NIS2 Articles 21 et 23 : Le signalement des incidents et la sécurité de la chaîne d'approvisionnement nécessitent plus qu'un SMSI
Les articles 21 et 23 de NIS2 exigent un signalement opérationnel des incidents (24 h et 72 h) et une gestion des risques de la chaîne d'approvisionnement. Un SMSI aide à la gouvernance, mais pas à l'exécution quotidienne.
NIS2 Articles 21 et 23 : Le signalement des incidents et la sécurité de la chaîne d'approvisionnement nécessitent plus qu'un SMSI
La directive NIS2 a fixé des règles claires pour la gestion des risques de cybersécurité, avec notamment des délais stricts de signalement des incidents : 24 heures pour une alerte précoce et 72 heures pour une notification formelle. Pour de nombreuses organisations, cela soulève une question pressante : le système de management de la sécurité de l'information existant est-il encore suffisant — ou faut-il davantage ?
Un SMSI et ISO 27001 structurent la gouvernance interne. Les Trust Centers gèrent le volet opérationnel : la gestion des fournisseurs et des incidents telle qu'exigée par les articles 21 et 23.
Aller directement à :
Pourquoi un SMSI ne suffit plus sous NIS2
De nombreuses organisations disposent aujourd'hui d'un système de management de la sécurité de l'information (SMSI) : aligné sur ISO 27001, souvent intégré dans un outil GRC — avec des politiques, des registres de risques, des contrôles et des audits annuels. Un SMSI est précieux et fournit une base solide pour la conformité NIS2.
Cependant, NIS2 introduit un changement de paradigme que de nombreuses entreprises commencent seulement à appréhender. Elle déplace l'attention de « nous avons un SMSI, tout est documenté » vers « nous pratiquons la cybersécurité de manière démontrable, pouvons répondre adéquatement à des événements critiques en temps limité et avons une visibilité continue sur notre chaîne d'approvisionnement » — le tout sous la responsabilité explicite de la direction.
Ce changement est évident dans le langage de la directive : elle exige des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » (article 21) — des mesures qui gèrent les risques et minimisent l'impact des incidents. Le mot « opérationnel » est celui où la plupart des solutions SMSI sont en deçà : elles permettent une bonne documentation mais ne fonctionnent pas comme un système opérationnel robuste. Ce qui manque : la communication des incidents de sécurité, la surveillance continue de la sécurité des fournisseurs et les preuves d'efficacité disponibles à la demande — pour les régulateurs, par exemple.
En Allemagne, NIS2 est désormais une loi contraignante : la législation de transposition a été publiée au Journal officiel fédéral et est entrée en vigueur le 6 décembre 2025, sans période de transition. Cela concerne les exigences d'enregistrement pour environ 30 000 organisations et définit des domaines d'action spécifiques pour la gestion des risques de cybersécurité.
Où un SMSI contribue à NIS2 — Gouvernance (Article 20)
En bref : Un SMSI bien mis en œuvre fournit la structure de gouvernance que NIS2 exige pour la gestion des risques de cybersécurité.
L'article 20(1) fait explicitement de la gouvernance une responsabilité de la direction — la direction exécutive doit approuver les mesures de l'article 21, superviser leur mise en œuvre et assumer la responsabilité personnelle en cas de violations.
Un SMSI soutient exactement cela. Il comprend généralement :
- Responsabilités, rôles et chemins d'escalade
- Politiques et processus d'évaluation des risques et des mesures de risque
- Gestion des risques et gestion des actifs
- Checklists d'audit et documentation pour la préparation des audits externes
- Programmes de sensibilisation et de formation
- Revues internes et audits pour optimiser les processus
L'article 21 énumère explicitement des exigences telles que « (a) politiques d'analyse des risques, (c) continuité d'activité, (f) politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques de cybersécurité, et (g) formation à la cybersécurité » — toutes pouvant être efficacement traitées par un SMSI.
Au-delà de cela, NIS2 introduit des exigences à caractère d'interface — comme les évaluations de sécurité de la chaîne d'approvisionnement et le signalement des incidents — qu'un SMSI, en tant que solution interne, ne peut tout simplement pas couvrir.
Où NIS2 va au-delà d'un SMSI : Gestion des fournisseurs et des incidents (Articles 21 et 23)
En bref : NIS2 attend plus que de la gouvernance : une gestion opérationnelle des risques de la chaîne d'approvisionnement, une surveillance continue et un signalement structuré des incidents.
Article 23 : Le signalement des incidents est un système opérationnel, pas un PDF
NIS2 exige explicitement des mesures de gestion des incidents de sécurité en vertu de l'article 21(2)(b). L'article 23 introduit un régime de signalement à plusieurs niveaux avec des délais serrés : en vertu des points 4(a), (b) et (c), une alerte précoce doit être émise dans les 24 heures et une notification formelle d'incident dans les 72 heures suivant la prise de connaissance de l'incident. Les autorités peuvent également demander des rapports d'avancement intermédiaires et des mises à jour.
C'est là que l'écart devient visible : entre les entreprises qui peuvent dire « nous avons un plan de réponse aux incidents » et celles qui peuvent affirmer « nous pouvons vous fournir un rapport factuel dans les 24 heures ». Soudain, répondre à des questions de fond devient urgent et critique :
- Que s'est-il passé ? Quelle est la gravité de l'incident ?
- Quel impact pourrait-il avoir, et quels sont nos indicateurs ?
- Qui décide quoi, et sur quelle base probante ?
- Comment la Sécurité, le Juridique, les Relations publiques, le Support client et la direction générale se coordonnent-ils ?
- Comment la communication est-elle documentée et versionnée — de manière traçable et auditable ?
Un SMSI documente les incidents — généralement après coup. Mais NIS2 évalue la capacité opérationnelle à répondre de manière fiable sous pression — et cela ne fonctionne qu'avec un système de gestion des incidents fonctionnel.
Article 21 : La sécurité de la chaîne d'approvisionnement est incontournable
NIS2 impose explicitement des mesures pour assurer la sécurité de la chaîne d'approvisionnement en vertu de l'article 21(1)(d). Cela inclut spécifiquement les aspects liés à la sécurité dans les relations avec les fournisseurs directs et les prestataires de services.
De nombreuses solutions SMSI permettent des évaluations ponctuelles des fournisseurs — lors de l'intégration ou une fois par an. Mais NIS2 signifie autre chose : il ne s'agit pas de remplir des questionnaires fournisseurs et de les archiver.
Il s'agit de maintenir les risques critiques pour l'activité liés aux dépendances à un niveau gérable — en particulier dans une réalité géopolitique en constante évolution. Cela nécessite inévitablement une interface continuellement maintenue avec les prestataires de services et les fournisseurs.
Une véritable gestion des fournisseurs signifie : une surveillance continue avec des analyses, des réévaluations à faible effort lorsque les choses changent, des preuves intégrées et une communication rapide lorsque la situation évolue.
3. L'effort de preuve d'efficacité et de préparation à l'audit devient réel (Article 21)
L'article 21 exige explicitement des politiques et procédures internes pour évaluer l'efficacité des mesures de gestion des risques. En même temps, NIS2 étend la supervision externe : les autorités peuvent mener des inspections sur place, des audits et des analyses — et, surtout, demander des informations à tout moment.
Les preuves ne sont plus de la « décoration d'audit » — c'est la production continue d'un travail en cours. Concrètement, cela exige :
- Des artefacts vérifiables tels que des systèmes et des journaux — les documents ou assertions seuls ne suffiront pas
- Des artefacts avec des métadonnées : statut de version, validité, propriétaires, historique des modifications
- La capacité de démontrer les contrôles, les évaluations actuelles des fournisseurs, les rapports d'incidents et la résilience aux auditeurs à tout moment
Tout cela avec des conséquences réelles : les violations des articles 21 ou 23 peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes.
SMSI et Trust Center : Les deux faces d'une même médaille
Les exigences NIS2 ne peuvent pas être satisfaites avec un seul système. La gouvernance nécessite une structure — un SMSI est essentiel pour cela. Mais les articles 21 et 23 exigent également des capacités opérationnelles : une réponse rapide aux incidents, une supervision continue de la chaîne d'approvisionnement et des preuves fiables à la demande.
Les organisations qui connectent les deux mondes sont bien positionnées : un SMSI pour le contrôle interne, un Trust Center pour la communication externe et les preuves. Cela transforme l'effort de conformité en un système fonctionnel — et la documentation en véritable résilience.
Sources
- Directive (UE) 2022/2555 (Directive NIS2) — Texte intégral — Journal officiel de l'Union européenne. Le texte complet de la directive NIS2, incluant les articles 20, 21 et 23 référencés dans cet article.
- ENISA — Aperçu de la directive NIS2 — Agence de l'Union européenne pour la cybersécurité. Contexte sur la portée, les objectifs et les orientations de mise en œuvre de la directive.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland — Office fédéral de la sécurité de l'information. La législation de transposition allemande, les exigences d'enregistrement et les orientations pour les organisations concernées.
- ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l'information — Organisation internationale de normalisation. La norme SMSI référencée comme base de gouvernance dans cet article.
- ENISA — Guide de mise en œuvre des mesures de sécurité NIS2 — Orientations techniques sur la mise en œuvre des mesures de gestion des risques exigées par l'article 21.
- ENISA — Bonnes pratiques de sécurité de la chaîne d'approvisionnement — Bonnes pratiques pour l'évaluation et la gestion des risques de cybersécurité de la chaîne d'approvisionnement, directement pertinentes pour l'article 21(2)(d).
- Meilleurs logiciels de conformité NIS2 — SourceForge — Répertoire SourceForge des outils de conformité NIS2, utile pour évaluer les options de fournisseurs.