7 min de lecture
La loi de transposition de la directive NIS2 est entrée en vigueur le 6 décembre 2025. La date limite de déclaration auprès du BSI (Office fédéral de la sécurité informatique) était fixée au 6 mars 2026. Résultat : seuls 11 500 des quelque 29 500 entreprises concernées se sont effectivement déclarées. Ce qui est encore plus critique, c’est ce que la plupart des entreprises déclarées ont négligé : leurs fournisseurs de services SaaS font partie intégrante de leur chaîne d’approvisionnement. Et ce sont les dirigeants eux-mêmes qui en portent la responsabilité personnelle.
L’essentiel
- 📋 La loi de transposition de la directive NIS2 est applicable depuis le 6 décembre 2025. La date limite de déclaration auprès du BSI a expiré le 6 mars 2026 (BSI).
- 📊 Seules 11 500 entreprises sur les 29 850 entreprises soumises à l’obligation se sont déclarées dans les délais. Taux de déclaration : 38,5 % (Security Insider).
- ⚖️ Des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les établissements « particulièrement essentiels » (§ 65 BSIG).
- 👤 Les dirigeants sont personnellement responsables. Tout renoncement à cette responsabilité est expressément exclu par la loi (§ 38 BSIG).
- 🔗 Les fournisseurs de services SaaS non conformes à la NIS2 constituent un risque direct de responsabilité pour leurs clients.
Ce que signifie la NIS2 pour les piles technologiques cloud
La NIS2 ne concerne pas uniquement les opérateurs classiques d’infrastructures critiques (KRITIS). Cette nouvelle loi s’applique à environ 29 850 entreprises en Allemagne, soit six fois plus que sous l’ancienne loi sur la sécurité informatique. Le seuil d’application est fixé à 50 employés ou à un chiffre d’affaires annuel de 10 millions d’euros dans l’un des 18 secteurs réglementés. Sont notamment concernés les fournisseurs d’énergie, les acteurs du secteur de la santé, les prestataires de services financiers, mais aussi les fabricants de produits chimiques, d’aliments et de services numériques.
Le point aveugle réside dans la chaîne d’approvisionnement. L’article 21 de la directive NIS2 exige explicitement la sécurisation de l’ensemble de la chaîne d’approvisionnement, y compris les aspects liés à la cybersécurité des relations entre chaque établissement et ses fournisseurs ou prestataires de services immédiats. En pratique, cela signifie que toute entreprise utilisant Salesforce, HubSpot, Slack ou tout autre outil SaaS doit être en mesure de démontrer que ce fournisseur a mis en œuvre des mesures de sécurité adéquates.
Il s’agit là d’une rupture fondamentale avec l’approche antérieure. Jusqu’à présent, il suffisait de sécuriser son propre système d’information. Désormais, la direction informatique doit documenter quels services SaaS sont utilisés, quelles données y sont traitées et si le fournisseur remplit bien les exigences de la loi de transposition de la directive NIS2.
Pourquoi la déclaration auprès du BSI n’est que le début
Le 6 janvier 2026, le BSI a ouvert son portail de déclaration. Les entreprises disposaient de trois mois pour procéder à leur déclaration. Lorsque la date limite est tombée le 6 mars 2026, seules 11 500 entreprises s’étaient déclarées, selon Security Insider. Deux semaines avant l’expiration du délai, elles n’étaient même que 4 856.
Le faible taux de déclaration (38,5 %) s’explique par plusieurs facteurs. De nombreuses entreprises ne savent pas avec certitude si elles relèvent ou non de cette réglementation. Les 18 secteurs concernés et les seuils applicables sont complexes, et la distinction entre « établissements essentiels » et « établissements particulièrement essentiels » n’est pas triviale. D’autres entreprises n’ont tout simplement pas pris cette obligation en compte.
Or, la déclaration ne constitue que le point de départ formel. Le véritable défi commence ensuite : la mise en œuvre des mesures techniques et organisationnelles. Et c’est précisément ici que la NIS2 heurte une réalité qui dépasse souvent les capacités des départements informatiques : leur propre pile technologique SaaS.
Le problème de la chaîne d’approvisionnement SaaS, en détail
Selon l’indice de gestion SaaS de Zylo, une entreprise moyenne de taille intermédiaire utilise entre 80 et 120 applications SaaS. Ces outils couvrent des domaines aussi variés que la gestion de la relation client (CRM), la gestion de projets, la comptabilité, la communication ou les ressources humaines. Chacune de ces applications traite potentiellement des données sensibles. Et chacune constitue un maillon de la chaîne d’approvisionnement visé par la NIS2.
La question centrale est la suivante : le fournisseur SaaS est-il en mesure de prouver qu’il a mis en œuvre des mesures adéquates de cybersécurité ? En pratique, ce type de preuve fait défaut dans la majorité des cas. De nombreux fournisseurs SaaS, notamment les petites entreprises européennes et américaines, ne disposent ni de la certification ISO 27001 ni de l’attestation SOC 2 Type II. Ils se contentent de renvoyer vers leurs conditions générales et leur politique de confidentialité, or cela ne suffit pas pour répondre aux exigences de documentation NIS2 relatives à la chaîne d’approvisionnement.
« La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la cybersécurité des relations entre les différents établissements et leurs fournisseurs ou prestataires de services immédiats. »
– Article 21, paragraphe 2, alinéa d, directive NIS2 (UE) 2022/2555
La situation devient particulièrement délicate avec les fournisseurs SaaS établis aux États-Unis. Ici, les exigences de la NIS2 entrent en conflit avec le CLOUD Act américain : les autorités américaines peuvent contraindre les entreprises américaines à remettre des données, même lorsqu’elles sont stockées sur des serveurs situés en Europe. Pour les entreprises soumises à la NIS2 dans des secteurs réglementés, il s’agit d’un risque supplémentaire de non-conformité, qui doit être documenté et évalué.
Amendes et responsabilité personnelle : ce qui est en jeu
La NIS2 distingue deux catégories d’établissements, et les amendes varient en conséquence.
Les établissements « particulièrement essentiels » (énergie, transport, santé, eau potable, infrastructures numériques, espace, secteur bancaire, infrastructures des marchés financiers) encourent des amendes allant jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires mondial annuel. Le montant le plus élevé s’applique.
Les établissements « essentiels » (poste, déchets, produits chimiques, alimentation, fabrication, prestataires de services numériques, recherche) encourent des amendes allant jusqu’à 7 millions d’euros ou 1,4 % de leur chiffre d’affaires annuel.
La responsabilité personnelle des dirigeants est régie par le § 38 BSIG. Les dirigeants et membres des conseils d’administration doivent superviser la mise en œuvre des mesures de gestion des risques. Selon ing-ism.de, tout renoncement aux recours contre la direction est expressément exclu par la loi. Cela signifie qu’un PDG ne peut pas être libéré de sa responsabilité par une décision des actionnaires.
Checkliste : rendre la chaîne d’approvisionnement SaaS conforme à la NIS2
Les responsables informatiques qui souhaitent aujourd’hui mettre leur pile technologique SaaS en conformité avec la NIS2 doivent suivre systématiquement les étapes ci-dessous.
1. Établir un inventaire SaaS. Recenser toutes les applications SaaS actives, y compris celles relevant de la « shadow IT ». Des outils comme Zylo, Productiv ou des analyses manuelles des journaux d’accès SSO peuvent aider. Il est essentiel d’inclure également les services acquis indépendamment par des départements spécifiques.
2. Classifier les données par service. Quelles données sont traitées dans chaque outil SaaS ? Données à caractère personnel, secrets commerciaux, données financières ? Le niveau de criticité détermine l’ampleur des vérifications à effectuer.
3. Exiger des preuves de sécurité. Certifications ISO 27001, SOC 2 Type II, BSI C5 ou certifications équivalentes. En l’absence de telles certifications : envoyer au fournisseur des questionnaires de sécurité (par exemple le questionnaire SIG ou le CAIQ de la Cloud Security Alliance).
4. Vérifier et compléter les clauses contractuelles. Examiner les contrats existants pour identifier les clauses relatives à la sécurité. La NIS2 exige des dispositions contractuelles sur l’obligation de déclaration des incidents de sécurité, les droits d’audit et les niveaux minimaux de sécurité. Si le contrat existant ne couvre pas ces points, négocier un avenant.
5. Définir la chaîne de réponse aux incidents. Comment l’entreprise sera-t-elle informée d’un incident de sécurité chez le fournisseur SaaS ? La NIS2 impose une déclaration initiale au BSI dans un délai de 24 heures. Si le fournisseur SaaS ne dispose pas d’une procédure de notification propre, l’entreprise doit obtenir une garantie contractuelle sur les délais de notification.
6. Préparer la documentation destinée aux audits. Centraliser tous les justificatifs : certificats, questionnaires remplis, clauses contractuelles, évaluations des risques. Le BSI a annoncé qu’il mènerait des audits actifs après le 6 mars 2026. Cette documentation devra alors être présentable sur demande.
Les catégories de services SaaS particulièrement critiques
Tous les outils SaaS ne présentent pas le même niveau de pertinence. La priorisation doit s’appuyer sur la criticité des données traitées et la profondeur de l’accès accordé.
Priorité maximale : les fournisseurs d’identité (Azure AD, Okta, Google Workspace), car ils contrôlent l’accès à l’ensemble des autres systèmes. Un incident sur l’un de ces outils affecte l’intégralité du paysage informatique. Viennent ensuite les services de messagerie (Microsoft 365, Google Workspace), qui constituent le vecteur d’attaque le plus fréquent pour le phishing et l’ingénierie sociale.
Haute priorité : les systèmes CRM (Salesforce, HubSpot), qui contiennent des données clients et des secrets commerciaux. Les systèmes ERP (SAP, Oracle), qui gèrent les données financières et les processus opérationnels. Et les plateformes RH (Personio, Workday), qui traitent des données sensibles sur les employés.
Priorité moyenne : les outils de gestion de projet (Jira, Asana), de communication (Slack, Teams) et de gestion de documents (Confluence, Notion). Bien qu’ils traitent des données professionnelles, ils ne manipulent généralement pas d’informations hautement sensibles à caractère personnel ou financier.
L’erreur courante consiste à ne vérifier que les grands fournisseurs évidents, tout en oubliant les outils spécialisés utilisés dans certains départements. Un outil marketing doté d’un accès API au CRM fait partie de la chaîne d’approvisionnement tout autant que Salesforce lui-même.
Que se passe-t-il si les entreprises ne prennent aucune mesure ?
Après l’expiration de la période de déclaration le 6 mars 2026, le BSI a annoncé qu’il identifierait activement les entreprises non déclarées. L’office peut enjoindre les établissements concernés de procéder à leur déclaration et, en cas de défaut, leur infliger des amendes.
Pour les établissements « particulièrement essentiels », un instrument supplémentaire est prévu : le BSI peut réaliser des inspections sur site afin de vérifier directement la mise en œuvre des mesures de sécurité. En cas de manquements graves, l’office peut prescrire des mesures allant jusqu’à l’interdiction d’exercer des fonctions de direction.
Même en l’absence d’inspection du BSI, une pression opérationnelle s’exerce via la chaîne d’approvisionnement elle-même. Les grandes entreprises qui prennent la NIS2 au sérieux exigeront de leurs fournisseurs et prestataires de services des justificatifs de sécurité. Celui qui ne peut pas les fournir risque de perdre des relations commerciales. La pression en matière de conformité descend ainsi toute la chaîne d’approvisionnement.
Conclusion
La NIS2 n’est pas une simple formalité administrative. Cette loi est effective, ses échéances sont impératives, et la responsabilité personnelle des dirigeants est une réalité. La plus grande faille dans l’architecture de conformité de nombreuses entreprises n’est pas leur propre infrastructure, mais leur pile technologique SaaS. Des dizaines de fournisseurs, rarement évalués, encore plus rarement couverts par des engagements contractuels, et chacun d’entre eux constitue une porte d’entrée potentielle pour les attaquants, ainsi qu’un risque de responsabilité pour la direction.
L’approche pragmatique consiste à : établir un inventaire SaaS, prioriser selon la criticité des données, exiger des preuves de sécurité, renforcer les contrats. Celui qui aborde cette démarche de façon systématique maîtrisera les exigences NIS2 relatives à la chaîne d’approvisionnement en trois à six mois. Celui qui attend risque des amendes, la perte de contrats commerciaux et une responsabilité personnelle.
Questions fréquentes
Dois-je vérifier la conformité NIS2 de chaque fournisseur SaaS ?
Non, pas avec la même intensité. Priorisez selon la criticité des données : fournisseurs d’identité et services de messagerie en premier lieu, puis CRM et ERP, puis les outils secondaires. Une prise d’inventaire complète de tous les services SaaS est toutefois une condition préalable obligatoire.
La certification ISO 27001 de mon fournisseur SaaS suffit-elle comme preuve de conformité NIS2 ?
L’ISO 27001 constitue un bon point de départ, mais elle ne suffit pas à elle seule. La NIS2 exige en outre des dispositions contractuelles relatives aux obligations de déclaration, aux droits d’audit et aux niveaux minimaux de sécurité. Vérifiez si la portée de la certification couvre bien le service que vous utilisez.
Dans quel délai dois-je déclarer un incident de sécurité au BSI ?
Les établissements « particulièrement essentiels » doivent produire une déclaration initiale dans les 24 heures. Une évaluation doit suivre dans les 72 heures, et un rapport final doit être fourni dans le mois. Cette obligation s’applique également si l’incident survient chez un fournisseur SaaS et implique vos données.
Mon entreprise est-elle responsable si un fournisseur SaaS est piraté ?
Pas automatiquement pour l’intrusion elle-même, mais bel et bien pour l’absence de mesures de sécurisation de la chaîne d’approvisionnement. Si vous ne pouvez pas prouver avoir vérifié le fournisseur et conclu des clauses contractuelles relatives à la sécurité, vous violez vos obligations en matière de gestion des risques.
Quelle est la différence entre les établissements « essentiels » et les établissements « particulièrement essentiels » ?
Les établissements « particulièrement essentiels » appartiennent à des secteurs tels que l’énergie, la santé, le secteur bancaire et les infrastructures numériques. Ils sont soumis à une surveillance plus stricte (inspections sur site) et à des amendes plus élevées (jusqu’à 10 millions d’euros). Les établissements « essentiels » couvrent des secteurs comme la poste, les produits chimiques et l’alimentation, avec des amendes pouvant atteindre 7 millions d’euros.
Articles complémentaires
- Sovereignty-Washing – Pourquoi les centres de données européens ne garantissent pas encore la souveraineté des données (cloudmagazin)
- Certificats TLS 2026 – Pourquoi une durée de validité de 200 jours marque la fin de la gestion manuelle (cloudmagazin)
- Identité cloud-native – OAuth 2.1, clés de passe (passkeys) et l’avenir de l’authentification (cloudmagazin)
Plus d’articles du réseau média MBF Media
- Règlement général sur la protection des données 2026 : ce qui change – Mises à jour réglementaires pour les équipes informatiques (SecurityToday)
- Repatriation cloud 2026 – Pourquoi les DSI ramènent des charges de travail (Digital Chiefs)
Source de l’image : Dan Nelson / Pexels
