 secteur Digitale Infrastruktur, telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
  • FAQ sectorielle (sektorspezifische FAQ) du BSI sur l'Anlage 1 Nr. 6.1.10 (Managed Services Provider) — bsi.bund.de
Lancez le contrôle d'applicabilité MSP
Confrontez les verbes de l'article 6(39) à votre portefeuille de services réel. Obtenez une réponse unique pour l'ensemble de l'entité juridique, branches MSP et MSSP en parallèle. Gratuit, open source, sans verrouillage.
Ouvrir le contrôle d'applicabilité