NIS2 et sous-traitants : ce que votre client peut vous imposer

Votre client vous demande une attestation de conformité NIS2, un questionnaire de sécurité ou un audit ? Vous pensez ne pas être concerné parce que votre entreprise est trop petite ? L'effet de cascade NIS2 impose aux entités régulées de vérifier la sécurité de leurs fournisseurs — y compris les PME et TPE sous-traitantes.

L'effet de cascade NIS2 : comment ça fonctionne

NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement. En pratique, votre client soumis à NIS2 doit évaluer le niveau de sécurité de ses fournisseurs critiques. Si vous accédez à ses systèmes, traitez ses données ou fournissez un service dont il dépend, vous entrez dans son périmètre NIS2.

Ce que votre client peut vous demander

Un questionnaire de sécurité (type VSM ou questionnaire interne), une attestation d'assurance cyber, la preuve d'une politique de sécurité documentée, des rapports d'audit, et dans certains cas un droit d'audit. Plus votre client est critique et votre accès sensible, plus ses exigences seront élevées.

5 mesures prioritaires

01 — Évaluer votre exposition réelle

Listez vos clients assujettis à NIS2 et les accès que vous avez à leurs systèmes. C'est le point de départ.

02 — Documenter votre politique de sécurité

Une PSSI (Politique de Sécurité du SI) documentée est souvent le premier document demandé par les clients NIS2.

03 — Obtenir une assurance cyber

De plus en plus de clients NIS2 exigent une attestation d'assurance cyber de leurs fournisseurs. Prérequis : MFA, sauvegardes testées, EDR.

04 — Produire des preuves documentaires

Rapports d'audit, tests de restauration, logs de conformité : la preuve doit être écrite, pas juste affirmée.

05 — Anticiper la deadline d'octobre 2026

Les premières notifications d'entités assujetties arrivent. Vos clients les plus exigeants demanderont des preuves avant la fin 2026.