Directive NIS2 et secteur gestion des services TIC : guide des obligations 2026
Tout ce que les MSP et MSSP doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur gestion des services TIC dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
La gestion des services TIC est un secteur nouvellement introduit par NIS2 en Annexe I. Ce classement reconnait le rôle critique des prestataires de services manages (MSP - Managed Service Providers) et des prestataires de services de sécurité manages (MSSP - Managed Security Service Providers) dans l'ecosystème numerique europeen.
Le périmètre cible les MSP qui operent, maintiennent ou administrent les systèmes d'information de leurs clients, et les MSSP qui assurent la surveillance et la réponse aux incidents pour le compte de tiers. En France, cela concerne un ecosystème dynamique d'ESN et de pure players de la cybersécurité qui gerent les infrastructures IT de milliers d'organisations. Le marche français des services manages pese plus de 15 milliards d'euros.
Acteurs concernes en France
Les ESN françaises majeures (Capgemini, Atos, Sopra Steria, CGI), les MSSP specialises (Orange Cyberdéfense, Thales Cybersecurity, Advens, I-Tracing), les MSP regionaux et sectoriels, les opérateurs de SOC externalises, les hebergeurs infogeres, et les prestataires de support IT. L'ANSSI supervise ces acteurs en mode ex ante en raison de l'effet demultiplicateur d'une compromission sur l'ensemble de l'ecosystème.
Menaces cyber spécifiques au secteur gestion des services TIC
Les prestataires de services TIC sont des cibles strategiques car leur compromission offre un accès direct aux systèmes de tous leurs clients (attaque par la chaîne d'approvisionnement). L'attaque Kaseya VSA en 2021 a touche plus de 1 500 entreprises via un seul prestataire MSP. Les MSSP qui gerent les SOC de leurs clients detiennent des informations sensibles sur les architectures et les vulnérabilités. Un attaquant compromettant un MSSP obtient une cartographie détaillée des défenses de centaines d'organisations. Les outils de gestion a distance (RMM) utilises par les MSP constituent des vecteurs d'attaque privilegies.
Obligations NIS2 pour le secteur gestion des services TIC
Les entités sont soumises aux obligations générales de NIS2 :
- Gouvernance (article 20) : approbation des mesures par la direction, formation obligatoire, responsabilité personnelle des dirigeants.
- Gestion des risques (article 21) : 10 mesures incluant analyse des risques, gestion des incidents, continuite, sécurité de la chaîne d'approvisionnement. Voir obligations NIS2.
- Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
- Enregistrement sur MonEspaceNIS2.
Sanctions encourues
- Amendes : jusqu'a 10 millions EUR ou 2% du CA mondial.
- Injonctions de conformité avec délais contraints.
- Suspension temporaire de certification.
- Publication des decisions.
Detail sur notre page sanctions NIS2.
Contexte reglementaire spécifique
NIS2 impose aux prestataires de services TIC des obligations renforcees de gestion des risques, y compris vis-a-vis de leur propre chaîne d'approvisionnement. Le ReCyF de l'ANSSI est particulièrement exigeant pour ce secteur sur le pilier Défense (capacités de détection et de réponse) et le pilier Gouvernance (segregation des environnements clients). Le reglement DORA impose des exigences spécifiques aux prestataires TIC critiques du secteur financier. La qualification PASSI et PDIS de l'ANSSI constitue un avantage competitif pour les MSSP. La loi Résilience précisera les critères de taille pour la désignation des entités.
Étapes de mise en conformité
- Qualification : vérifier votre périmètre NIS2. Mise en conformité NIS2.
- Diagnostic : état des lieux vs ReCyF.
- Plan d'action : priorisation.
- Implementation : mesures techniques et organisationnelles.
- Pre-enregistrement MonEspaceNIS2.
- Amelioration continue.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre entité du secteur gestion des services TIC est concernee par NIS2.
Évaluer ma conformité NIS2