Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

NIS2 Chaîne d'Approvisionnement: Pourquoi Vous Devrez Peut-être Vous Conformer Même Sans Être Directement Concerné

Vous avez vérifié les critères NIS2: moins de 50 employés, moins de 10 millions d'euros de chiffre d'affaires, pas dans un secteur critique. Donc NIS2 ne s'applique pas à vous, n'est-ce pas? Pas si vite. Si l'un de vos clients est soumis à NIS2, il est légalement tenu d'évaluer votre cybersécurité. Cela signifie que NIS2 vous atteint via la chaîne d'approvisionnement, que vous soyez directement concerné ou non.

Ce Que NIS2 Dit Réellement Sur les Chaînes d'Approvisionnement

NIS2 ne se contente pas de suggérer la sécurité de la chaîne d'approvisionnement. Elle l'impose. L'article 21(2)(d) de la Directive (UE) 2022/2555 exige des entités essentielles et importantes qu'elles mettent en oeuvre des mesures concernant: Consultez notre explication des toutes les exigences NIS2 pour le contexte complet.

"la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs"

— NIS2 Directive, Article 21(2)(d)

L'article 21(3) va plus loin, exigeant des entités qu'elles évaluent la "qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées." Ce n'est pas une recommandation. C'est une obligation légale assortie d'amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Comment Cela Vous Atteint en Tant Que Fournisseur

Même si vous n'êtes pas directement réglementé, NIS2 crée un effet cascade à travers vos relations clients:

1

Votre client s'enregistre comme entité NIS2

Il est légalement tenu d'évaluer la sécurité de sa chaîne d'approvisionnement.

2

Il crée une politique de sécurité fournisseurs

NIS2 exige qu'il fixe des exigences minimales de sécurité pour tous ses fournisseurs.

3

Vous recevez un questionnaire de cybersécurité

Votre client doit évaluer votre posture de sécurité et documenter les résultats.

4

Votre contrat est mis à jour

De nouvelles clauses vous obligent à respecter des normes de sécurité spécifiques, signaler les incidents et autoriser les audits.

5

Vous vous conformez ou vous perdez le contrat

Votre client ne peut pas travailler avec des fournisseurs qui compromettent sa conformité NIS2.

Ce Que Vos Clients Demanderont

Sur base des exigences NIS2 et des directives du CCB, attendez-vous à ce que vos clients réglementés NIS2 demandent:

Certifications et frameworks

  • Certification ou auto-évaluation CyberFundamentals (CyFun) Basic
  • Certification ISO/IEC 27001
  • Rapport SOC 2 Type II (surtout pour les services IT/cloud)
  • Certifications sectorielles (PCI DSS pour les paiements, etc.)

Documentation et preuves

  • Politique de sécurité écrite
  • Procédure de réponse aux incidents
  • Plan de continuité des activités et de reprise après sinistre
  • Résultats de tests d'intrusion ou de scans de vulnérabilité
  • Registres de formation de sensibilisation à la sécurité des employés

Engagements contractuels

  • Notification d'incidents dans les délais convenus
  • Clauses de droit d'audit
  • Accords de traitement des données alignés sur les exigences de sécurité
  • Auto-évaluation annuelle de sécurité ou audit tiers

Le Contexte Belge: CCB et CyberFundamentals

La Belgique a été le premier État membre de l'UE à transposer NIS2 en droit national (Loi du 26 avril 2024). Le Centre pour la Cybersécurité Belgique (CCB) est clair sur les attentes pour la chaîne d'approvisionnement:

Cela signifie que le CCB recommande explicitement CyFun Basic comme seuil minimum pour toute entreprise belge fournissant des entités NIS2. CyFun Basic n'est pas un cadre accablant. Il couvre les mesures fondamentales que chaque entreprise devrait avoir en place.

Calendrier

Octobre 2024 La loi belge NIS2 est entrée en vigueur
Mars 2025 Date limite d'enregistrement pour les entités NIS2 (4 000+ enregistrées)
Avril 2026 Les entités essentielles doivent soumettre le niveau CyFun Basic
Maintenant jusqu'à 2026 Les entités NIS2 constituent leurs inventaires de fournisseurs et rédigent leurs politiques de chaîne d'approvisionnement
2026 et au-delà Attendez-vous à des questionnaires et des exigences contractuelles de vos clients
Avril 2027 Certification CyFun complète ou ISO 27001 requise pour les entités NIS2

Consultez aussi notre guide pour les PME et NIS2 avec des etapes pratiques abordables.

Quels Fournisseurs Sont Les Plus Touchés?

Certains fournisseurs feront face aux exigences de la chaîne d'approvisionnement plus tôt et plus intensivement:

RISQUE ELEVE

Prestataires de services IT et MSP

Le considérant 86 de NIS2 désigne spécifiquement les fournisseurs de services gérés en raison de leur "intégration étroite dans les opérations des entités." Des groupes de ransomware comme Qilin ciblent activement les MSP car une seule intrusion donne accès à des dizaines de clients. Si vous fournissez des services IT à des entités NIS2, vous êtes en première ligne.

RISQUE ELEVE

Fournisseurs de logiciels

Doivent démontrer des procédures de développement sécurisées et peuvent devoir fournir des Software Bills of Materials (SBOM).

RISQUE ELEVE

Fournisseurs cloud et SaaS

Doivent fournir des certifications SOC 2 ou ISO 27001 et une documentation de sécurité détaillée.

RISQUE MOYEN

Services professionnels (comptabilité, juridique, RH)

Traitent des données sensibles pour les entités NIS2. Feront face à des exigences de sécurité des données dans les contrats mis à jour.

RISQUE MOYEN

Fournisseurs physiques et logistique

Moins immédiatement touchés sauf s'ils traitent des données ou gèrent des systèmes connectés, mais les politiques de chaîne d'approvisionnement peuvent quand même les atteindre.

Que Faire

Pas besoin de paniquer, mais il faut agir. Voici une approche pratique:

1

Identifiez vos clients réglementés NIS2

Cartographiez lesquels de vos clients sont dans des secteurs essentiels ou importants. Santé, énergie, transport, banque, infrastructure numérique et administration publique sont clés.

2

Commencez par CyFun Basic

Le CCB le recommande comme minimum pour les entités de la chaîne d'approvisionnement. C'est gérable: des mesures fondamentales de cybersécurité que toute entreprise devrait avoir.

3

Documentez votre posture de sécurité

Mettez par écrit ce que vous faites déjà. Beaucoup de PME ont une sécurité raisonnable mais aucune documentation. C'est l'écart que NIS2 révèle.

4

Préparez-vous aux questionnaires

Ayez des réponses prêtes pour les questions courantes de sécurité de la chaîne d'approvisionnement. Une évaluation CyFun Basic complétée vous donne 80% de ces réponses.

5

Parlez à votre partenaire IT

Votre MSP ou partenaire IT devrait pouvoir vous aider à atteindre CyFun Basic. S'il ne le peut pas, c'est un signal d'alarme.

Transformez la Conformité en Avantage Concurrentiel

La plupart des PME ne sont pas préparées. Une enquête de 2025 a révélé que 34% des PME ne peuvent pas dégager le budget pour la conformité NIS2. Cela signifie que la majorité de vos concurrents ne font encore rien. En obtenant la certification CyFun Basic maintenant, vous: Tenez compte des delais NIS2 - plus vous agissez tot, plus votre position sera forte.

  • Conservez vos contrats existants avec les clients réglementés NIS2
  • Gagnez de nouveaux marchés auprès de clients qui ont besoin de fournisseurs conformes
  • Négociez en position de force quand les clients envoient des questionnaires
  • Réduisez votre propre risque cyber dans le processus
  • Vous positionnez devant les concurrents qui attendent

Votre Prochaine Étape

Parlez à votre partenaire IT des exigences NIS2 pour la chaîne d'approvisionnement. Il peut vous aider à évaluer où vous en êtes et ce que vous devez faire. S'il ne connaît pas CyFun ou NIS2, transmettez-lui cet article.

Questions Fréquentes

La conformité NIS2 de la chaîne d'approvisionnement est-elle légalement obligatoire pour les fournisseurs?

Pas directement. NIS2 réglemente vos clients, pas vous. Mais vos clients sont légalement tenus de sécuriser leur chaîne d'approvisionnement. En pratique, cela signifie des exigences contractuelles tout aussi contraignantes. Si vous ne vous conformez pas, vous perdez le contrat.

Quel est le minimum que je dois faire?

Le CCB recommande le niveau CyberFundamentals (CyFun) Basic comme minimum pour les entités de la chaîne d'approvisionnement. Il couvre les mesures fondamentales comme le contrôle d'accès, les sauvegardes, la réponse aux incidents et la sensibilisation à la sécurité.

Quand recevrai-je ces exigences de mes clients?

C'est déjà en cours. NIS2 est entrée en vigueur en Belgique en octobre 2024. Les entités essentielles doivent soumettre leur évaluation CyFun Basic d'ici avril 2026. En se préparant, elles constituent déjà leurs inventaires de fournisseurs et rédigent leurs politiques de chaîne d'approvisionnement.

Et si je n'ai que quelques employés?

La taille n'a pas d'importance pour les exigences de la chaîne d'approvisionnement. Même une entreprise de 5 personnes qui fournit des services IT à un hôpital (entité essentielle) sera confrontée à ces exigences. Les seuils NIS2 (50 employés / 10M euros) ne s'appliquent qu'à la réglementation directe, pas aux obligations de la chaîne d'approvisionnement.

Mon partenaire IT peut-il m'aider?

Oui. Un bon MSP ou partenaire IT devrait pouvoir vous guider à travers CyFun Basic et vous aider à préparer les questionnaires clients. Demandez-lui son expérience avec NIS2 et CyberFundamentals.

Articles Connexes

Sources

  1. Directive NIS 2 Article 21 — Exigences de sécurité de la chaîne d'approvisionnement
  2. CCB — Un an de NIS2 en Belgique (octobre 2025)
  3. CCB — CyberFundamentals Framework
  4. DLA Piper — NIS2 Supply Chain Security Explained (décembre 2025)