NIS2 pour les hebergeurs et fournisseurs cloud
Les infrastructures numeriques et les services TIC sont classes hautement critiques par NIS2. Hebergeurs, fournisseurs cloud, MSP, MSSP : vous etes en première ligne.
Qui est concerne ?
- Fournisseurs de services cloud (IaaS, PaaS, SaaS) : Annexe I, entités essentielles
- Centres de donnees : Annexe I
- Fournisseurs de services geres (MSP) : Annexe I, secteur "gestion services TIC"
- Fournisseurs de services de sécurité geres (MSSP) : idem
- CDN, DNS, registres TLD : Annexe I, concernes quelle que soit la taille
Double pression : NIS2 + clients
Les hebergeurs sont soumis a NIS2 directement ET subissent la pression de leurs clients NIS2 via l'article 21.2.d (supply chain). Vos clients vous demanderont :
- Attestation de conformité NIS2 / certification ISO 27001 / SecNumCloud
- Droit d'audit et SLA de notification d'incidents
- Localisation des donnees (souverainete)
- PCA/PRA du fournisseur
Mesures prioritaires
- Certification ISO 27001 et/ou SecNumCloud pour les hebergeurs français
- SOC 24/7 avec capacité de détection et réponse
- Procédure de notification vers l'ANSSI ET vers les clients
- Cloisonnement multi-tenant renforce
- Transparence : publication d'indicateurs de sécurité, rapports d'incidents
Voir les obligations de l'article 21, les sanctions et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, Annexe I
- ANSSI, SecNumCloud, cyber.gouv.fr