Directive NIS2 : sécurisez votre supply chain logicielle
Sécurité des fournisseurs, gestion des vulnérabilités, amendes jusqu'à 10 millions d'euros
La directive européenne NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement logicielle, y compris les composants tiers.
Chronologie de la directive NIS2
14 décembre 2022
Adoption de NIS2
Publication au Journal Officiel de l'UE (2022/2555)
16 janvier 2023
Entrée en vigueur
La directive entre officiellement en vigueur
17 octobre 2024
Transposition nationale
Date limite de transposition dans les États membres
2025 et au-delà
Contrôles et sanctions
Mise en application progressive par les autorités nationales
Qui est concerné par NIS2 ?
18 secteurs essentiels et importants
Entités essentielles
- Énergie (électricité, pétrole, gaz, hydrogène)
- Transports (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et infrastructures financières
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructure numérique (DNS, cloud, data centers)
- Administration publique
- Espace
Entités importantes
- Services postaux et de courrier
- Gestion des déchets
- Industrie chimique
- Industrie alimentaire
- Fabrication (dispositifs médicaux, électronique, machines)
- Services numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Exigences NIS2 pour la supply chain logicielle
Ce que la directive impose
Inventaire des composants
Connaître et documenter les composants logiciels tiers
- Cartographie complète des dépendances directes et transitives
- Documentation des versions utilisées
- Traçabilité de l'origine des composants
Gestion des vulnérabilités
Détecter et corriger les failles de sécurité
- Surveillance continue des vulnérabilités connues (CVE)
- Processus de correction rapide des failles critiques
- Documentation des mesures prises
Sécurité des fournisseurs
Évaluer et surveiller vos prestataires
- Due diligence sur les fournisseurs critiques
- Exigences contractuelles de sécurité
- Revue régulière des pratiques de sécurité
Signalement des incidents
Notifier les autorités en cas d'incident
- Alerte précoce sous 24h
- Notification complète sous 72h
- Rapport final dans le mois suivant l'incident
Comment LibTracker vous aide pour NIS2
Votre brique technique pour la conformité supply chain
Ce que LibTracker couvre
- Inventaire automatique de toutes vos dépendances (SBOM)
- Surveillance CVE en temps réel avec alertes
- Historique d'audit pour vos certifications
- Export SBOM aux formats standards (SPDX, CycloneDX)
- Documentation de votre supply chain logicielle
Ce que LibTracker ne couvre pas
NIS2 est une directive organisationnelle. LibTracker est un outil technique qui ne remplace pas :
- Gouvernance globale et analyse de risques
- Gestion des incidents organisationnelle
- Continuité d'activité et plans de reprise
- Formation et sensibilisation du personnel
- Audit des fournisseurs non-logiciels
Risques en cas de non-conformité NIS2
Des sanctions significatives pour les organisations
Sanctions financières
Jusqu'à 10M€ ou 2% du CA
pour les entités essentielles
Jusqu'à 7M€ ou 1,4% du CA
pour les entités importantes
Responsabilité des dirigeants
- Responsabilité personnelle des dirigeants
- Interdiction temporaire d'exercer des fonctions de direction
- Obligation de formation en cybersécurité
Risques opérationnels
- Suspension d'activité en cas de manquement grave
- Publication des sanctions par les autorités
- Perte de confiance des clients et partenaires
Risques sécurité
- Vulnérabilités non détectées dans vos dépendances
- Exposition accrue aux cyberattaques
- Compromission de la supply chain