NIS2 pour les éditeurs SaaS : six mois pour passer l'audit

La directive NIS2 (Network and Information Security 2) est entrée en application le 17 octobre 2024, transposée en droit français en novembre 2024. Pendant 18 mois, l'écosystème SaaS a regardé ailleurs — c'était surtout un sujet d'opérateurs critiques, banques, hôpitaux, énergie. En 2026, le périmètre se précise, et beaucoup d'éditeurs SaaS B2B découvrent qu'ils sont, en fait, classés « entité importante » au sens de l'annexe II.

Qui est vraiment concerné ?

L'annexe II liste les fournisseurs de services numériques : services de cloud computing, places de marché en ligne, moteurs de recherche, services managés, datacenters, registres TLD. Pour un éditeur SaaS, le rattachement passe presque systématiquement par « services de cloud computing » ou « services managés » dès lors que la solution héberge les données client (ce qui est le cas par construction).

Les seuils : ≥ 50 salariés ou ≥ 10 M€ de CA suffisent à faire entrer dans le périmètre « entité importante ». Au-dessus de 250 salariés ou 50 M€, c'est « entité essentielle » avec un régime de contrôle plus dur. Concrètement, un éditeur SaaS Series B avec 80 salariés et 12 M€ d'ARR est classé « entité importante » et a des obligations directes — sans que personne ne lui ait jamais notifié.

Les obligations techniques qui font mal

Notification d'incident en 24h / 72h

Tout incident de sécurité ayant un « impact significatif » doit être notifié à l'ANSSI : alerte précoce sous 24h, notification détaillée sous 72h, rapport final sous 1 mois. La notion d'impact significatif est volontairement large (perturbation du service, atteinte aux données, propagation à des tiers). En pratique, la difficulté n'est pas de savoir notifier — c'est de savoir qu'on a un incident, ce qui suppose une supervision en temps réel et un audit log infalsifiable.

Mesures techniques minimales (article 21)

L'article 21 de la directive liste 10 catégories de mesures à mettre en œuvre : politique d'analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau et SI, MFA et chiffrement, formation, et notamment — le plus dur — la sécurité de la chaîne d'approvisionnement (vendor risk management). Pour un éditeur SaaS qui consomme 30-50 sous-traitants techniques (CDN, observabilité, payment, email, IA), cela suppose un registre vivant et des audits de conformité fournisseurs.

Responsabilité personnelle des dirigeants

Nouveauté NIS2 : la directive engage personnellement les dirigeants. Le CEO et le CTO peuvent voir leur responsabilité civile engagée, voire être interdits d'exercer des fonctions managériales. C'est ce qui change le plus la posture board : NIS2 n'est plus un sujet RSSI, c'est un sujet board.

L'écart entre SOC 2 et NIS2

Les éditeurs SaaS qui ont passé SOC 2 Type II pensent souvent être conformes NIS2 par construction. C'est faux. SOC 2 est un cadre américain, audité par un cabinet privé, sur 5 trust principles (Security, Availability, Processing Integrity, Confidentiality, Privacy). NIS2 est une directive européenne, contrôlée par l'ANSSI, avec des obligations spécifiques (notification 24h/72h, registre fournisseurs, exercices de continuité). Les recouvrements existent (chiffrement, MFA, audit logs) mais ne représentent pas plus de 60-70 % du périmètre NIS2.

Le bon sequencing : SOC 2 Type II d'abord (parce que les clients enterprise l'exigent dans leurs DPA), NIS2 ensuite (parce que la directive l'impose) — mais sans confondre les deux, et en sachant que NIS2 demandera 3-6 mois de travail additionnel après SOC 2.

Les contrôles 2026 : ciblés, pas systématiques

L'ANSSI ne contrôlera pas tous les éditeurs SaaS. Sa stratégie 2026 est de cibler les acteurs qui : (1) ont eu un incident notifié, (2) sont mentionnés dans une plainte client ou concurrent, (3) sont identifiés via les registres publics (RCS) sur des seuils suspects. Le contrôle, quand il arrive, est documentaire d'abord (revue des politiques, des registres, des contrats fournisseurs), puis technique (audit de l'architecture, des logs, des procédures).

Pour un éditeur SaaS PME qui veut être prêt en 2026, le travail tient en quatre chantiers : (1) déclaration auprès de l'ANSSI, (2) registre des incidents et procédure de notification, (3) registre des fournisseurs avec audits annuels, (4) plan de continuité d'activité testé. Aucun de ces chantiers n'est insurmontable — mais aucun ne se fait en 2 semaines.