7 Min. Temps de lecture<\/p>\n
Depuis la date butoir du 06.03.2026, le BSI v\u00e9rifie activement, selon sa propre annonce<\/a>, quels entreprises ont omis d'enregistrer leur conformit\u00e9 NIS2 – environ 18 500 manquent \u00e0 l'appel. Lors du cycle d'audit qui d\u00e9bute maintenant, la plupart des PME de la r\u00e9gion DACH \u00e9chouent non pas \u00e0 l'analyse de risques ou au plan de r\u00e9ponse aux incidents, mais \u00e0 une exigence apparemment triviale : une liste \u00e0 jour des cha\u00eenes d'approvisionnement avec \u00e9valuation des risques par fournisseur. Celui qui peut pr\u00e9senter une liste compl\u00e8te de fournisseurs avec un score de risque en moins de deux heures lors de la premi\u00e8re session d'audit a r\u00e9ussi le premier bloc. Celui qui ne le peut pas, va en prolongation avec des exigences suppl\u00e9mentaires.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Contenu connexe<\/span>La mise en application de NIS2 touche 29 500 entreprises allemandes<\/a> \/<\/span> Les autorit\u00e9s de surveillance pi\u00e8gent les PME avec un d\u00e9lai de 72 heures<\/a><\/p>\n Dans la grille d’exigences NIS2, la cha\u00eene d’approvisionnement n’est pas au centre de l’attention. En revanche, elle l’est dans le rapport d’audit. La raison est pratique : les concepts de risque et les plans de r\u00e9ponse aux incidents sont dans la plupart des PME DACH \u00e0 un niveau correct, car ils proviennent des efforts de conformit\u00e9 au RGPD, \u00e0 la norme ISO 27001 et \u00e0 KRITIS des derni\u00e8res ann\u00e9es. En revanche, la cha\u00eene d’approvisionnement a rarement fait l’objet d’une \u00e9valuation des risques structur\u00e9e jusqu’\u00e0 pr\u00e9sent. NIS2 comble cette lacune et en fait un \u00e9l\u00e9ment v\u00e9rifiable.<\/p>\n La l\u00e9gislation allemande de mise en \u0153uvre<\/a> reprend largement le cadre europ\u00e9en, mais renforce l’attente d’une \u00e9valuation document\u00e9e de la cha\u00eene d’approvisionnement. Concr\u00e8tement, cela signifie que celui qui a une liste de fournisseurs dans un tableau Excel avec 200 lignes sans score de risque a techniquement une liste, mais pas une \u00e9valuation de la cha\u00eene d’approvisionnement conforme \u00e0 NIS2. L’auditeur du BSI cherche le score lors du premier audit, pas le tableau.<\/p>\n La deuxi\u00e8me raison de la s\u00e9v\u00e9rit\u00e9 est la connexion transversale avec l’obligation de d\u00e9claration dans les 24 et 72 heures. Celui qui ne sait pas quels fournisseurs sont li\u00e9s \u00e0 quelles donn\u00e9es et \u00e0 quels syst\u00e8mes en cas d’incident ne peut pas fournir la d\u00e9claration au BSI avec la qualit\u00e9 requise. La liste des fournisseurs n’est pas seulement un artefact d’audit, elle est la base op\u00e9rationnelle de la r\u00e9ponse aux incidents. Les deux sont li\u00e9s, et les deux \u00e9chouent sur le m\u00eame probl\u00e8me de donn\u00e9es.<\/p>\n Les premiers audits se d\u00e9roulent depuis avril selon un sch\u00e9ma reconnaissable. L’auditeur du BSI commence par trois exigences avant que la v\u00e9rification r\u00e9elle du concept ne commence. Premi\u00e8rement : une liste de tous les fournisseurs ayant acc\u00e8s aux syst\u00e8mes ou donn\u00e9es concern\u00e9s. Deuxi\u00e8mement : une classification de ces fournisseurs en au moins deux cat\u00e9gories (prestataires de services essentiels ou importants). Troisi\u00e8mement : une preuve que chaque classification est bas\u00e9e sur une \u00e9valuation des risques \u00e0 jour et est v\u00e9rifi\u00e9e au moins une fois par an.<\/p>\n C’est \u00e0 ce stade que se d\u00e9cide le d\u00e9roulement de l’audit. Celui qui fournit les trois exigences de mani\u00e8re satisfaisante entre dans la discussion sur le contenu. Celui qui pr\u00e9sente une liste sans classification entre dans la proc\u00e9dure de demande compl\u00e9mentaire avec un d\u00e9lai de deux \u00e0 quatre semaines. Dans la majorit\u00e9 des premiers audits, c’est le dernier cas qui est la norme, et non l’exception.<\/p>\n Le conseil de pr\u00e9paration pragmatique issu des premiers rapports d’exp\u00e9rience : un extrait A4 de l’outil de gestion des fournisseurs, qui montre les dix principaux fournisseurs selon la classification NIS2 avec le score de risque et la derni\u00e8re revue. Celui qui peut remettre cela avant la date de l’audit signale une certaine maturit\u00e9. Celui qui ne l’a pas tombe dans la boucle standard de demande compl\u00e9mentaire.<\/p>\n La r\u00e9alit\u00e9 dans la plupart des entreprises est plus h\u00e9t\u00e9rog\u00e8ne que ne le sugg\u00e8re l’exigence NIS2. Les donn\u00e9es des fournisseurs sont r\u00e9parties dans trois \u00e0 cinq syst\u00e8mes parall\u00e8les : l’outil d’approvisionnement pour la vue commerciale, l’ITSM pour le niveau de service, le fournisseur d’identit\u00e9 pour la vue d’acc\u00e8s, un tableau Excel dans l’\u00e9quipe de protection des donn\u00e9es pour la liste RGPD. Nulle part il n’y a une vue consolid\u00e9e, et dans aucune source n’est maintenu un score de risque sp\u00e9cifique \u00e0 NIS2.<\/p>\n Cette fragmentation n’est pas un cas isol\u00e9, mais l’\u00e9tat standard. Elle ne peut pas non plus \u00eatre r\u00e9solue en deux semaines. Mais ce qui est r\u00e9aliste en deux \u00e0 six semaines : une liste consolid\u00e9e des 30 principaux fournisseurs pertinents pour NIS2 avec un score de risque minimal bas\u00e9 sur les donn\u00e9es existantes. Cette liste n’est pas la gestion d\u00e9finitive des fournisseurs, mais elle constitue la preuve d’audit suffisante pour l’audit initial.<\/p>\n Il est important que la liste soit vivante. Une liste \u00e0 jour en mai 2026 est obsol\u00e8te lors de l’audit de novembre, car le BSI souhaite voir une pratique de r\u00e9vision annuelle. La question organisationnelle n’est donc pas \u00ab\u00a0comment cr\u00e9er la liste\u00a0\u00bb, mais \u00ab\u00a0qui la maintient et \u00e0 quelle fr\u00e9quence\u00a0\u00bb. Dans les entreprises qui abordent le sujet de mani\u00e8re s\u00e9rieuse, l’examen des risques li\u00e9s aux fournisseurs est int\u00e9gr\u00e9 dans la r\u00e9union trimestrielle de direction de la s\u00e9curit\u00e9 informatique et dispose d’un propri\u00e9taire clair issu de l’approvisionnement.<\/p>\n Ce qui casse<\/p>\n Ce qui porte<\/p>\n La conclusion pragmatique : l’audit initial n’est pas la partie facultative, mais l’obligation sous une forme que la plupart des entreprises sous-estiment. Celui qui cr\u00e9e la liste des 30 principaux fournisseurs avec classification en six semaines, la documente et lui attribue un propri\u00e9taire, a couvert la majeure partie des exigences d’audit NIS2. Le reste est une discussion conceptuelle, qui est moins probl\u00e9matique dans la plupart des entreprises.<\/p>\n L’audit NIS2 n’est que d’un c\u00f4t\u00e9. De l’autre, il y a la notification initiale sous 24 heures au BSI<\/a>, qui entre imm\u00e9diatement en vigueur apr\u00e8s l’incident. Dans cette notification initiale, l’entreprise concern\u00e9e doit indiquer quels syst\u00e8mes et quelles connexions avec les fournisseurs sont compromis. Celui qui n’a pas une vue consolid\u00e9e des fournisseurs r\u00e9dige une notification initiale qui doit \u00eatre r\u00e9vis\u00e9e dans la confirmation sous 72 heures, car de nouvelles connexions avec des fournisseurs sont apparues qui n’avaient pas \u00e9t\u00e9 mentionn\u00e9es dans la notification initiale.<\/p>\n Ce n’est pas un risque th\u00e9orique. Lors des premiers incidents depuis l’entr\u00e9e en vigueur, il est apparu que les notifications initiales ult\u00e9rieures n’\u00e9taient pas seulement consid\u00e9r\u00e9es comme incompl\u00e8tes, mais \u00e9galement comme un signe d’un manque de maturit\u00e9 de l’organisation de s\u00e9curit\u00e9. La cons\u00e9quence n’est pas n\u00e9cessairement une amende, mais un contr\u00f4le ult\u00e9rieur plus intensif, qui devient nettement plus fastidieux que l’audit initial.<\/p>\n La liste de la cha\u00eene d’approvisionnement n’est donc pas seulement un outil d’audit, mais \u00e9galement un outil de r\u00e9ponse aux incidents. Dans les entreprises qui abordent le sujet de mani\u00e8re strat\u00e9gique, la liste obtient une place fixe dans le manuel de l’\u00e9quipe de crise et y est test\u00e9e chaque ann\u00e9e. Cet exercice co\u00fbte une journ\u00e9e et r\u00e9duit nettement le risque de notification initiale incompl\u00e8te.<\/p>\n La liste des fournisseurs conforme \u00e0 NIS2 contient au moins quatre champs par fournisseur : identit\u00e9 commerciale (nom, volume de contrat), identit\u00e9 technique (quels syst\u00e8mes ou donn\u00e9es sont affect\u00e9s), classification NIS2 (essentiel ou important) et date de derni\u00e8re revue. Les listes plus complexes ajoutent une \u00e9chelle de notation de risque de 1 \u00e0 5, un contact d’escalade chez le fournisseur et la derni\u00e8re preuve de test de p\u00e9n\u00e9tration ou d’audit ISMS du fournisseur. Un bon premier jet comporte 30 lignes, une liste mature en compte 100 \u00e0 200.<\/p>\n C’est une base utile, mais pas suffisante. La liste RGPD contient des fournisseurs qui traitent des donn\u00e9es \u00e0 caract\u00e8re personnel, et cela ne repr\u00e9sente qu’une partie du champ d’application de NIS2. NIS2 exige \u00e9galement les fournisseurs ayant acc\u00e8s \u00e0 des syst\u00e8mes critiques sans donn\u00e9es \u00e0 caract\u00e8re personnel, tels que les prestataires de services de maintenance OT ou les fournisseurs de r\u00e9seau. Dans la pratique, cela signifie que la liste RGPD couvre g\u00e9n\u00e9ralement 60 \u00e0 70 pour cent des fournisseurs pertinents pour NIS2, le reste devant \u00eatre compl\u00e9t\u00e9 par les achats et la gestion des services informatiques.<\/p>\n La cons\u00e9quence imm\u00e9diate est une demande compl\u00e9mentaire avec un d\u00e9lai de deux \u00e0 quatre semaines. Si cette demande n’est pas satisfaite, la proc\u00e9dure passe \u00e0 un contr\u00f4le approfondi, dans lequel d’autres preuves de la gestion de la s\u00e9curit\u00e9 sont demand\u00e9es. Ce n’est que si des lacunes apparaissent \u00e9galement dans le contr\u00f4le approfondi qu’une amende est menac\u00e9e. La liste incompl\u00e8te \u00e0 elle seule n’est donc pas encore le d\u00e9clencheur de l’amende, mais c’est l’entr\u00e9e dans un chemin d’escalade qui devient co\u00fbteux.<\/p>\n Les auditeurs externes sont pr\u00e9cieux dans la pr\u00e9paration, mais pas n\u00e9cessairement n\u00e9cessaires dans tous les cas. Pour les installations particuli\u00e8rement importantes (bwE), une preuve d’audit externe est obligatoire au plus tard apr\u00e8s trois ans. Pour les installations importantes (wE), l’auto-\u00e9valuation est autoris\u00e9e. Celui qui est class\u00e9 comme wE dans le Mittelstand DACH peut effectuer l’audit initial avec une pr\u00e9paration interne et obtenir une consultation externe cibl\u00e9e pour la m\u00e9thodologie de classification des fournisseurs.<\/p>\n Au moins une fois par an, mais dans la pratique, \u00e0 chaque modification significative du contrat ou nouvelle int\u00e9gration de syst\u00e8me. La plupart des entreprises \u00e9tablissent un examen trimestriel, au cours duquel de nouveaux fournisseurs sont ajout\u00e9s et les contrats expir\u00e9s sont supprim\u00e9s. Cette fr\u00e9quence est suffisante pour la preuve d’audit et correspond aux cycles de pilotage de la s\u00e9curit\u00e9 informatique habituels, de sorte qu’aucune r\u00e9union suppl\u00e9mentaire n’est n\u00e9cessaire.<\/p>\n Cr\u00e9dit photo d’en-t\u00eate : Pexels \/ zeynep (px:36488985)<\/em><\/p>\n Conseils de lecture de la r\u00e9daction<\/p>\n\n
Pourquoi la liste des fournisseurs est le point d’audit d\u00e9cisif<\/h2>\n
Ce que l’auditeur du BSI veut voir dans les 90 premi\u00e8res minutes<\/h2>\n
Ce que l’on trouve r\u00e9ellement dans les PME typiques de la r\u00e9gion DACH<\/h2>\n
Ce qui casse, ce qui porte : la pr\u00e9paration \u00e0 l’audit en 6 semaines<\/h2>\n
\n
\n
Ce qui fait mal lors du premier incident \u00e0 cet endroit<\/h2>\n
Foire aux questions<\/h2>\n
Comment la liste des fournisseurs est-elle concr\u00e8tement structur\u00e9e ?<\/h3>\n
La liste des sous-traitants au sens du RGPD est-elle suffisante comme base ?<\/h3>\n
Que se passe-t-il si l’auditeur du BSI constate une liste incompl\u00e8te ?<\/h3>\n
Quel r\u00f4le jouent les auditeurs externes dans la pr\u00e9paration ?<\/h3>\n
\u00c0 quelle fr\u00e9quence la liste des fournisseurs doit-elle \u00eatre mise \u00e0 jour ?<\/h3>\n
\n
Plus de contenus du r\u00e9seau MBF Media<\/h2>\n
\n