C’est désormais une réalité concrète. Après des mois de navette parlementaire, la France finalise la transposition de la directive européenne NIS 2 (Network and Information Security) à travers la Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, aussi appelée Loi Résilience.
Adoptée en première lecture au Sénat en mars 2025, puis examinée par l’Assemblée nationale à l’automne, la loi devrait être promulguée au premier semestre 2026. Les décrets d’application et le référentiel technique de l’ANSSI suivront dans la foulée. Le signal est clair : le temps de la préparation est terminé, celui de la mise en conformité a commencé. Et parmi les obligations les plus structurantes de NIS 2, il en est une qui va bouleverser les pratiques de milliers d’organisations : la sécurisation de la chaîne d’approvisionnement et la gestion des risques liés aux tiers.
1. De NIS 1 à NIS 2 : la genèse d’une révolution réglementaire NIS 1 (2016) :
les fondations La première directive NIS, adoptée en 2016 et entrée en vigueur en 2018, était la toute première législation européenne en matière de cybersécurité. Elle ciblait les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN), soit environ 500 entités en France. Si elle a eu le mérite d’amorcer une prise de conscience, NIS 1 a rapidement montré ses limites : périmètre trop restreint, mise en œuvre hétérogène d’un État membre à l’autre, et aucune obligation formelle sur la sécurité de la supply chain. Le constat qui a tout changé Entre 2018 et 2022, le paysage cyber a radicalement évolué. L’attaque SolarWinds (2020), le ransomware contre Colonial Pipeline (2021), l’exploitation massive de la faille Log4j (2021), puis l’attaque contre la supply chain de Kaseya ont démontré qu’aucune organisation ne pouvait se protéger seule. La menace était devenue systémique, et la sécurité d’une entité dépendait structurellement de celle de ses fournisseurs.
NIS 2 (2022) : le changement d’échelle Adoptée le 14 décembre 2022 par le Parlement européen, la directive NIS 2 (UE 2022/2555) représente un saut qualitatif considérable. Le périmètre passe de 7 à 18 secteurs d’activité. En France, de 500 à près de 15 000 entités concernées — un facteur 30. La sécurité de la supply chain devient une obligation explicite (article 21).
La responsabilité personnelle des dirigeants est engagée (article 20). Les sanctions vont jusqu’à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % du CA pour les entités importantes.
2. Le calendrier en France : où en est-on concrètement ?
La France accuse un retard par rapport à la date limite initiale du 17 octobre 2024. La Commission européenne a adressé un avis motivé à la France en mai 2025 pour absence de notification de transposition complète. À ce jour, 19 États membres ont déjà transposé la directive. Mais les choses accélèrent : CALENDRIER DE LA TRANSPOSITION FRANÇAISE - Octobre 2024 : présentation du projet de loi Loi Résilience en Conseil des ministres
- Mars 2025 : adoption en première lecture au Sénat
- Septembre 2025 : vote en commission spéciale de l’Assemblée nationale
- Novembre 2025 : ouverture de la plateforme de pré-enregistrement MonEspaceNIS2 par l’ANSSI
- T1 2026 : promulgation attendue de la loi au Journal Officiel
- T2 2026 : publication des décrets d’application et du référentiel technique ANSSI
- À partir de la promulgation : délai de 3 ans pour atteindre la pleine conformité
L’ANSSI a déjà partagé une version provisoire de son référentiel de cybersécurité lors de consultations sectorielles, et la plateforme MonEspaceNIS2 permet dès maintenant aux entités de se pré-enregistrer et de tester leur éligibilité. L’ANSSI et la SGDSN ont communiqué des fourchettes d’investissement initial pour la mise en conformité : 100 000 à 200 000 € pour les entités importantes, et 450 000 à 880 000 € pour les entités essentielles, auxquels s’ajoutent environ 10 % par an en coûts de maintenance.
3. Qui est concerné par NIS 2 ?
NIS 2 distingue deux catégories d’entités, soumises à des niveaux d’obligations différents : Entités Essentielles (EE) : grandes entreprises (+250 salariés ou CA > 50 M€). Secteurs hautement critiques : énergie, transports, banque, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administrations publiques, espace. Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial. Supervision par audits préventifs et réactifs. Entités Importantes (EI) : moyennes entreprises (+50 salariés ou CA > 10 M€). Secteurs critiques : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (dispositifs médicaux, électronique, véhicules), recherche, services numériques. Sanctions : jusqu’à 7 M€ ou 1,4 % du CA mondial. Supervision par audits réactifs. NIS 2 intègre explicitement les collectivités territoriales dans son périmètre. Les communes de plus de 30 000 habitants, les métropoles, les communautés urbaines et d’agglomération seraient classées entités essentielles. Toutes les communautés de communes seraient des entités importantes. L’effet ricochet : même si votre entreprise n’est pas directement qualifiée, elle peut être impactée si elle est fournisseur, sous-traitant ou prestataire d’une entité régulée. Les entités soumises à NIS 2 devront imposer contractuellement des exigences de cybersécurité à leurs partenaires.
4. Focus : les obligations NIS 2 concernant les tiers
ARTICLE 21(2)(d) DE LA DIRECTIVE NIS 2 Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles pour gérer les risques incluant notamment : (d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs. L’article 21(3) précise que les entités doivent tenir compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale de leurs produits et de leurs pratiques de cybersécurité.
Concrètement, NIS 2 impose : Évaluation individuelle de chaque fournisseur — Chaque entité doit analyser les vulnérabilités spécifiques de chacun de ses fournisseurs et prestataires directs, évaluer leurs pratiques de cybersécurité, la qualité de leurs produits et la robustesse de leurs procédures de développement. Intégration dans les contrats — Les exigences de sécurité doivent être formalisées contractuellement : clauses de cybersécurité, engagements sur les standards minimaux, obligations de notification d’incidents et droit d’audit. Surveillance continue — L’évaluation ponctuelle ne suffit pas. NIS 2 impose une mise à jour permanente des évaluations de risques. Prise en compte du risque de quatrième partie — Le risque lié aux fournisseurs de vos fournisseurs entre aussi dans le périmètre. Selon l’enquête EY 2025, 64 % des entreprises évaluent déjà les fournisseurs de leurs fournisseurs. Notification des incidents — Tout incident ayant un impact important doit être notifié sans retard injustifié à l’ANSSI, y compris lorsque l’incident trouve son origine chez un fournisseur. Responsabilité de la direction — L’article 20 impose que les organes de direction approuvent les mesures de gestion des risques et qu’ils suivent une formation en cybersécurité. Ils peuvent être tenus personnellement responsables.
5. NIS 2 rend le TPRM incontournable
Selon le World Economic Forum, seulement 27 % des chaînes d’approvisionnement sont régulièrement évaluées. Selon le rapport Whistic 2025, 94 % des entreprises reconnaissent ne pas évaluer tous les fournisseurs qu’elles souhaiteraient, et 70 % ont connu au moins une violation de données ces trois dernières années, dont 77 % provenant d’un tiers.
Un programme TPRM conforme à NIS 2 devra a minima inclure :
- Un inventaire exhaustif et classifié de l’ensemble des tiers
- Un processus d’évaluation proportionné (tiering par criticité, questionnaires adaptés, vérification de preuves)
- Des clauses contractuelles de cybersécurité dans tous les contrats fournisseurs
- Un monitoring continu des scores de risque cyber des fournisseurs critiques
- Un processus de notification d’incident impliquant les tiers
- Un reporting régulier à la direction sur l’état du risque tiers
6. Par où commencer ? Les 5 actions prioritaires
Action 1 : Vérifiez votre éligibilité — Rendez-vous sur MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) pour évaluer si votre entité entre dans le périmètre NIS 2.
Action 2 : Cartographiez vos tiers — Dressez l’inventaire complet de vos fournisseurs et prestataires qui accèdent à vos données ou systèmes, ou dont dépendent vos opérations critiques. Classez-les par niveau de criticité.
Action 3 : Auditez vos contrats — Analysez vos contrats existants : contiennent-ils des clauses de cybersécurité, de notification d’incidents, de droit d’audit ?
Action 4 : Lancez les premières évaluations — Mettez en place un processus d’évaluation de vos fournisseurs critiques : questionnaires de sécurité, vérification des certifications (ISO 27001, qualifications ANSSI), scoring de risque.
Action 5 : Structurez votre programme TPRM — Investissez dans un outillage adapté. Un programme TPRM ne peut pas reposer uniquement sur des tableurs Excel. L’automatisation est un facteur clé de réussite.
Conclusion : NIS 2 n’est pas une contrainte, c’est une opportunité
NIS 2 arrive à un moment où les cyberattaques par la supply chain explosent, où les collectivités sont ciblées quotidiennement et où la confiance numérique est devenue un actif stratégique. Les organisations qui auront anticipé cette évolution — en structurant dès maintenant un programme TPRM robuste — n’auront pas seulement coché une case réglementaire. Elles auront gagné en résilience, en visibilité sur leurs risques et en capacité à rassurer leurs propres clients et partenaires.
Sources : Directive (UE) 2022/2555, Projet de loi Loi Résilience (PRMD2412608L), ANSSI MonEspaceNIS2, ANSSI & SGDSN estimations, Commission européenne, Wavestone, EY Global TPRM Survey 2025, Verizon DBIR 2025, World Economic Forum Global Cybersecurity Outlook 2025, Whistic 2025 TPRM Impact Report.