Quelles obligations NIS 2 concernent les prestataires et sous-traitants ?

Avec la directive NIS 2, l'Union européenne renforce les règles de cybersécurité pour les entreprises exerçant des activités sensibles. Son périmètre s'élargit et impacte désormais aussi les prestataires et sous-traitants.

 

Quelles sont les obligations prévues par le texte ? Qui est concerné, directement ou indirectement ? Cet article vous aide à y voir clair pour comprendre les attentes liées à NIS 2.

 

NIS 2 : de quoi parle-t-on exactement ?

La directive NIS 2 (directive (UE) 2022/2555) est un texte européen qui renforce les règles de cybersécurité applicables aux organisations dont l'activité est jugée critique pour la société, l'économie ou les services publics.

 

Elle remplace la première directive NIS et en élargit le périmètre.

 

Plus de secteurs sont concernés. Le nombre d'entités soumises augmente. Les exigences liées à la gestion des risques, à la gouvernance et à la notification des incidents sont désormais mieux cadrées.

 

La directive a été adoptée fin 2022. Les États membres devaient la transposer en droit national au plus tard le 17 octobre 2024. En France, la transposition a été engagée progressivement. En 2025, deux étapes institutionnelles ont été prévues et mises en œuvre : l'information de la Commission européenne sur les mesures nationales adoptées au plus tard le 17 janvier 2025, puis l'établissement par chaque État membre de la liste des entités essentielles et importantes au plus tard le 17 avril 2025.

 

À qui s'applique la directive NIS 2 ?

La directive NIS 2 concerne les entités essentielles (EE) et les entités importantes (EI).

 

Cette qualification repose sur deux critères : le secteur d'activité et la taille de l'organisation, appréciée selon des seuils définis au niveau européen.

 

Secteurs concernés par NIS 2

La directive distingue deux grandes catégories de secteurs.

 

Les secteurs hautement critiques regroupent des activités dont la défaillance peut avoir un impact systémique important :

• les énergies ;
• les transports ;
• le secteur bancaire ;
• les infrastructures des marchés financiers ;
• la santé ;
• l'eau potable ;
• les eaux usées ;
• les infrastructures numériques ;
• la gestion des services Technologies de l'information et de la Communication (interentreprises) ;
• les administrations publiques ;
• l'espace.

 

Les secteurs critiques couvrent des activités importantes pour le fonctionnement de l'économie et des services :

• les services postaux et d'expédition ;
• la gestion des déchets ;
• la fabrication, production et distribution de produits chimiques ;
• la production, transformation et distribution de denrées alimentaires ;
• l'industrie manufacturière ;
• les fournisseurs numériques ;
• la recherche.

 

Taille des organisations

Dans le cas général :

• les grandes entreprises relevant de ces secteurs sont classées comme entités essentielles (EE) ;
• les moyennes entreprises relèvent des entités importantes (EI) ;
• les petites entreprises sont en principe exclues du champ d'application.

 

 

Cas particuliers : assujettissement quelle que soit la taille

La directive prévoit des cas où certaines entités relèvent de NIS 2 quelle que soit leur taille, lorsqu'elles sont d'un type visé à l'annexe I ou II, notamment si :

• elles fournissent des services de type :
• réseaux / services de communications électroniques accessibles au public ;
• services de confiance ;
• registres de noms de domaine de premier niveau (TLD) ou services DNS ;
• elles se trouvent dans une situation de criticité particulière, par exemple si :
• elles sont le seul prestataire d'un service essentiel au maintien d'activités sociétales ou économiques critiques ;
• une perturbation du service peut avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
• une perturbation du service peut induire un risque systémique important, notamment avec impact transfrontière ;
• elles sont critiques en raison de leur importance spécifique au niveau national ou régional (y compris pour des secteurs interdépendants) ;
• elles relèvent de l'administration publique (central ou régional) dans les conditions prévues par le texte.

 

Dans ces cas précis, l'assujettissement repose sur la nature du service fourni, jugée critique par la directive, et non sur les seuils d'effectifs ou de chiffre d'affaires.

 

 

Quelles obligations NIS 2 pour les entités essentielles et importantes ?

La directive NIS 2 impose aux entités essentielles (EE) et aux entités importantes (EI) des obligations communes en matière de cybersécurité. Ces obligations structurent l'ensemble du dispositif et expliquent, par ricochet, les exigences imposées ensuite aux prestataires et sous-traitants.

 

Obligations de gestion des risques de cybersécurité (article 21)

L'article 21 fixe le cadre général des obligations de cybersécurité prévues par NIS 2. Il prévoit que les entités concernées mettent en œuvre des mesures techniques, opérationnelles et organisationnelles adaptées, en tenant compte des risques qui pèsent sur leurs systèmes d'information.

 

Ces mesures couvrent plusieurs dimensions de la cybersécurité, parmi lesquelles :

• l'analyse et la gestion des risques ;
• l'organisation de la gestion des incidents ;
• la continuité d'activité et la gestion des sauvegardes ;
• la sécurité de la chaîne d'approvisionnement ;
• la sécurité lors de l'acquisition, du développement et de la maintenance des systèmes ;
• le suivi de l'efficacité des mesures mises en place ;
• les pratiques de cyber-hygiène et la formation des équipes ;
• la sécurisation des communications, y compris par des mécanismes de cryptographie ;
• la gestion des accès et des identités.

 

La directive ne définit pas de solutions techniques imposées. Elle laisse aux entités le soin de choisir les moyens adaptés, à condition que les mesures retenues soient cohérentes avec leur activité, leur niveau d'exposition et les risques identifiés.

 

Ces mesures ne visent pas uniquement à prévenir les incidents, mais aussi à renforcer la résilience des services, c'est-à-dire la capacité de l'organisation à continuer à fonctionner et à se rétablir rapidement en cas d'incident.

 

 

Obligations de notification des incidents (article 23)

La directive NIS 2 prévoit que les entités essentielles et importantes déclarent les incidents significatifs auprès de l'autorité compétente. Sont concernés les incidents ayant un impact réel sur le fonctionnement, la sécurité ou la disponibilité des systèmes et des services.

 

Le texte fixe un rythme de notification en plusieurs temps :

• une première notification dans les 24 heures après la prise de connaissance de l'incident, afin de signaler la situation ;
• une notification complémentaire dans les 72 heures, avec davantage d'éléments sur l'incident et ses conséquences ;
• un rapport final, transmis ultérieurement, une fois l'analyse terminée.

 

Ce mécanisme permet aux autorités de suivre rapidement la situation et d'anticiper d'éventuels effets en chaîne, notamment lorsque plusieurs acteurs dépendent des mêmes services ou infrastructures.

 

Pour les entreprises concernées, ces délais ont une conséquence directe : lorsqu'un incident implique un prestataire ou un sous-traitant, l'information doit remonter sans délai. C'est ce point qui explique les exigences fortes en matière d'alerte et de communication dans les relations avec les tiers.

 

Obligations de gouvernance et de responsabilité (article 20)

La directive NIS 2 fait clairement entrer la cybersécurité dans le champ de la gouvernance des entités essentielles et importantes. L'article 20 encadre précisément le rôle des organes de direction.

 

Les dirigeants doivent d'abord approuver les mesures de gestion des risques de cybersécurité mises en place pour se conformer à l'article 21. Ces choix relèvent donc d'une décision formelle au niveau de la direction, et non d'un simple arbitrage technique.

 

Ils doivent ensuite superviser la mise en œuvre de ces mesures. Autrement dit, il ne suffit pas de les valider : la direction est tenue d'en suivre l'application et de s'assurer qu'elles sont effectivement déployées dans l'organisation.

 

L'article 20 prévoit également que les organes de direction peuvent être tenus responsables en cas de violation des obligations prévues à l'article 21. La directive établit ainsi un lien direct entre gouvernance, gestion des risques et responsabilité, sous réserve des règles de responsabilité prévues par le droit national, notamment pour les entités publiques.

 

Enfin, la directive introduit une obligation de formation pour les membres des organes de direction. Ils doivent suivre une formation leur permettant de comprendre les risques en matière de cybersécurité et d'évaluer les pratiques mises en place. Les États membres encouragent également les entités à étendre cette démarche de formation à leurs équipes.

 

Ce cadre explique un point central pour la suite : les entités soumises à NIS 2 restent responsables de la sécurité et de la continuité des services qu'elles fournissent. Cette responsabilité subsiste lorsqu'elles s'appuient sur des prestataires ou des sous-traitants, ce qui justifie l'encadrement renforcé des relations avec les tiers.

 

 

Chaîne d'approvisionnement et exigences de la directive NIS 2

La directive NIS 2 intègre la chaîne d'approvisionnement dans le périmètre de la cybersécurité. L'article 21 mentionne explicitement les fournisseurs et prestataires directs dans les obligations de gestion des risques applicables aux entités essentielles et importantes.

 

Les entités concernées doivent alors :

• tenir compte de leurs prestataires dans l'analyse des risques ;
• identifier les vulnérabilités susceptibles d'être introduites par des tiers ;
• apprécier la qualité des produits et services fournis au regard de leurs exigences de sécurité.

 

L'enjeu est d'éviter qu'un incident survenant chez un prestataire n'affecte l'ensemble des services qui en dépendent. La cybersécurité dépasse ainsi le seul périmètre interne de l'organisation.

 

En France, cette approche s'accompagne d'une vigilance accrue sur les prestataires jugés critiques, en particulier lorsqu'ils interviennent sur des fonctions sensibles. L'ANSSI insiste sur la maîtrise des dépendances et sur l'identification des situations à risque liées aux fournisseurs. Cette lecture s'inscrit aussi dans un contexte plus large de dépendance et de souveraineté, sans qu'un label ou une qualification spécifique soit exigé par la directive.

 

Comment NIS 2 encadre la relation entre entreprises et prestataires

NIS 2 repose sur un principe clair : la responsabilité réglementaire demeure portée par l'entité soumise à la directive. Le recours à des prestataires ou à des sous-traitants n'a pas pour effet de transférer cette responsabilité.

 

Lors d'un contrôle, l'entité régulée doit être en mesure de démontrer qu'elle conserve la maîtrise de ses obligations, y compris lorsque certaines fonctions sont externalisées. Elle doit notamment pouvoir montrer qu'elle reste en capacité d'assurer la sécurité et la continuité des services qu'elle fournit.

 

Dans la pratique française, les contrôles menés par l'ANSSI portent d'abord sur l'entité essentielle ou importante. Ils peuvent toutefois inclure l'examen de la manière dont celle-ci encadre ses prestataires critiques, lorsque ces derniers jouent un rôle déterminant dans la fourniture des services.

 

Ce cadre explique la logique de la directive : les obligations NIS 2 ne s'appliquent pas directement aux prestataires du seul fait de la relation contractuelle. En revanche, elles se traduisent pour eux par des exigences imposées par leurs clients, afin que ces derniers puissent respecter leurs propres obligations réglementaires.

 

Les obligations qui découlent de NIS 2 pour les prestataires et sous-traitants

NIS 2 n'impose pas, dans la majorité des cas, d'obligations réglementaires directes aux prestataires et sous-traitants. Les exigences auxquelles ils sont confrontés découlent des obligations pesant sur leurs clients soumis à NIS 2.

 

Autrement dit, ce sont des obligations contractuelles et opérationnelles, mises en place par les entités essentielles et importantes pour respecter leurs propres responsabilités.

 

Encadrement contractuel de la cybersécurité

La première conséquence concrète concerne les contrats.

 

Les entités soumises à NIS 2 renforcent l'encadrement de leurs relations avec les prestataires intervenant sur des fonctions sensibles.

 

Cela se traduit généralement par :

• des clauses de sécurité plus détaillées ;
• l'obligation de respecter certaines politiques internes du client ;
• des engagements de coopération en cas d'incident.

 

Ces exigences ne sont pas imposées directement par la directive au prestataire. Elles sont fixées par l'entité NIS 2 afin de sécuriser sa chaîne d'approvisionnement et de démontrer sa conformité.

 

Exigences techniques et organisationnelles

Les contrats intègrent également des attentes précises sur le plan technique et organisationnel. Elles portent en particulier sur :

• la gestion des accès et des habilitations ;
• la protection des systèmes utilisés pour fournir le service ;
• la continuité d'activité ;
• les sauvegardes et leur capacité de restauration.

 

Il est important de le souligner : ces exigences correspondent à des pré-requis contractuels. Elles ne sont pas, en elles-mêmes, des obligations légales directes issues de NIS 2 pour le prestataire, mais des conditions fixées par le client régulé.

 

Gestion des incidents et communication

La gestion des incidents est un point particulièrement sensible.

 

Les prestataires se voient imposer une obligation contractuelle d'alerte rapide dès qu'un incident est susceptible d'affecter les services fournis.

 

Ils doivent aussi :

• transmettre les informations nécessaires à l'analyse de l'incident ;
• se coordonner avec le client sur les actions de remédiation.

 

Cette exigence est directement liée aux délais prévus par NIS 2 pour les entités régulées, notamment les notifications à 24 heures et 72 heures. Sans une remontée rapide de l'information par les prestataires, ces délais seraient impossibles à tenir.

 

Évaluations et contrôles

Enfin, les entités soumises à NIS 2 mettent en place des mécanismes de suivi de leurs prestataires. Cela peut prendre la forme :

• de questionnaires de sécurité ;
• de demandes de documents (politiques, procédures, attestations) ;
• de revues périodiques du niveau de sécurité.

 

Il convient d'être très clair sur ce point : il ne s'agit pas d'audits menés par l'ANSSI, ni de contrôles réglementaires directs. Ces démarches permettent au client de démontrer qu'il maîtrise les risques liés à sa chaîne d'approvisionnement, comme l'exige la directive.

 

Cette logique explique pourquoi, même hors champ direct de NIS 2, de nombreux prestataires voient leurs exigences contractuelles évoluer rapidement lorsqu'ils travaillent avec des entités essentielles ou importantes.

 

Dans quels cas un prestataire peut être soumis directement à NIS 2

Un prestataire peut être directement soumis à NIS 2 lorsque son activité propre entre dans le champ de la directive. L'analyse se fait indépendamment de ses clients ou donneurs d'ordre.

 

Cas général : secteur concerné et critères de taille

Dans le cas général, un prestataire relève de NIS 2 s'il :

• exerce une activité appartenant à l'un des secteurs listés aux annexes I ou II ;
• atteint les critères de taille définis à l'article 2 (entreprise moyenne ou grande).

 

Dans cette configuration, le prestataire est considéré comme une entité régulée à part entière. Il est alors soumis directement aux obligations prévues par la directive, notamment en matière de gestion des risques, de gouvernance et de notification des incidents.

 

Pour aider les organisations à se positionner, l'ANSSI met à disposition un simulateur NIS 2. Celui-ci insiste sur le fait que le secteur à retenir est celui de l'activité réellement exercée, et non celui des clients servis.

 

À titre d'exemple, un fournisseur de turbines d'éoliennes peut être tenté de se rattacher au secteur « Énergie ». Selon le prisme retenu par la directive NIS 2, il relève en réalité du secteur « Fabrication », correspondant à l'industrie manufacturière. Une erreur de qualification peut donc fausser l'analyse.

 

On n'est pas soumis à NIS 2 par ricochet. Le fait de travailler pour une entité essentielle ou importante ne suffit pas. L'entrée dans le champ de la directive dépend uniquement des critères fixés à l'article 2, appréciés au regard de l'activité réellement exercée.

 

Article mis à jour en janvier 2026