Audit NIS2 : Quand la liste des fournisseurs s

7 Min. Temps de lecture

Depuis la date butoir du 06.03.2026, le BSI vérifie activement, selon sa propre annonce, quels entreprises ont omis d'enregistrer leur conformité NIS2 – environ 18 500 manquent à l'appel. Lors du cycle d'audit qui débute maintenant, la plupart des PME de la région DACH échouent non pas à l'analyse de risques ou au plan de réponse aux incidents, mais à une exigence apparemment triviale : une liste à jour des chaînes d'approvisionnement avec évaluation des risques par fournisseur. Celui qui peut présenter une liste complète de fournisseurs avec un score de risque en moins de deux heures lors de la première session d'audit a réussi le premier bloc. Celui qui ne le peut pas, va en prolongation avec des exigences supplémentaires.

Contenu connexeLa mise en application de NIS2 touche 29 500 entreprises allemandes  /  Les autorités de surveillance piègent les PME avec un délai de 72 heures

Pourquoi la liste des fournisseurs est le point d’audit décisif

Dans la grille d’exigences NIS2, la chaîne d’approvisionnement n’est pas au centre de l’attention. En revanche, elle l’est dans le rapport d’audit. La raison est pratique : les concepts de risque et les plans de réponse aux incidents sont dans la plupart des PME DACH à un niveau correct, car ils proviennent des efforts de conformité au RGPD, à la norme ISO 27001 et à KRITIS des dernières années. En revanche, la chaîne d’approvisionnement a rarement fait l’objet d’une évaluation des risques structurée jusqu’à présent. NIS2 comble cette lacune et en fait un élément vérifiable.

La législation allemande de mise en œuvre reprend largement le cadre européen, mais renforce l’attente d’une évaluation documentée de la chaîne d’approvisionnement. Concrètement, cela signifie que celui qui a une liste de fournisseurs dans un tableau Excel avec 200 lignes sans score de risque a techniquement une liste, mais pas une évaluation de la chaîne d’approvisionnement conforme à NIS2. L’auditeur du BSI cherche le score lors du premier audit, pas le tableau.

La deuxième raison de la sévérité est la connexion transversale avec l’obligation de déclaration dans les 24 et 72 heures. Celui qui ne sait pas quels fournisseurs sont liés à quelles données et à quels systèmes en cas d’incident ne peut pas fournir la déclaration au BSI avec la qualité requise. La liste des fournisseurs n’est pas seulement un artefact d’audit, elle est la base opérationnelle de la réponse aux incidents. Les deux sont liés, et les deux échouent sur le même problème de données.

Ce que l’auditeur du BSI veut voir dans les 90 premières minutes

Les premiers audits se déroulent depuis avril selon un schéma reconnaissable. L’auditeur du BSI commence par trois exigences avant que la vérification réelle du concept ne commence. Premièrement : une liste de tous les fournisseurs ayant accès aux systèmes ou données concernés. Deuxièmement : une classification de ces fournisseurs en au moins deux catégories (prestataires de services essentiels ou importants). Troisièmement : une preuve que chaque classification est basée sur une évaluation des risques à jour et est vérifiée au moins une fois par an.

C’est à ce stade que se décide le déroulement de l’audit. Celui qui fournit les trois exigences de manière satisfaisante entre dans la discussion sur le contenu. Celui qui présente une liste sans classification entre dans la procédure de demande complémentaire avec un délai de deux à quatre semaines. Dans la majorité des premiers audits, c’est le dernier cas qui est la norme, et non l’exception.

Le conseil de préparation pragmatique issu des premiers rapports d’expérience : un extrait A4 de l’outil de gestion des fournisseurs, qui montre les dix principaux fournisseurs selon la classification NIS2 avec le score de risque et la dernière revue. Celui qui peut remettre cela avant la date de l’audit signale une certaine maturité. Celui qui ne l’a pas tombe dans la boucle standard de demande complémentaire.

Ce que l’on trouve réellement dans les PME typiques de la région DACH

La réalité dans la plupart des entreprises est plus hétérogène que ne le suggère l’exigence NIS2. Les données des fournisseurs sont réparties dans trois à cinq systèmes parallèles : l’outil d’approvisionnement pour la vue commerciale, l’ITSM pour le niveau de service, le fournisseur d’identité pour la vue d’accès, un tableau Excel dans l’équipe de protection des données pour la liste RGPD. Nulle part il n’y a une vue consolidée, et dans aucune source n’est maintenu un score de risque spécifique à NIS2.

Cette fragmentation n’est pas un cas isolé, mais l’état standard. Elle ne peut pas non plus être résolue en deux semaines. Mais ce qui est réaliste en deux à six semaines : une liste consolidée des 30 principaux fournisseurs pertinents pour NIS2 avec un score de risque minimal basé sur les données existantes. Cette liste n’est pas la gestion définitive des fournisseurs, mais elle constitue la preuve d’audit suffisante pour l’audit initial.

Il est important que la liste soit vivante. Une liste à jour en mai 2026 est obsolète lors de l’audit de novembre, car le BSI souhaite voir une pratique de révision annuelle. La question organisationnelle n’est donc pas « comment créer la liste », mais « qui la maintient et à quelle fréquence ». Dans les entreprises qui abordent le sujet de manière sérieuse, l’examen des risques liés aux fournisseurs est intégré dans la réunion trimestrielle de direction de la sécurité informatique et dispose d’un propriétaire clair issu de l’approvisionnement.

Ce qui casse, ce qui porte : la préparation à l’audit en 6 semaines

La conclusion pragmatique : l’audit initial n’est pas la partie facultative, mais l’obligation sous une forme que la plupart des entreprises sous-estiment. Celui qui crée la liste des 30 principaux fournisseurs avec classification en six semaines, la documente et lui attribue un propriétaire, a couvert la majeure partie des exigences d’audit NIS2. Le reste est une discussion conceptuelle, qui est moins problématique dans la plupart des entreprises.

Ce qui fait mal lors du premier incident à cet endroit

L’audit NIS2 n’est que d’un côté. De l’autre, il y a la notification initiale sous 24 heures au BSI, qui entre immédiatement en vigueur après l’incident. Dans cette notification initiale, l’entreprise concernée doit indiquer quels systèmes et quelles connexions avec les fournisseurs sont compromis. Celui qui n’a pas une vue consolidée des fournisseurs rédige une notification initiale qui doit être révisée dans la confirmation sous 72 heures, car de nouvelles connexions avec des fournisseurs sont apparues qui n’avaient pas été mentionnées dans la notification initiale.

Ce n’est pas un risque théorique. Lors des premiers incidents depuis l’entrée en vigueur, il est apparu que les notifications initiales ultérieures n’étaient pas seulement considérées comme incomplètes, mais également comme un signe d’un manque de maturité de l’organisation de sécurité. La conséquence n’est pas nécessairement une amende, mais un contrôle ultérieur plus intensif, qui devient nettement plus fastidieux que l’audit initial.

La liste de la chaîne d’approvisionnement n’est donc pas seulement un outil d’audit, mais également un outil de réponse aux incidents. Dans les entreprises qui abordent le sujet de manière stratégique, la liste obtient une place fixe dans le manuel de l’équipe de crise et y est testée chaque année. Cet exercice coûte une journée et réduit nettement le risque de notification initiale incomplète.

Foire aux questions

Comment la liste des fournisseurs est-elle concrètement structurée ?

La liste des fournisseurs conforme à NIS2 contient au moins quatre champs par fournisseur : identité commerciale (nom, volume de contrat), identité technique (quels systèmes ou données sont affectés), classification NIS2 (essentiel ou important) et date de dernière revue. Les listes plus complexes ajoutent une échelle de notation de risque de 1 à 5, un contact d’escalade chez le fournisseur et la dernière preuve de test de pénétration ou d’audit ISMS du fournisseur. Un bon premier jet comporte 30 lignes, une liste mature en compte 100 à 200.

La liste des sous-traitants au sens du RGPD est-elle suffisante comme base ?

C’est une base utile, mais pas suffisante. La liste RGPD contient des fournisseurs qui traitent des données à caractère personnel, et cela ne représente qu’une partie du champ d’application de NIS2. NIS2 exige également les fournisseurs ayant accès à des systèmes critiques sans données à caractère personnel, tels que les prestataires de services de maintenance OT ou les fournisseurs de réseau. Dans la pratique, cela signifie que la liste RGPD couvre généralement 60 à 70 pour cent des fournisseurs pertinents pour NIS2, le reste devant être complété par les achats et la gestion des services informatiques.

Que se passe-t-il si l’auditeur du BSI constate une liste incomplète ?

La conséquence immédiate est une demande complémentaire avec un délai de deux à quatre semaines. Si cette demande n’est pas satisfaite, la procédure passe à un contrôle approfondi, dans lequel d’autres preuves de la gestion de la sécurité sont demandées. Ce n’est que si des lacunes apparaissent également dans le contrôle approfondi qu’une amende est menacée. La liste incomplète à elle seule n’est donc pas encore le déclencheur de l’amende, mais c’est l’entrée dans un chemin d’escalade qui devient coûteux.

Quel rôle jouent les auditeurs externes dans la préparation ?

Les auditeurs externes sont précieux dans la préparation, mais pas nécessairement nécessaires dans tous les cas. Pour les installations particulièrement importantes (bwE), une preuve d’audit externe est obligatoire au plus tard après trois ans. Pour les installations importantes (wE), l’auto-évaluation est autorisée. Celui qui est classé comme wE dans le Mittelstand DACH peut effectuer l’audit initial avec une préparation interne et obtenir une consultation externe ciblée pour la méthodologie de classification des fournisseurs.

À quelle fréquence la liste des fournisseurs doit-elle être mise à jour ?

Au moins une fois par an, mais dans la pratique, à chaque modification significative du contrat ou nouvelle intégration de système. La plupart des entreprises établissent un examen trimestriel, au cours duquel de nouveaux fournisseurs sont ajoutés et les contrats expirés sont supprimés. Cette fréquence est suffisante pour la preuve d’audit et correspond aux cycles de pilotage de la sécurité informatique habituels, de sorte qu’aucune réunion supplémentaire n’est nécessaire.

Crédit photo d’en-tête : Pexels / zeynep (px:36488985)

Plus de contenus du réseau MBF Media

• cloudmagazin : Quand les employés alimentent ChatGPT avec des données clients
• mybusinessfuture : SAP-BPC : la porte dérobée SQL dans le bilan trimestriel
• digital-chiefs : La question des 40 % : d’où vient vraiment le budget pour l’IA

À propos de l'auteur: Alec Chizhik

Plus d'articles de Alec Chizhik