NIS2 Clauses contractuelles Fournisseurs Cybersécurité Conformité

Clauses Contractuelles NIS2 Fournisseurs : Guide

Par Meldis

L’article 21(3) de la directive NIS2 ne laisse pas de place au doute : les entités régulées doivent intégrer des clauses contractuelles de cybersécurité dans leurs contrats avec les fournisseurs et prestataires de services. Ce n’est pas une recommandation — c’est une obligation. Pourtant, la plupart des PME ne savent pas quelles clauses inclure, ni comment structurer une annexe sécurité conforme. Résultat : des contrats qui ne protègent ni le donneur d’ordres ni le fournisseur en cas d’incident. Ce guide détaille les 7 clauses NIS2 obligatoires, propose une structure d’annexe sécurité type et explique comment négocier ces clauses, que vous les imposiez ou que vous les receviez.

En résumé

  • Art. 21(3) NIS2 impose des dispositions contractuelles de cybersécurité avec les fournisseurs
  • 7 clauses obligatoires couvrent la notification d’incident, l’audit, la continuité, la cascade et la réversibilité
  • 66 % des incidents sont liés à la chaîne d’approvisionnement (ENISA 2024)
  • Une annexe sécurité type en 7 sections structure vos exigences
  • Meldis accompagne les PME d’Occitanie dans la sécurisation de leurs contrats fournisseurs

Pourquoi NIS2 impose des clauses contractuelles avec les fournisseurs

La directive NIS2 fait de la sécurité de la chaîne d’approvisionnement une obligation à part entière. Deux articles fondent cette exigence.

L’article 21(2)(d) impose aux entités régulées de gérer les risques liés à leurs fournisseurs directs et prestataires de services. La sécurité ne s’arrête pas aux portes de l’entreprise — elle s’étend à toute relation commerciale impliquant un accès au système d’information ou un traitement de données.

L’article 21(3) va plus loin : il exige que les entités tiennent compte des “vulnérabilités propres à chaque fournisseur et prestataire de services direct” et de “la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs”. Concrètement, le contrat devient l’outil juridique qui matérialise cette obligation.

Le considérant 85 complète le dispositif en précisant que l’évaluation doit porter sur la “qualité et la résilience des produits et services” et les “mesures de gestion des risques intégrées dans ceux-ci”. Les clauses contractuelles sont le levier qui permet de formaliser et de vérifier ces engagements.

Les chiffres justifient cette approche. Selon l’ENISA (Threat Landscape 2024), 66 % des incidents cyber sont liés à la chaîne d’approvisionnement. Compromettre un prestataire IT, c’est potentiellement accéder aux données et systèmes de dizaines de clients. Le coût moyen d’un incident pour une PME se situe entre 25 000 et 50 000 euros (Hiscox/CPME 2024) — et ce montant explose quand l’incident provient d’un fournisseur, car la remédiation implique deux organisations au lieu d’une.

L’enjeu est aussi celui de la responsabilité. L’article 20 de NIS2 engage personnellement les dirigeants dans la supervision des mesures de cybersécurité. Un contrat fournisseur sans clause de sécurité, c’est une faille documentée qu’un contrôle de l’ANSSI pourra constater. Les sanctions sont proportionnées à la gravité : jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles, 7 millions d’euros ou 1,4 % du CA mondial pour les entités importantes. La directive en tire les conséquences : sécuriser les contrats, c’est sécuriser la chaîne.

Pour comprendre l’ensemble du dispositif réglementaire, consultez notre guide complet de la directive NIS2. La transposition française via la Loi Résilience préciserait les modalités d’application — le texte est encore en cours d’adoption.

Les 7 clauses NIS2 obligatoires pour vos contrats fournisseurs

Chaque clause contractuelle ci-dessous est ancrée dans un article précis de la directive NIS2. C’est ce qui distingue de simples clauses “bonnes pratiques” de véritables obligations réglementaires.

Clause 1 : niveau de sécurité minimum (SLA sécurité)

Base juridique : Art. 21(2)(a) — politiques de sécurité et analyse des risques.

Le fournisseur s’engage à maintenir un niveau de sécurité conforme à un référentiel identifié. La clause doit préciser :

  • Les exigences minimales : politique de sécurité formalisée, chiffrement des données sensibles, authentification multifacteur sur les accès au SI du client.
  • Le référentiel applicable : guide d’hygiène ANSSI, ISO 27001, ou exigences spécifiques définies en annexe.
  • Les preuves attendues : attestation de conformité, rapport d’audit, certificat ISO valide.

Exemple de formulation : “Le Prestataire s’engage à maintenir un niveau de sécurité conforme aux 42 mesures du guide d’hygiène informatique de l’ANSSI. Il fournit au Client, sur demande et dans un délai de 30 jours, les preuves documentaires de cette conformité.”

Imaginons une PME industrielle à Nîmes qui externalise sa gestion de paie. Son prestataire accède à l’ensemble des données RH — bulletins de salaire, coordonnées bancaires, numéros de sécurité sociale. Sans SLA sécurité, aucune garantie que ces données sont chiffrées ou que les accès sont contrôlés. La clause pose un socle vérifiable.

Clause 2 : notification d’incident (alignement 24h NIS2)

Base juridique : Art. 23 — obligations de notification.

NIS2 impose un calendrier strict de notification en cas d’incident significatif : 24 heures pour l’alerte précoce, 72 heures pour la notification complète, 1 mois pour le rapport final. Pour que l’entité régulée respecte ces délais vis-à-vis de l’ANSSI, son fournisseur doit la prévenir avant — typiquement dans un délai de 12 à 18 heures.

La clause doit préciser :

  • Le délai de notification du fournisseur vers le client (inférieur aux 24h réglementaires).
  • Le contenu minimum de l’alerte : nature de l’incident, périmètre affecté, mesures immédiates prises.
  • Le canal de communication : contact dédié, adresse email spécifique, numéro d’astreinte.
  • L’obligation de coopération pour l’investigation et la remédiation.

Exemple de formulation : “Le Prestataire notifie le Client dans un délai maximum de 12 heures suivant la découverte de tout incident de sécurité affectant les données ou services fournis. La notification inclut la nature de l’incident, les données potentiellement compromises et les mesures correctives engagées.”

Clause 3 : droit d’audit et de contrôle

Base juridique : Art. 21(2)(f) — évaluation de l’efficacité des mesures de sécurité.

Le droit d’audit permet au donneur d’ordres de vérifier que les engagements de sécurité sont effectivement respectés. Sans cette clause, les SLA restent déclaratifs.

La clause doit couvrir :

  • Le droit du client d’auditer ou de faire auditer les mesures de sécurité du fournisseur.
  • La fréquence : au minimum annuelle pour les fournisseurs critiques.
  • Le périmètre : systèmes, processus et données liés à la prestation.
  • Les conditions : préavis raisonnable (15-30 jours), prise en charge des coûts.
  • L’accès aux résultats d’audits existants (SOC 2, ISO 27001) en alternative.

Un audit de sécurité informatique structuré selon les référentiels ANSSI ou ISO 27001 fournit un cadre reconnu pour exercer ce droit d’audit.

Clause 4 : continuité de service et PCA/PRA

Base juridique : Art. 21(2)(c) — continuité des activités, gestion de crise, sauvegarde et reprise.

Le fournisseur doit garantir la continuité du service en cas d’incident majeur. La clause traduit cette obligation en engagements mesurables.

Points à couvrir :

  • SLA de disponibilité : taux de disponibilité garanti (ex. 99,5 %).
  • RTO (Recovery Time Objective) : délai maximal de reprise après incident (ex. 4 heures).
  • RPO (Recovery Point Objective) : perte de données maximale acceptable (ex. 1 heure).
  • Test du PCA/PRA : le fournisseur teste son plan de continuité au moins une fois par an et communique les résultats.

Pour un éditeur SaaS à Montpellier fournissant un outil de gestion à un groupe hospitalier (entité essentielle), cette clause est déterminante. Une indisponibilité prolongée du logiciel peut impacter directement la prise en charge des patients. Le RTO doit être dimensionné en conséquence.

Clause 5 : cascade vers les sous-traitants de rang 2

Base juridique : Art. 21(2)(d) et Considérant 85 — sécurité de la chaîne d’approvisionnement dans sa globalité.

L’obligation de sécurité ne s’arrête pas au fournisseur de rang 1. La clause de cascade impose au prestataire de répercuter les exigences de sécurité à ses propres sous-traitants.

La clause doit prévoir :

  • L’obligation pour le fournisseur d’imposer des exigences équivalentes à ses sous-traitants.
  • La notification préalable en cas de recours à un nouveau sous-traitant ou de changement de sous-traitant existant.
  • Le droit de regard du client sur la chaîne de sous-traitance (liste des sous-traitants et leur périmètre).
  • Un droit d’opposition si le sous-traitant proposé ne présente pas les garanties suffisantes.

Clause 6 : gestion des accès et des données

Base juridique : Art. 21(2)(i) — sécurité des ressources humaines, contrôle d’accès et gestion des actifs.

Le fournisseur qui accède au SI ou aux données du client doit respecter des règles strictes de gestion des accès.

Points clés :

  • Principe du moindre privilège : accès limité au strict nécessaire pour la prestation.
  • Comptes nominatifs : pas de comptes partagés, traçabilité des accès.
  • Revue régulière : revue trimestrielle des droits d’accès, suppression immédiate en cas de départ.
  • Restitution et destruction : en fin de contrat, le fournisseur restitue l’ensemble des données et détruit ses copies, avec attestation.

Prenons le cas d’un prestataire de maintenance informatique intervenant chez un distributeur agroalimentaire à Millau. S’il dispose d’un compte administrateur permanent sur l’Active Directory du client, une compromission de ses propres systèmes ouvre un accès direct à l’infrastructure du distributeur. La clause de gestion des accès limite ce risque.

Clause 7 : réversibilité

Base juridique : Art. 21(2)(d) — maîtrise des dépendances fournisseurs.

La réversibilité garantit que le client peut reprendre le contrôle de ses données et services en fin de contrat, sans dépendance excessive.

La clause doit couvrir :

  • Les conditions de transfert : formats standards (CSV, SQL, API documentée), pas de format propriétaire verrouillé.
  • Les délais : durée de la période de réversibilité (30 à 90 jours selon la complexité).
  • L’assistance à la transition : le fournisseur coopère avec le nouveau prestataire pendant la migration.
  • La destruction certifiée : suppression définitive des données sur les systèmes du fournisseur sortant, avec attestation.

Clauses recommandées pour renforcer votre sécurité contractuelle

Au-delà des 7 clauses contractuelles obligatoires, quatre clauses complémentaires renforcent significativement votre sécurité contractuelle NIS2.

Assurance cyber — Exigez une couverture d’assurance cyber avec un montant minimum adapté au risque. Une PME qui fournit un service critique à une entité régulée devrait pouvoir justifier d’une police couvrant au minimum les frais de notification, de remédiation et de responsabilité civile.

Pénalités graduées — Des pénalités financières en cas de manquement aux obligations de sécurité (non-notification d’incident, refus d’audit, indisponibilité au-delà du SLA) rendent les engagements opposables. Privilégiez un mécanisme gradué : avertissement, pénalité financière, résiliation.

Obligation de veille et patching — Le fournisseur s’engage à appliquer les correctifs de sécurité critiques dans un délai défini (ex. 72 heures pour les vulnérabilités critiques, 30 jours pour les vulnérabilités élevées).

Clause de résiliation pour manquement grave — Le client peut résilier le contrat de plein droit en cas de manquement grave et répété aux obligations de sécurité, avec un préavis réduit.

Comment structurer l’annexe sécurité de vos contrats

Plutôt que de disperser les clauses contractuelles NIS2 dans le corps du contrat, regroupez-les dans une annexe sécurité dédiée. Cette approche présente deux avantages : elle facilite la mise à jour (un avenant sur l’annexe suffit) et elle simplifie la lecture pour les équipes techniques qui n’ont pas besoin de parcourir l’ensemble du contrat.

Structure type en 7 sections

Annexe sécurité — Structure type

Section Contenu Clause NIS2 correspondante
1. Référentiel de sécurité Exigences minimales, normes applicables, preuves de conformité Clause 1 — SLA sécurité
2. Gestion des incidents Délais de notification, canal de communication, coopération Clause 2 — Notification
3. Audit et contrôle Fréquence, périmètre, conditions, rapports existants Clause 3 — Droit d'audit
4. Continuité de service SLA, RTO, RPO, tests PCA/PRA Clause 4 — Continuité
5. Sous-traitance Cascade, notification, droit d'opposition Clause 5 — Cascade
6. Accès et données Moindre privilège, comptes nominatifs, restitution Clause 6 — Gestion des accès
7. Réversibilité Formats, délais, assistance, destruction Clause 7 — Réversibilité

Prioriser les fournisseurs critiques

Tous les fournisseurs ne nécessitent pas le même niveau d’exigence. Concentrez l’effort sur trois catégories prioritaires :

  • Fournisseurs avec accès au SI : hébergeur, éditeur ERP/CRM, prestataire cloud, MSSP.
  • Fournisseurs traitant des données sensibles : prestataire de paie, éditeur santé, expert-comptable avec accès au SI.
  • Fournisseurs dont la défaillance interrompt un service essentiel : opérateur télécom, fournisseur d’énergie, prestataire logistique connecté.

Pour les fournisseurs standard sans accès au SI ni traitement de données sensibles, une annexe sécurité allégée peut suffire.

Modifier vos contrats existants : avenant ou nouveau contrat ?

La mise en conformité des clauses contractuelles NIS2 n’exige pas nécessairement de réécrire tous vos contrats. Dans la plupart des cas, un avenant suffit.

Quand un avenant suffit

Un avenant est adapté lorsque le contrat existant fonctionne bien et que les clauses de sécurité manquent ou sont insuffisantes. Concrètement :

  • Ajout d’une annexe sécurité au contrat existant.
  • Renforcement des clauses de notification d’incident et de droit d’audit.
  • Ajout d’une clause de cascade vers les sous-traitants de rang 2.
  • Mise à jour des SLA de sécurité.

C’est la démarche la plus pragmatique pour les PME : elle évite de renégocier l’ensemble du contrat et se concentre sur les obligations NIS2.

Quand un nouveau contrat est nécessaire

Un nouveau contrat s’impose dans des cas plus limités :

  • La structure contractuelle ne permet pas d’intégrer une annexe sécurité (contrats anciens, CGV sans clause d’amendement).
  • Le prestataire change ou le périmètre de la prestation évolue significativement.
  • Les clauses existantes sont contradictoires avec les exigences NIS2 (ex. clause d’exclusion de responsabilité en matière de sécurité).

Calendrier recommandé

  1. Immédiat : identifier les contrats fournisseurs critiques (accès SI, données sensibles, service essentiel).
  2. Mois 1-2 : rédiger l’annexe sécurité type et la faire valider juridiquement.
  3. Mois 2-4 : négocier et signer les avenants avec les fournisseurs prioritaires.
  4. Mois 4-6 : étendre la démarche aux fournisseurs de deuxième cercle.
  5. En continu : intégrer l’annexe sécurité dans tout nouveau contrat.

Que faire quand vous recevez des clauses NIS2 de votre client ?

Si votre PME est fournisseur d’une entité régulée, vous allez recevoir — ou avez déjà reçu — des avenants contractuels intégrant des clauses NIS2. Voici comment les aborder.

Évaluer la proportionnalité

Toutes les clauses ne sont pas égales. Évaluez chaque exigence au regard de votre prestation réelle :

  • L’exigence est-elle proportionnée au périmètre d’accès que vous avez ? Un prestataire sans accès au SI n’a pas les mêmes obligations qu’un hébergeur.
  • Le délai de notification demandé est-il réaliste compte tenu de votre organisation ?
  • Les pénalités sont-elles proportionnées au montant du contrat ?

Distinguer le négociable du non négociable

Certaines clauses découlent directement de la directive et ne sont pas négociables pour votre client :

  • Non négociable : notification d’incident, droit d’audit, cascade vers vos propres sous-traitants.
  • Négociable : montant des pénalités, fréquence des audits, délais de mise en conformité, prise en charge des coûts d’audit.

Transformer la contrainte en avantage concurrentiel

Une PME qui anticipe les exigences NIS2 se démarque de ses concurrents. Préparer un “pack sécurité fournisseur” (PSSI, procédure de notification, preuves MFA, politique de sauvegarde) accélère les processus de qualification et renforce votre crédibilité.

Prenons l’exemple d’un intégrateur réseau de 25 salariés à Toulouse. Ses clients dans l’aéronautique (entités essentielles) commencent à exiger des clauses NIS2 dans les contrats de maintenance. Plutôt que de subir la démarche, l’intégrateur constitue un dossier de conformité qu’il envoie proactivement à ses prospects. Résultat : il remporte un appel d’offres face à un concurrent qui n’avait pas anticipé. La conformité devient un argument commercial, pas une contrainte administrative.

Pour approfondir l’évaluation fournisseur et le questionnaire de sécurité, consultez notre article sur les obligations NIS2 envers les sous-traitants.

FAQ : clauses contractuelles NIS2

Quelles clauses contractuelles sont obligatoires sous NIS2 ?

L'article 21(3) de NIS2 impose d'intégrer des dispositions contractuelles de cybersécurité avec les fournisseurs. Les 7 clauses essentielles couvrent : le niveau de sécurité minimum (SLA), la notification d'incident alignée sur le délai de 24 heures, le droit d'audit, la continuité de service (PCA/PRA), la cascade vers les sous-traitants de rang 2, la gestion des accès et des données, et la réversibilité en fin de contrat.

NIS2 s'applique-t-elle aux contrats existants ?

Oui. Les entités régulées doivent mettre en conformité l'ensemble de leurs contrats fournisseurs, y compris ceux déjà en cours. Un avenant ajoutant une annexe sécurité suffit dans la plupart des cas. Une refonte complète du contrat n'est nécessaire que si la structure contractuelle ne permet pas d'intégrer les clauses requises.

Un fournisseur peut-il refuser les clauses NIS2 ?

Légalement, rien n'oblige un fournisseur non régulé à accepter ces clauses. Mais en pratique, le refus expose à un risque contractuel et concurrentiel majeur : les entités régulées choisiront des fournisseurs conformes. Les clauses de notification d'incident et de droit d'audit sont considérées comme non négociables par la plupart des donneurs d'ordres.

Quels fournisseurs prioriser pour les clauses NIS2 ?

Trois critères de priorisation : les fournisseurs ayant accès à votre système d'information, ceux qui traitent des données sensibles (clients, employés, financières), et ceux dont la défaillance interromprait un service essentiel. Commencez par ces fournisseurs critiques avant d'étendre la démarche aux prestataires standard.

Quelle est la sanction si mes contrats ne sont pas conformes NIS2 ?

Les sanctions NIS2 s'appliquent à l'ensemble des manquements aux obligations de l'article 21, y compris la sécurité de la chaîne d'approvisionnement. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du CA mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Les dirigeants peuvent être personnellement tenus responsables (article 20).

NIS2 fait du contrat un outil de cybersécurité à part entière. Les 7 clauses contractuelles de ce guide constituent votre checklist minimale — SLA sécurité, notification, audit, continuité, cascade, accès, réversibilité. L’enjeu n’est pas seulement réglementaire : un contrat bien structuré protège votre activité quand un incident survient chez un fournisseur. Meldis accompagne les PME d’Occitanie dans la rédaction de leurs clauses contractuelles NIS2, de l’annexe sécurité type à la négociation avec les fournisseurs. Découvrez notre accompagnement conformité NIS2 ou contactez-nous pour un diagnostic personnalisé.