NIS2 pour les fournisseurs : contrats et preuves

·

Une PME peut recevoir des exigences NIS2 sans être directement dans le périmètre. Les entités essentielles et importantes doivent gérer la sécurité de leur chaîne d'approvisionnement et répercutent des exigences sur les fournisseurs de logiciels, de cloud, de maintenance, de communications et de services gérés. La réponse ne peut pas se limiter à un questionnaire : elle nécessite des contrôles, des contrats, des tests et des incidents vérifiables.

Application directe et indirecte

La directive (UE) 2022/2555 couvre des secteurs critiques et impose aux entités concernées des mesures de gestion des risques et des incidents. Le fournisseur doit distinguer :

La qualification juridique doit être revue par entité, taille, secteur et service. En Espagne, à la date de rédaction, il convient de vérifier au BOE (Journal officiel espagnol) l'état et le texte définitif de la transposition avant d'affirmer des obligations nationales précises.

Pourquoi la chaîne d'approvisionnement est centrale

L'article 21 couvre la sécurité de la chaîne d'approvisionnement et les relations avec les fournisseurs directs. Les entités doivent tenir compte des vulnérabilités propres à chaque fournisseur, de la qualité de ses pratiques et de sa capacité de développement sécurisé.

Un petit fournisseur peut devenir une voie d'accès vers des clients critiques par :

Le risque s'évalue selon la capacité, pas seulement selon la taille.

Inventaire des services et des dépendances

Chaque service nécessite une fiche comprenant :

Cela permet de répondre aux questionnaires avec des preuves cohérentes.

Mesures minimales pertinentes

NIS2 retient une approche tous risques avec des mesures proportionnées, notamment :

Le fournisseur doit associer chaque mesure à un contrôle, un responsable, une preuve et une fréquence.

Gouvernance et direction

Même si la PME répond par contrat, la direction doit approuver les risques, les ressources et les exceptions. Un responsable sécurité, une procédure d'escalade et une revue périodique sont définis.

Une structure minimale :

RôleResponsabilité
DirectionRisque, ressources et contrats
Sécurité/ITContrôles et surveillance
ExploitationContinuité et changements
Juridique/conformitéPérimètre, clauses et notification
AchatsSous-traitants
DPODonnées personnelles et violations RGPD

NIS2 et le RGPD peuvent se recouper sur un même incident, mais leurs critères et leurs destinataires diffèrent.

Contrats avec les clients

Clauses essentielles :

« Se conformer à NIS2 » n'est pas acceptable sans en préciser le contenu. Les obligations doivent être mesurables.

Notification des incidents

La directive prévoit un dispositif échelonné pour les incidents importants, mais le fournisseur doit informer le client bien avant l'expiration de ses propres délais. Le contrat définit un canal d'urgence, une information initiale, des mises à jour et une clôture.

Contenu minimal :

Une certitude totale n'est pas requise pour alerter. Les informations sont mises à jour au fil de l'enquête.

Vulnérabilités et correctifs

Le processus couvre :

  1. Réception et tri.
  2. Gravité et exposition.
  3. Mesure d'atténuation temporaire.
  4. Développement et test.
  5. Communication coordonnée.
  6. Déploiement.
  7. Confirmation et indicateurs.

Un inventaire des actifs et des versions est tenu à jour. Pour les logiciels, le SBOM et ses dépendances facilitent l'évaluation de l'impact, mais doivent être actualisés.

Accès à distance

Les accès support présentent un risque élevé. Contrôles :

Aucun compte fournisseur générique ne doit rester ouvert.

Continuité

Le fournisseur définit des RTO et RPO réalistes et teste les sauvegardes, la restauration, le personnel, les communications et la dépendance aux tiers.

Un test sur table ne remplace pas une restauration réelle. Le rapport indique le temps nécessaire, les données récupérées, les échecs et les actions.

Sous-traitants

Le client doit connaître les dépendances critiques. Avant d'intégrer un sous-traitant, sa sécurité, sa localisation, sa continuité, sa gestion des incidents et ses conditions de sortie sont évaluées. Le contrat permet de notifier les changements et de répercuter les contrôles.

« Pas de sous-traitance » n'est pas une réponse valable si le cloud, le support ou des bibliothèques constituent des dépendances significatives.

Preuves pour les questionnaires

Les preuves sont partagées de façon minimisée et sous confidentialité. Ni secrets ni rapports complets ne sont transmis quand un extrait suffit.

Certifications et référentiels

L'ISO/IEC 27001, l'ENS (référentiel espagnol de sécurité) ou d'autres référentiels peuvent apporter des preuves, mais n'équivalent pas automatiquement à NIS2. Le périmètre et les contrôles doivent être mis en correspondance.

Un certificat qui exclut le service contracté ne répond pas au risque du client.

Plan à 90 jours

Jours 1-30

Jours 31-60

Jours 61-90

Erreurs fréquentes

  1. Affirmer que cela ne s'applique pas car on est une PME.
  2. Répondre aux questionnaires sans preuves.
  3. Promettre des délais de notification intenables.
  4. Conserver des comptes partagés.
  5. Ignorer ses sous-traitants.
  6. Confondre sauvegarde et restauration.
  7. Présenter un certificat hors périmètre.
  8. Cacher les incidents en attendant la certitude.
  9. Accepter des audits illimités.
  10. Attendre la transposition pour commencer.

Checklist

Questions fréquentes

NIS2 s'applique-t-elle à toutes les PME fournisseurs ?

Pas directement dans tous les cas. Mais les clients relevant du périmètre doivent gérer leur chaîne d'approvisionnement et peuvent répercuter des exigences contractuelles.

Une certification ISO 27001 suffit-elle ?

Elle aide, mais il faut vérifier le périmètre et mettre en correspondance les exigences avec NIS2.

Quel délai le fournisseur doit-il respecter pour signaler un incident ?

Suffisamment court pour que le client respecte ses propres délais légaux. Le contrat fixe une alerte opérationnelle initiale immédiate, suivie de mises à jour ultérieures.

Faut-il attendre la loi espagnole ?

Non, pas pour améliorer les contrôles et répondre aux clients. Les obligations nationales précises doivent en revanche être vérifiées dans le texte publié.

Sources officielles consultées

Summum Consultoría peut cartographier le périmètre, les contrats et les preuves, en coordonnant NIS2 avec l'ENS, l'ISO 27001 et le RGPD.