NIS2 en 2026 : ce que les DSI européens ne peuvent plus ignorer sur la conformité SaaS

NIS2 en 2026 : ce que les DSI européens ne peuvent plus ignorer sur la conformité SaaS

Depuis l'entrée en application de NIS2, certaines directions informatiques ont découvert avec surprise qu'elles tombaient dans le périmètre de la directive — non pas parce qu'elles étaient des opérateurs critiques évidents, mais parce qu'un client, un partenaire ou une autorité nationale les y a placées. La réglementation ne frappe pas seulement les grandes infrastructures. Elle atteint désormais la chaîne entière, jusqu'au SaaS que vous utilisez pour gérer vos tickets de support ou votre messagerie collaborative.

Dix millions d'euros d'amende maximale pour les entités dites « essentielles », sept millions pour les « importantes ». Ce n'est plus une menace abstraite dans un texte de Bruxelles : c'est le cadre juridique dans lequel les DSI et CTO européens opèrent aujourd'hui.

Ce qu'on a souvent mal compris de NIS2

La directive NIS2, transposée dans les législations nationales des États membres depuis fin 2024, étend considérablement le champ de NIS1. Là où la première version ciblait quelques secteurs très précis — énergie, transports, santé —, NIS2 couvre désormais une liste bien plus large : administrations publiques, services numériques, industrie manufacturière critique, services postaux, gestion des eaux, secteur alimentaire. En France, l'ANSSI pilote la mise en œuvre et a publié ses orientations pour les entités concernées.

Mais le point que beaucoup de PME et ETI ont sous-estimé, c'est l'effet de cascade sur la chaîne de sous-traitance. Si vous fournissez des services numériques à une entité essentielle ou importante — même indirectement — vous pouvez vous retrouver soumis à des exigences de sécurité que votre client vous imposera contractuellement. NIS2 ne s'arrête pas à la porte des grands comptes.

Autre surprise : la responsabilité personnelle des dirigeants. La directive introduit explicitement la possibilité de tenir les membres des organes de direction responsables en cas de manquement grave aux obligations de cybersécurité. Ce n'est plus uniquement un problème de DSI ; c'est un sujet de conseil d'administration.

Pourquoi les SaaS posent un problème spécifique

La question SaaS est au cœur de la conformité NIS2 pour une raison simple : la plupart des entreprises européennes ont externalisé une partie substantielle de leur infrastructure numérique vers des services cloud tiers. Messagerie, CRM, outils de collaboration, gestion des identités, supervision réseau — tout cela tourne souvent chez des fournisseurs dont vous ne maîtrisez ni les datacenters, ni les sous-traitants, ni parfois même la nationalité juridique réelle.

NIS2 exige notamment :

• La gestion des risques liés à la chaîne d'approvisionnement numérique, ce qui inclut vos fournisseurs SaaS.
• Des mesures de continuité d'activité documentées et testées.
• La notification des incidents sous 24 heures (alerte initiale) puis 72 heures (rapport détaillé) aux autorités compétentes.
• Des politiques de contrôle d'accès et de chiffrement qui doivent être vérifiables.

Or, quand votre CRM est hébergé dans un cloud américain sous juridiction du Cloud Act, que se passe-t-il si une autorité étrangère exige l'accès à vos données dans le cadre d'une investigation ? Vous ne contrôlez pas cette réponse. Votre fournisseur SaaS si.

Ce n'est pas un argument de principe souverainiste. C'est une question de gestion du risque juridique et opérationnel que NIS2 vous oblige désormais à documenter et à traiter.

Le vrai travail : l'audit de votre chaîne SaaS

Avant de chercher à remplacer quoi que ce soit, la première priorité est de cartographier ce que vous avez réellement. C'est un exercice que beaucoup de DSI de PME et ETI n'ont pas encore fait sérieusement, parce que le Shadow IT des années 2018-2023 a créé une prolifération d'outils dont personne n'a une vue consolidée.

Concrètement, cela signifie :

Identifier chaque SaaS actif dans l'organisation, y compris ceux souscrit directement par des équipes métier sans validation IT. Les outils de découverte du Shadow IT (catégorie CASB — Cloud Access Security Broker) peuvent aider, mais l'inventaire manuel reste souvent nécessaire pour les petites structures.

Pour chaque outil critique, se poser trois questions : Où sont les données hébergées ? Sous quelle juridiction opère le fournisseur ? Quel est le délai de notification d'incident contractuellement garanti par ce fournisseur ?

Évaluer le risque par niveau de criticité. Votre messagerie n'est pas au même niveau de risque que votre outil de gestion des identités ou votre SIEM. NIS2 n'exige pas une réponse uniforme — elle exige une réponse proportionnée et documentée.

C'est fastidieux. C'est aussi exactement ce que l'ANSSI et ses homologues européens pourront vous demander en cas de contrôle ou d'incident.

La question de la souveraineté : utile, pas magique

L'argument souverainiste a été tellement utilisé comme argument commercial ces dernières années qu'il en a perdu une partie de sa crédibilité. Pourtant, dans le contexte NIS2, il retrouve une pertinence fonctionnelle précise.

Le label SecNumCloud de l'ANSSI, par exemple, n'est pas qu'un tampon marketing. Il atteste d'exigences techniques et juridiques vérifiées : localisation des données, absence de droit d'accès extraterritorial, niveau de chiffrement, procédures d'audit. Pour les entités soumises à NIS2 qui cherchent à simplifier leur démonstration de conformité auprès des autorités, choisir un prestataire labellisé réduit mécaniquement la charge de documentation.

Outscale (filiale de Dassault Systèmes) et Scaleway (groupe Iliad) figurent parmi les acteurs qualifiés ou en cours de qualification SecNumCloud pour des services d'infrastructure. Ce ne sont pas des solutions universelles, et elles ne répondent pas à tous les cas d'usage — mais pour des charges de travail sensibles nécessitant une traçabilité juridique forte, elles méritent d'être sérieusement évaluées face aux alternatives américaines.

Cela dit, la souveraineté ne remplace pas la sécurité. Un datacenter français mal configuré reste une vulnérabilité. La conformité NIS2 porte sur les deux dimensions : la localisation et le niveau de protection technique. Confondre les deux est une erreur fréquente — et coûteuse.

Ce que les fournisseurs SaaS doivent comprendre (y compris les éditeurs européens)

Si vous êtes CTO d'un éditeur SaaS B2B en Europe, NIS2 vous concerne à double titre. D'abord comme entité potentiellement dans le périmètre de la directive. Ensuite, parce que vos clients soumis à NIS2 vont vous demander des garanties que vous n'avez peut-être pas encore formalisées.

Les acheteurs IT européens commencent à exiger dans leurs appels d'offres des éléments précis : certification ISO 27001 à jour, politique de notification des incidents avec des délais contractuels alignés sur NIS2, localisation documentée des données et des sauvegardes, liste des sous-traitants avec niveau d'accès aux données.

Ce n'est plus du différenciation commerciale. C'est un ticket d'entrée sur certains marchés. Les éditeurs SaaS qui n'ont pas encore structuré ces réponses vont se retrouver écartés des processus d'achat des entités régulées — sans même que ce soit une décision idéologique de leur part.

L'outil de gestion de la conformité Vanta, bien que d'origine américaine, est utilisé par plusieurs éditeurs européens pour automatiser la collecte de preuves de conformité (SOC 2, ISO 27001, et maintenant des frameworks alignés NIS2). Ce n'est pas la seule approche possible, mais elle illustre un point : la conformité devient un processus continu, pas un audit ponctuel tous les trois ans.

Trois réflexes à adopter maintenant

Sans prétendre donner une feuille de route universelle — chaque organisation a ses contraintes propres — quelques orientations émergent des retours de DSI qui ont commencé sérieusement ce travail.

Impliquer les directions juridique et générale dès maintenant. La responsabilité des dirigeants introduite par NIS2 change la nature de la conversation. Ce n'est plus la DSI seule qui porte le risque. Si votre DG ou votre PDG n'est pas encore au courant des implications personnelles de la directive, c'est une conversation à avoir.

Ne pas attendre un contrôle pour documenter. L'ANSSI et ses homologues nationaux ont annoncé des campagnes de vérification. La documentation de votre politique de gestion des risques, de vos procédures de notification d'incident et de votre chaîne de sous-traitance doit exister, être à jour et être accessible rapidement. Pas dans six mois.

Prioriser plutôt qu'exhaustivité. NIS2 exige une approche proportionnée au risque. Vous n'avez pas à sécuriser votre outil de réservation de salles de réunion au même niveau que votre Active Directory. Établir une classification de la criticité de vos systèmes vous permettra d'allouer les efforts là où ils comptent vraiment.

La conformité ne se délègue plus

Pendant longtemps, beaucoup d'entreprises ont traité la cybersécurité comme un problème technique qu'on confie à une équipe IT et qu'on oublie. NIS2 met fin à cette logique. La directive européenne crée une obligation de moyens documentée, une responsabilité nominale des dirigeants et une pression sur toute la chaîne fournisseur.

Pour les DSI et CTO de PME et ETI européennes, le message est clair : ce n'est plus la taille de votre organisation qui détermine si vous êtes concerné, c'est votre position dans l'écosystème numérique. Et cet écosystème est désormais réglementé.

La vraie question qui mérite débat : est-ce que NIS2, avec ses exigences de documentation et de traçabilité, va accélérer la consolidation du marché SaaS européen autour d'acteurs capables d'assumer cette charge de conformité — au détriment des petits éditeurs qui n'en ont pas les moyens ? Ou au contraire, va-t-elle créer une opportunité pour une nouvelle génération d'outils B2B européens qui feront de la conformité leur argument différenciant ?

La réponse se construit en ce moment, dans les décisions d'achat que vous prenez.