Art. 21(2)(d) + Art. 23 NIS 2

Un fournisseur est piraté. Qu'exige NIS 2 de l'entité ?

L'article 21(2)(d) NIS 2 place la sécurité de la chaîne d'approvisionnement sur l'entité. L'article 23 régit la notification d'incident. Les deux s'appliquent lorsqu'un fournisseur touché expose les services propres de l'entité.

Simon OrzelSimon Orzel·

Ce que couvre cette page

L'article 21(2)(d) NIS 2 impose aux entités de prendre des mesures appropriées et proportionnées pour traiter le risque de sécurité de la chaîne d'approvisionnement pesant sur leurs propres réseaux et systèmes d'information. L'obligation incombe à l'entité, pas au fournisseur. La directive ne réglemente pas les fournisseurs qui sont eux-mêmes hors du champ d'application ; elle réglemente la manière dont l'entité dans le champ d'application les gère.

Lorsqu'un fournisseur direct est piraté, deux questions distinctes se posent. Premièrement, la propre prestation de services de l'entité a-t-elle été affectée, ce qui peut déclencher une notification d'incident au titre de l'article 23 au niveau de l'entité. Deuxièmement, la chaîne de notification contractuelle au titre de l'article 21(2)(d) fonctionne-t-elle, de sorte que l'entité soit informée de la compromission dans le délai convenu et sur le canal convenu.

Une compromission chez le fournisseur touché n'est pas, à elle seule, un incident à notifier pour l'entité. Elle le devient lorsque la compromission cause un incident important au niveau de l'entité au sens de l'article 23(3) NIS 2.

Ancrage juridique
Trois niveaux régissent la situation. La directive place l'obligation, le règlement d'exécution la précise pour les entités d'infrastructure numérique, la loi nationale la transpose.

Article 21(2)(d) NIS 2

la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services.

L'article traite de la relation avec les fournisseurs directs, et non du fournisseur lui-même. L'entité reste responsable de la gestion de cette relation, y compris pour les incidents qui s'en propagent.

Considérant 90 NIS 2

les entités devraient évaluer et prendre en compte la qualité et la résilience globales des produits et services, les mesures de gestion des risques en matière de cybersécurité qui y sont intégrées, ainsi que les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisé.

Le considérant 90 explique la logique de politique publique sous-jacente à l'article 21(2)(d). Il présente la sécurité de la chaîne d'approvisionnement comme une évaluation continue de la posture du fournisseur, et non comme un contrôle ponctuel à l'intégration.

Article 23(3) NIS 2

un incident est considéré comme important si : a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité concernée ; b) il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable.

L'article 23(3) définit le seuil d'importance au niveau de l'entité. Un incident de fournisseur est apprécié sous cet angle dès qu'il atteint les propres services de l'entité.

Trois choses que l'entité doit faire
Détection, évaluation des dépendances et décision de notification. Dans cet ordre.
Détection

Être informé de la compromission à temps

L'article 21(2)(d) s'opérationnalise en une clause contractuelle. Le fournisseur touché doit notifier l'entité dans un délai défini et sur un canal défini. Sans cette clause, l'entité l'apprend par des communiqués de presse, ce qui est trop tard pour un calendrier de l'article 23.

Dépendance

Évaluer la propre exposition de l'entité

La question n'est pas de savoir si le fournisseur a des ennuis. La question est de savoir si les propres réseaux et systèmes d'information de l'entité, ou les services qu'elle fournit, sont affectés. C'est un exercice factuel : quelles données, quelle interface, quelle dépendance, quel mode de repli.

Notification

Décider de la propre notification de l'entité

Si les propres services de l'entité franchissent le seuil de l'article 23(3), l'entité dépose l'alerte précoce dans les 24 heures, la notification d'incident dans les 72 heures et le rapport final dans un délai d'un mois. La notification est déposée par l'entité pour l'entité, même si la cause profonde se situe chez le fournisseur.

Deux principes que les gens se trompent
Ce ne sont pas des avis juridiques. Ce sont des descriptions de ce que la directive place où.

L'obligation incombe à l'entité

L'article 21 énumère les mesures que l'entité doit adopter. Il ne réglemente pas le fournisseur. Si le fournisseur touché relève lui-même du champ d'application de NIS 2, il a ses propres obligations. Ces obligations ne remplacent pas celles de l'entité ; elles s'appliquent en parallèle.

Le contrat avant la crise

Le considérant 90 attend que la relation fournisseur soit évaluée avant qu'un incident ne survienne. La chaîne de notification, l'obligation de coopération, le droit de recevoir des preuves : tout cela vit dans le contrat. Après une compromission, c'est le mauvais moment pour les négocier.

Vue nationale
L'Allemagne transpose la directive par le BSIG. L'obligation matérielle de l'article 21(2)(d) est mise en œuvre par le §30 BSIG, le calendrier de notification par le §32 BSIG.
Allemagne

§30 + §32 BSIG

Le §30 BSIG transpose en droit allemand l'obligation de gestion du risque de chaîne d'approvisionnement. Le §32 BSIG transpose la structure de notification 24 h / 72 h / un mois. L'entité notifie via le Meldeportal du BSI, quel que soit le lieu où la compromission d'origine s'est produite.

EU

ENISA Threat Landscape for Supply Chain

L'ENISA publie chaque année des éléments sur les schémas d'attaque de la chaîne d'approvisionnement et la pratique de notification. Il s'agit d'un document de référence pour la méthodologie de risque de l'entité au titre de l'article 21(2)(d), et non d'une obligation distincte.

Secteur

Orientations des CSIRT sectoriels

Pour les entités d'infrastructure numérique, le règlement d'exécution de la Commission 2024/2690 précise les exigences de chaîne d'approvisionnement au niveau de détail suivant. Les autres secteurs suivent directement l'article 21(2)(d), affiné par les orientations nationales et les CSIRT sectoriels.

Trois lectures erronées courantes
Chacune revient régulièrement. Chacune est fausse pour une raison précise.
  • « C'est le problème du fournisseur. »

    L'article 21(2)(d) place l'obligation de chaîne d'approvisionnement sur l'entité. Le fournisseur peut avoir ou non ses propres obligations NIS 2, selon qu'il relève ou non du champ d'application. L'obligation de l'entité existe dans tous les cas.

  • « Le fournisseur notifie, donc l'entité n'a pas à le faire. »

    Un fournisseur relevant du champ d'application de NIS 2 notifie son propre incident important. Cette notification ne satisfait pas l'article 23 pour l'entité. Si les propres services de l'entité atteignent le seuil de l'article 23(3), l'entité notifie séparément au niveau de l'entité.

  • « L'informatique surveille le fournisseur, inutile d'impliquer la direction. »

    L'article 20 NIS 2 impose à l'organe de direction d'approuver les mesures de gestion des risques en matière de cybersécurité et de superviser leur mise en œuvre. La surveillance de la chaîne d'approvisionnement est l'une de ces mesures. Un processus informatique silencieux sans validation de l'organe de direction ne satisfait pas l'article 20.

Vue du praticien

Le plus difficile n'est que rarement la notification. Le plus difficile est l'évaluation des dépendances sous la pression du temps. Si l'entité ne sait pas déjà quel fournisseur touche quel service, quelles données et par quelle interface, les premières heures après une compromission de fournisseur sont passées à reconstruire cette cartographie au lieu d'agir sur elle.

Un inventaire des actifs et des fournisseurs qui répertorie, par fournisseur, le service affecté, la catégorie de données et le canal de notification contractuel transforme une compromission de fournisseur d'une urgence en une routine. La directive ne prescrit pas le format de cet inventaire. Elle exige en revanche qu'il existe sous une forme que l'entité peut réellement utiliser.

Comment la plateforme s'intègre

La plateforme tient un registre des fournisseurs lié aux services de l'entité et un champ de notification contractuel par fournisseur. Lorsqu'une compromission de fournisseur est enregistrée, les services affectés ressortent immédiatement et le compteur de notification de l'article 23 peut démarrer sur une cartographie des dépendances propre.

La validation par l'organe de direction de l'approche de risque de la chaîne d'approvisionnement est consignée comme une approbation unique assortie d'une piste d'audit versionnée. La même piste enregistre chaque compromission de fournisseur et la décision d'importance au titre de l'article 23(3) prise par l'entité, de sorte que l'évaluation soit réexaminable ultérieurement.

Sources
  • Directive (UE) 2022/2555 (NIS 2), article 20, article 21(2)(d), article 23, considérant 90. EUR-Lex.
  • Règlement d'exécution (UE) 2024/2690 de la Commission, exigences de chaîne d'approvisionnement pour les entités d'infrastructure numérique.
  • BSIG (Allemagne), §30 (mesures de gestion des risques), §32 (notification d'incident).
  • ENISA Threat Landscape for Supply Chain Attacks, édition annuelle.
Déterminez si NIS 2 s'applique à l'entité
Cinq minutes. Vérification des secteurs de l'annexe I / II plus le seuil de taille. Aucun compte requis pour voir le résultat.