Supply chain NIS2, article 21

Votre client est régulé NIS2. Il vous demande des preuves. Voici comment répondre.

L'article 21 de NIS2 oblige les entités essentielles et importantes à exiger ces mesures de leurs sous-traitants critiques. Si votre PME fournit un SaaS, une API, un hébergement ou un service à un client régulé, vous allez recevoir un questionnaire et une demande de pentest. Laucked vous aide à produire un dossier défendable sans surinvestir.

Cadrer mon dossier sous-traitant Démarrer par le diagnostic gratuit

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

14 mai 2026·9 min de lecture·Fondateurs·LinkedIn

Livrables typiques

Cartographie courte de ce qui s'applique au titre de l'article 21 NIS2 pour votre cas.
Pentest cadré sur le périmètre exposé au donneur d'ordre (web, API, flux d'intégration).
Rapport identifiable cabinet, exploitable comme preuve dans la due diligence du donneur d'ordre.
Plan de remédiation priorisé pour les findings critiques avant l'audit ou la signature.
Synthèse dirigeant en 1-2 pages relisible par le contact achat et la direction du donneur d'ordre.

Expertise publique

Fondateurs Laucked

Les contenus clés sont reliés aux fondateurs, à des références anonymisées et à des surfaces de preuve consultables sans prise de contact.

Voir les fondateurs Références et cas clients Presse et interventions

Cette page est faite pour vous si

Vous êtes le sous-traitant, pas l'entité régulée

NIS2 distingue les entités directement régulées (essentielles, importantes) et leurs sous-traitants critiques. Cette page traite spécifiquement le second cas : votre PME n'est pas régulée NIS2 elle-même, mais vous êtes dans la supply chain d'une entité qui l'est, et son questionnaire vous arrive.

Votre PME n'est pas elle-même régulée NIS2, mais un de vos clients l'est et vous transmet ses exigences.

Le donneur d'ordre vous a envoyé un questionnaire long, parfois flou, où chaque réponse engage votre contrat.

Vous savez que produire un dossier crédible coûte moins cher que perdre le client, mais vous ne voulez pas surinvestir.

Vous êtes éditeur SaaS, prestataire IT, cabinet, hébergeur, sous-traitant industriel ou logistique dans une chaîne sensible.

Ce que votre donneur d'ordre attend vraiment

Trois piliers à tenir, et trois pièges à éviter

Identifier ce qui s'applique vraiment à vous

L'article 21 NIS2 oblige l'entité régulée à exiger ces mesures de ses sous-traitants, mais le donneur d'ordre peut sur-interpréter. Il faut savoir ce qui est obligatoire, ce qui est négociable, et ce qui est juste demandé « par sécurité ».

Produire des preuves techniques tenables

Le donneur d'ordre veut un rapport de pentest, une politique de gestion des vulnérabilités, une preuve de monitoring et un plan de réponse aux incidents. Pas seulement des engagements écrits : des preuves vérifiables.

Borner le périmètre sans masquer

Mieux vaut un périmètre clair et défendu (le SaaS qu'on vend, l'API qu'on expose, les flux qu'on traite) qu'une réponse vague qui s'effondrera au premier audit ou au premier incident.

Trois pièges classiques

Ce qui plante votre dossier auprès d'un auditeur sérieux

Réponses « oui » à toutes les questions

Un questionnaire NIS2 honnête a forcément des « partiellement », « en projet », « non applicable ». Tout cocher à « oui » alerte les acheteurs sérieux et risque de retomber sur vous à la première vérification.

Annexer une politique sans preuve d'application

Une politique de sécurité écrite ne suffit pas. Le donneur d'ordre attend des traces d'application : tests réguliers, formation, gestion des incidents documentée, derniers audits.

Promettre un SLA ou un RTO non tenable

Engager un délai de notification d'incident de 24 h ou un RTO de 4 h sans plan derrière, c'est se mettre en faute contractuelle au prochain incident. Mieux vaut négocier des seuils tenables.

Cas client anonymisé

Éditeur SaaS B2B fournisseur d'une banque privée régulée NIS2

L'éditeur (15 collaborateurs, hébergement OVH) fournit un SaaS de gestion documentaire utilisé par une banque privée classée entité importante NIS2. La banque a transmis un questionnaire de 87 questions et exigé un rapport de pentest récent identifiable cabinet avant renouvellement du contrat annuel.

Constats

Le questionnaire mélangeait des obligations NIS2 directes et des préférences internes de la banque, sur-interprétation visible.
Aucun pentest n'avait été réalisé depuis 2 ans, l'éditeur risquait un défaut de preuve sur 11 questions critiques.
Le SaaS reposait sur une API exposée que la documentation n'avait jamais formellement cartographiée.

Résultat

Pentest cadré sur le SaaS + l'API en 12 jours ouvrés (fourchette 6 500 € HT). 3 vulnérabilités critiques corrigées en 3 semaines, re-test inclus. Le rapport identifiable cabinet et la synthèse dirigeant ont permis de répondre à 14 questions sur 87, dont les 11 critiques. Contrat renouvelé sans clause restrictive.

Aller plus loin

Comment on chiffre un pentest Voir l'offre Pentest expert Exemple de rapport pentest (sous NDA)Guide NIS2 (PME directement régulées)

FAQ supply chain NIS2

Questions fréquentes des PME sous-traitantes

Suis-je obligé d'appliquer NIS2 alors que je ne suis pas une entité régulée ?

Non, pas directement. Mais l'article 21 de NIS2 oblige les entités essentielles et importantes à exiger ces mesures de leurs sous-traitants critiques. Si votre client est régulé et que vous traitez des données ou flux sensibles pour lui, il vous transférera contractuellement une partie de ses obligations. Vous restez libre de refuser, au prix du contrat.

Quelle différence avec un questionnaire sécurité client classique ?

Un questionnaire client classique reflète les préférences du donneur d'ordre. Un questionnaire NIS2 dérive d'un cadre réglementaire précis (article 21 + ENISA + recommandations sectorielles). La distinction permet de négocier ce qui est obligatoire face à ce qui est juste demandé par habitude, et de ne pas surpayer pour le second.

Quel pentest faut-il pour répondre crédiblement ?

Un pentest manuel récent (moins de 12 mois) sur le périmètre exposé au donneur d'ordre, identifiable cabinet, avec scoring CVSS et plan de remédiation. Pas un scan automatique. Le chiffrage est fait sur devis après diagnostic, pour des ordres de grandeur marché, voir /blog/prix-pentest-pme et /blog/prix-pentest-web.

Combien de temps cela prend-il ?

Le cadrage du périmètre + revue du questionnaire : 1 à 2 semaines. Le pentest : 5 à 15 jours ouvrés selon le périmètre. La constitution du dossier de réponse : 1 à 2 semaines. Total typique : 4 à 6 semaines pour un dossier défendable.

Et si la deadline du donneur d'ordre est inférieure à 4 semaines ?

Si le périmètre est simple et bien cadré (1 app web, 1-2 rôles, pas de logique métier complexe), on peut compresser le calendrier après diagnostic : cadrage en 48h et tests démarrés dans la foulée. Sinon, il faut négocier un délai avec le donneur d'ordre. Un pentest cadré dans l'urgence sans périmètre clair est souvent contre-productif.

Comment éviter de devenir nous-mêmes une entité NIS2 ?

Vous ne devenez pas entité NIS2 « par contamination ». Seul votre seuil d'effectifs ou de chiffre d'affaires et votre secteur d'activité comptent. Cette page concerne uniquement les obligations qu'un donneur d'ordre régulé peut vous transférer contractuellement, pas les obligations légales directes.

Un dossier sous-traitant NIS2 défendable, sans surinvestir

On commence par cadrer ce qui s'applique vraiment à votre cas, ce qui est négociable et ce qui doit être prouvé techniquement. Le diagnostic gratuit permet de chiffrer précisément ce qui est nécessaire avant d'engager un budget.

Cadrer mon dossier sous-traitant Voir comment on chiffre