SaaS B2B & infrastructures numeriques

NIS2 pour les SaaS B2B et fournisseurs cloud

NIS2 integre les plateformes SaaS, fournisseurs cloud et MSP/MSSP dans la categorie infrastructures numeriques. Normi, comparateur independant, vous aide a identifier les prestataires SecNumCloud, PASSI et MSSP pour respecter les nouvelles obligations.

  • Comparer des fournisseurs cloud et SaaS qualifies (SecNumCloud, HDS).
  • Trouver des auditeurs PASSI et MSSP pour l'IT et les services numeriques.
  • Anticiper les exigences de gestion de risques, supply chain et notification.
DirectivePlan d'actionPrestatairesFAQEvaluer ma conformite

Ce que dit la directive pour le numerique

Perimetre et categories

La loi de resilience francaise va transposer NIS2 et faire passer le nombre d'entites regulees de 500 a 15 000. Les infrastructures numeriques (DNS, registres TLD, cloud, CDN, MSP/MSSP) sont regulees meme independamment de leur taille pour certaines categories. Sources OpenKRITIS / Advisera.

Obligations

Gestion des risques et gouvernance, mesures techniques (controle acces, chiffrement, securite dev/maintenance), securite supply chain, plan de reponse aux incidents (alertes 24 h / 72 h) et formation des equipes. Sources ENISA / Industrial Cyber.

Calendrier & sanctions

Le reglement d'execution 2024/2690 est en vigueur depuis octobre 2024. Mise en oeuvre progressive jusqu'en 2027, avec sanctions pouvant atteindre 10 M EUR / 2 % du CA pour les entites essentielles ou 7 M EUR / 1,4 % pour les importantes.

Plan d'action / priorites

  1. Determiner votre statut (cloud, DNS, MSP, service de confiance) et votre classification essentielle/importante.
  2. Cartographier vos actifs, donnees, API et fournisseurs critiques (hebergement, sous-traitants cloud, integrateurs).
  3. Mettre en place un cadre de gouvernance : politique securite, responsable cyber, analyse de risques, PCA/PRA.
  4. Securiser la supply chain : clauses NIS2 dans les contrats, privilegier des partenaires SecNumCloud / qualifies, audits reguliers.
  5. Preparer la detection / notification : outillage pour alerte precoce, rapport 72 h et capitalisation post incident.
  6. Sensibiliser les equipes produit, dev et operations pour integrer les exigences NIS2 dans les cycles de release.

Prestataires recommandes

  • Fournisseurs cloud / SaaS certifies SecNumCloud ou HDS pour les charges sensibles.
  • Auditeurs PASSI et cabinets specialises pour mettre en place politiques et controles conformes.
  • MSSP pour la detection et la reponse adaptees aux environnements cloud natifs.
  • Prestataires de services de confiance (PKI, signature) qualifies eIDAS/TSP.
Voir la selection numerique

FAQ

FAQ numerique / SaaS

Questions recues lors des missions cloud/SaaS.

Quelles entites numeriques doivent respecter NIS2 ?

Fournisseurs de cloud (IaaS, PaaS, SaaS) et de centres de donnees, CDN, plateformes SaaS B2B, fournisseurs DNS et registres TLD, services d'enregistrement de noms de domaine, fournisseurs de services de confiance, MSP/MSSP et plateformes en ligne (marketplaces, moteurs de recherche, reseaux sociaux). Certains (TLD, DNS) sont essentiels quelle que soit la taille.

Quelles obligations pour un editeur SaaS B2B ?

Mettre en place une politique de securite et de gestion des risques, securiser le developpement, controler l'acces aux donnees, surveiller la supply chain et notifier les incidents (alerte 24 h, rapport 72 h, rapport final sous un mois). Les sanctions peuvent atteindre 10 M EUR ou 2 % du CA mondial pour les entites essentielles.

Les start-ups SaaS sont-elles concernees ?

Les micro-entreprises (< 50 salaries, < 10 M EUR de CA) sont generalement exclues, mais certains services (DNS, registres, TSP) restent reguliers quelle que soit la taille et les autorites peuvent designer une entite plus petite si son service est critique.