Accueil/Blog/Supply Chain NIS2
Supply Chain Avril 2026 · 7 min de lecture

Votre donneur d'ordre va
vous demander des comptes.

NIS2 Article 21 impose aux entreprises régulées de sécuriser leur chaîne d'approvisionnement. Ce que ça signifie concrètement pour les sous-traitants des grands groupes de Chartres Métropole.

L'article 21 §2d : la supply chain au cœur de NIS2

NIS2 innove par rapport à NIS1 sur un point crucial : elle étend les obligations à toute la chaîne d'approvisionnement. L'article 21 §2d impose aux entités régulées de "sécuriser la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs."

En pratique, cela signifie que Novo Nordisk, Guerlain, Dior ou Reckitt sont légalement responsables de la sécurité de leurs fournisseurs. S'ils ne gèrent pas ce risque, ils sont en faute vis-à-vis de l'ANSSI.

Comment les grands groupes vont l'appliquer

La réponse naturelle des grands groupes va être d'intégrer des clauses NIS2 dans leurs contrats fournisseurs. Plusieurs formats sont possibles :

  • Questionnaire de maturité cyber — Évaluation annuelle de votre niveau de sécurité
  • Attestation de conformité NIS2 — Document signé par un cabinet certifié
  • Audit sur site — Pour les fournisseurs les plus critiques
  • Clause de résiliation — Possibilité de rupture de contrat si non-conformité

Calendrier probable : Les premiers questionnaires fournisseurs arrivent dès mi-2026, avec les premières décisions de renouvellement ou résiliation de contrats liées à NIS2 dès 2027. Les entreprises qui auront un dossier de conformité en place seront en position de force.

Le cas concret de la Cosmetic Valley

Chartres Métropole concentre un des plus grands clusters cosmétiques et pharmaceutiques de France. Guerlain, Dior, Reckitt, Coty, Puig, Novo Nordisk — tous sont des entités directement régulées NIS2 (santé, produits chimiques, fabrication).

Autour d'eux, des centaines de PME sous-traitantes : conditionnement, logistique, maintenance, formulation, packaging, tests et analyses. Ces PME ne sont peut-être pas directement régulées NIS2 selon leur taille. Mais elles vont devoir répondre aux exigences de leurs clients.

La PME qui aura son dossier XG Secure en main quand Guerlain enverra son questionnaire fournisseur gagnera du temps, de la crédibilité, et potentiellement le renouvellement de contrat.

La PME qui ne fait rien

Elle reçoit en juin 2026 un questionnaire de son donneur d'ordre. Elle n'a aucun document. Elle répond à la va-vite. Son score est mauvais. Le donneur d'ordre note une maturité "insuffisante" et lors du prochain appel d'offres, elle perd le marché face à un concurrent qui avait anticipé.

Ce n'est pas un scénario hypothétique. C'est exactement ce qui s'est passé avec RGPD pour les prestataires des établissements de santé entre 2018 et 2020.

Ce qu'il faut préparer maintenant

Pour être prêt quand votre donneur d'ordre frappe à votre porte :

  • Un dossier de conformité NIS2 documenté et signé
  • Une politique de sécurité validée par la direction
  • Des preuves de formation du personnel (attestations)
  • Un inventaire de vos propres fournisseurs IT critiques
  • Une procédure de notification des incidents

L'Audit Premium XG Secure couvre exactement ces points — y compris l'évaluation de vos 5 fournisseurs clés et la rédaction du rapport supply chain.