Les fournisseurs d'entités NIS 2 ne sont pas automatiquement des entités NIS 2
L'article 2 de NIS 2 détermine le champ d'application en fonction de ce que vous êtes, non de la personne à qui vous vendez. Les relations clients ne vous y entraînent pas. Les obligations de votre client atterrissent dans votre boîte de réception par son contrat de marché au titre de l'article 21, paragraphe 2, point d).
En bref
La question de savoir si NIS 2 s'applique à votre entreprise est déterminée uniquement par l'article 2 de la directive. Deux tests. Votre secteur doit figurer à l'annexe I ou II. Et vous devez atteindre le seuil de taille (entreprise moyenne au sens de la recommandation 2003/361/CE de la Commission, avec quelques dérogations indépendantes de la taille à l'article 2, paragraphes 2 à 4). L'identité de vos clients ne fait pas partie du test.
Ainsi, vendre à un client soumis à NIS 2 ne vous fait pas entrer dans le champ d'application. Vous ne devenez une entité NIS 2 que si votre propre secteur et votre propre taille satisfont à eux seuls l'article 2. Si tel n'est pas le cas, vous êtes hors du champ d'application, même si chaque client de votre liste y est inclus.
Ce qui circule effectivement le long de la chaîne d'approvisionnement est contractuel, non juridique. L'article 21, paragraphe 2, point d), impose aux entités NIS 2 de gérer la sécurité de leurs fournisseurs directs. L'outil qu'elles utilisent est le contrat de marché : clauses, questionnaires, demandes de preuves. Vous ressentez la pression parce que votre client veut la réponse, non parce qu'une autorité de régulation s'adresse à vous.
Directive NIS 2 (UE) 2022/2555, art. 2, paragraphe 1
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Le champ d'application est lié à deux faits relatifs à l'entité elle-même : le secteur figurant à l'annexe I ou II, et le seuil de taille. Les relations clients, les contrats et les liens de la chaîne d'approvisionnement ne figurent pas dans le texte et n'étendent pas le champ d'application. L'article 2, paragraphes 2 à 4, ajoute quelques dérogations indépendantes de la taille pour des types d'entités spécifiques, mais aucune d'elles n'est déclenchée par le fait d'être le fournisseur de quelqu'un.
NIS 2, art. 21, paragraphe 2, point d) + règlement d'exécution (UE) 2024/2690 de la Commission, §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
L'article 21, paragraphe 2, point d), fait peser l'obligation sur l'entité NIS 2 (l'acheteur), non sur le fournisseur. Le CIR 2024/2690, §5, en fait une politique de sécurité des fournisseurs assortie de critères de sélection écrits et d'un registre des risques fournisseurs. Le fournisseur fait ce que le contrat prévoit. L'autorité de régulation ne s'adresse qu'à l'acheteur.
§30 BSIG (Allemagne)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
L'Allemagne reprend l'article 21, paragraphe 2, point d), presque mot pour mot dans le §30 BSIG. L'obligation frappe l'entité incluse dans le champ d'application. Elle ne déclare pas ses fournisseurs inclus dans le champ d'application. Les autres États membres transposent le même article 21 avec le même mécanisme côté acheteur (NL Cyberbeveiligingswet, AT NISG, successeur de la LPM en FR).
Votre secteur figure-t-il à l'annexe I ou II ?
Annexe I (hautement critique) : énergie, transport, secteur bancaire, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace. Annexe II (critique) : services postaux, déchets, produits chimiques, denrées alimentaires, fabrication de dispositifs médicaux et de machines, fournisseurs numériques, recherche. Si votre activité ne relève d'aucun de ces secteurs, vous êtes hors champ, peu importe à qui vous vendez. Une petite imprimerie qui approvisionne un hôpital reste une imprimerie.
Êtes-vous une entreprise moyenne ou plus grande ?
Le seuil est la définition de la PME figurant dans la recommandation 2003/361/CE de la Commission : au moins 50 salariés et au moins 10 millions d'EUR de chiffre d'affaires ou de bilan, ou plus. Si vous êtes en deçà, vous êtes hors champ, à moins que l'une des dérogations indépendantes de la taille de l'article 2, paragraphes 2 à 4, ne vous y inclue malgré tout (par exemple si vous êtes le seul fournisseur d'un service essentiel, un prestataire de services de confiance qualifié, ou un fournisseur de service DNS).
Une exclusion vous écarte-t-elle ?
Même si les tests 1 et 2 sont positifs, l'article 2, paragraphes 7 à 11, peut vous écarter (sécurité nationale, sécurité publique, défense, application de la loi) ou un droit de l'Union plus spécifique peut prévaloir (les entités financières relevant de DORA sont dispensées de l'article 21 et de l'article 23, mais s'enregistrent tout de même au titre de l'article 27). Être le fournisseur d'une entité NIS 2 n'est jamais une exclusion qui vous y inclut. Ce n'est jamais non plus un critère de déclenchement qui vous y inclut.
Champ d'application par entité
L'article 2 rattache la directive à une entité spécifique sur la base de ses propres attributs. Il n'existe pas de champ d'application dérivé. DORA fonctionne de la même manière (entités financières par type et par taille). La directive CER fonctionne de la même manière (entités critiques par secteur). Le CRA fonctionne de la même manière (fabricants de produits comportant des éléments numériques). Chaque instrument délimite son champ d'application selon ce qu'est la partie réglementée, non selon la personne à qui elle vend.
Les contrats se répercutent, pas la loi
L'article 21, paragraphe 2, point d), rend l'acheteur responsable de la gestion du risque de sécurité de ses fournisseurs. L'outil de l'acheteur est le contrat. Les fournisseurs subissent donc une pression commerciale, non une pression réglementaire. La clause de proportionnalité de l'article 21, paragraphe 1, régit l'ampleur des preuves que l'acheteur peut demander : un éditeur de logiciels à haut risque reçoit un questionnaire plus approfondi, un SaaS bureautique à faible risque en reçoit un plus léger. Votre rôle en tant que fournisseur est de lire ces demandes comme des conditions commerciales, non comme des ordres d'une autorité de régulation.
BSI / BMI : les §28 et §30 BSIG distinguent acheteur et fournisseur
Le §28 BSIG énumère les types d'entités incluses dans le champ d'application et applique le test de taille à l'entité elle-même. Le §30 BSIG (l'obligation relative à la chaîne d'approvisionnement) rend une besonders wichtige ou wichtige Einrichtung spécifique responsable de ses relations avec ses fournisseurs. Aucune de ces dispositions n'inclut dans le champ d'application un fournisseur ne satisfaisant pas aux critères. Le contrôle d'applicabilité du BSI (Betroffenheitsprüfer) teste le secteur et la taille de celui qui effectue le contrôle, non de ses clients.
ENISA : champ d'application au titre de l'article 2, risque fournisseur au titre de l'article 21
Les orientations de mise en œuvre de l'ENISA traitent le champ d'application et les mesures relatives à la chaîne d'approvisionnement comme deux questions distinctes. Le champ d'application correspond à l'annexe I ou II plus la taille. La sécurité des fournisseurs est l'une des mesures que l'entité incluse dans le champ d'application met en œuvre dans le cadre de sa propre gestion des risques. Elle n'inclut pas les fournisseurs dans NIS 2. Le registre de l'ENISA au titre de l'article 27 ne recense que les entités qui sont elles-mêmes incluses dans le champ d'application.
Les autres États membres appliquent le même test par entité
La Cyberbeveiligingswet néerlandaise, la NISG autrichienne et la transposition française (remplaçant la LPM pour les secteurs civils) interprètent toutes l'article 2 de la même manière. Une entreprise néerlandaise de gestion des déchets approvisionnant un opérateur énergétique belge n'est incluse dans le champ d'application que si la gestion des déchets est l'une de ses propres activités et qu'elle atteint le seuil de taille aux Pays-Bas. Les autorités nationales ne peuvent étendre la directive par le droit national pour couvrir des entreprises qui ne satisfont pas aux critères par elles-mêmes.
Notre client est inclus dans le champ d'application, nous le sommes donc aussi.
Non. L'article 2, paragraphe 1, vous applique la directive sur la base de votre secteur et de votre taille. Le statut de votre client ne fait pas partie du test. Vous pouvez tout de même être tenu de respecter des clauses de sécurité contractuelles que le client vous présente. Cela ne fait pas de vous une entité NIS 2. Cela fait de vous une partie contractante.
NIS 2 se répercute en cascade le long de la chaîne d'approvisionnement.
Non. Les contrats se répercutent en cascade. La directive ne le fait pas. L'article 21, paragraphe 2, point d), rend l'acheteur responsable de la gestion de la sécurité de ses fournisseurs directs. L'acheteur l'intègre dans les contrats de marché. Vous êtes redevable envers l'acheteur (au titre du contrat), non envers l'autorité de régulation (au titre de NIS 2). Même logique pour les sous-fournisseurs : seule la relation directe relève du champ de l'article 21, paragraphe 2, point d), non le fournisseur du fournisseur.
Notre client nous a dit de nous enregistrer auprès de l'autorité nationale, nous devons donc le faire.
Non. L'enregistrement au titre de l'article 27 n'est requis que pour les entités qui sont elles-mêmes incluses dans le champ d'application au titre de l'article 2 (avec des règles supplémentaires pour les fournisseurs DNS, les fournisseurs d'informatique en nuage, les MSP et quelques autres). Un client ne peut pas inventer une obligation d'enregistrement pour vous. Si un acheteur insiste, demandez-lui sous quelle entrée d'annexe et quel seuil de taille il pense que vous relevez. Si la réponse ne figure pas à l'article 2, l'obligation n'existe pas.
Si vous êtes l'acheteur (une entité NIS 2), votre rôle au titre de l'article 21, paragraphe 2, point d), et du §5 du CIR est de rédiger une politique de sécurité des fournisseurs assortie de critères de sélection, de tenir un registre des risques fournisseurs et d'intégrer des clauses de sécurité proportionnées dans les contrats de vos fournisseurs directs. Vous évaluez et vous gérez. Vous ne déléguez pas cela à l'autorité de régulation. Le §5 du CIR indique explicitement que vous pouvez choisir des preuves adaptées au risque : certification ISO 27001, rapports SOC 2, synthèses de tests d'intrusion, attestations de développement sécurisé. L'article 21, paragraphe 1, vous permet d'ajuster le degré de preuve au risque réel du fournisseur. Un éditeur de logiciels à haut risque reçoit une demande plus approfondie que l'entreprise qui imprime vos cartes de visite.
Si vous êtes le fournisseur et que votre client est inclus dans le champ d'application, faites d'abord passer le test de l'article 2 à vous-même. Si vous n'y satisfaites pas, vous n'êtes pas une entité NIS 2. Votre client vous adressera tout de même des obligations de sécurité contractuelles. Lisez-les comme des conditions commerciales : négociez le périmètre, le degré de preuve, les droits d'audit, les délais de notification des violations. Si vous satisfaites bien à l'article 2 par vous-même, enregistrez-vous au titre de l'article 27 et respectez les articles 21 et 23 de votre propre chef, quoi que demande un client donné.
Pour les acheteurs, la plateforme transforme l'obligation de l'article 21, paragraphe 2, point d), et du §5 du CIR en un outil opérationnel : un registre des fournisseurs avec des niveaux de risque, une bibliothèque de clauses, un flux de travail de preuves et un portail fournisseurs où vos fournisseurs répondent au questionnaire. Vous conservez le registre. Votre fournisseur ne voit que les questions qui lui sont adressées.
Pour les fournisseurs, le portail fournisseurs vous permet de répondre une fois au questionnaire de sécurité et de réutiliser la réponse auprès de plusieurs clients. Le portail rend visible la nature commerciale de la demande : vous répondez à la politique d'achats de votre client, non à une autorité de régulation. Si vous vous révélez être inclus dans le champ d'application par vous-même au titre de l'article 2, la même plateforme gère votre propre registre d'obligations NIS 2 côté acheteur.
- Directive (UE) 2022/2555 (NIS 2), article 2 (champ d'application), annexe I et annexe II (secteurs), article 21, paragraphe 2, point d) (sécurité de la chaîne d'approvisionnement) et article 21, paragraphe 3 (prise en compte des vulnérabilités propres à chaque fournisseur).
- Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, §5 (sécurité de la chaîne d'approvisionnement) : politique d'achats assortie de critères de sélection, registre des risques fournisseurs, obligations de sécurité contractuelles.
- Recommandation 2003/361/CE de la Commission, article 2 de l'annexe (définition de l'entreprise moyenne : au moins 50 salariés et au moins 10 millions d'EUR de chiffre d'affaires ou de total de bilan).
- BSIG (Allemagne) §28 (Einrichtungsarten und Größenkriterien) et §30 (Risikomanagementmaßnahmen, y compris Lieferkettensicherheit), mettant en œuvre les art. 2 et 21 de NIS 2.
- Orientations de mise en œuvre de NIS 2 de l'ENISA et spécification du registre des entités au titre de l'art. 27 : le champ d'application au titre de l'art. 2 détermine si une entité est enregistrée ; les mesures relatives à la chaîne d'approvisionnement au titre de l'art. 21 déterminent ce qu'une entité incluse dans le champ d'application fait à l'égard de ses fournisseurs.