SaaSFort NIS2 n’a pas laissé de doute sur le statut des MSP. L’Annexe II nomme explicitement les « fournisseurs de services managés » et les « fournisseurs de services de sécurité managés » comme entités importantes. Si votre MSP sert des clients dans l’UE — ce qui est généralement le cas —, vous êtes directement réglementé, quel que soit le secteur de vos clients.
C’est la partie simple. La partie difficile : chaque domaine client que vous gérez fait maintenant partie de votre base de preuves NIS2. Votre posture de sécurité ne couvre pas seulement votre propre infrastructure — elle couvre la posture agrégée de dizaines ou de centaines d’environnements clients dont vous êtes contractuellement responsable.
Octobre 2026 est la date limite de pleine application. Voici ce que les MSP doivent spécifiquement faire.
Comment NIS2 classe les MSP
NIS2 Annexe II Section 6 inclut :
- Managed Service Providers (MSP) — entités fournissant des services liés aux systèmes TIC, à l’infrastructure ou aux applications
- Managed Security Service Providers (MSSP) — entités fournissant des opérations de sécurité managées (SOC, MDR, monitoring de sécurité)
Les deux sont classifiés comme entités importantes avec les seuils et expositions suivants :
| Critère | Seuil | Amende maximale |
|---|---|---|
| Taille | 50+ salariés ou 10 M€+ de CA | 7 M€ ou 1,4 % du CA mondial |
| Sous le seuil mais TIC pour entité essentielle | À la discrétion de l’État membre | Variable |
| MSSP pour entités financières | Souvent aussi dans le périmètre DORA | Amendes DORA en plus |
Concrètement : la plupart des MSP servant des PME et mid-market EU sont dans le périmètre. Les MSP sous les seuils qui servent des clients NIS2 font face aux obligations en cascade de l’Article 21(2)(d) — la même cascade chaîne d’approvisionnement que les fournisseurs SaaS B2B, mais avec des engagements contractuels plus profonds parce que les MSP ont généralement un accès privilégié aux systèmes clients.
Le défi spécifique des MSP : la multi-location
Les guides de conformité NIS2 génériques supposent une organisation scannant un ensemble d’actifs. Les MSP gèrent des dizaines à des milliers de domaines clients, chacun avec sa propre posture de sécurité, sa propre exposition réglementaire et sa propre piste d’audit.
L’Article 21(2)(d) de NIS2 — sécurité de la chaîne d’approvisionnement — s’applique dans les deux sens pour les MSP :
- En amont : vos fournisseurs d’outils, hébergeurs cloud et chaîne d’approvisionnement logicielle (Article 21(2)(d) de votre conformité)
- En aval : chaque environnement client que vous gérez (votre obligation contractuelle en tant que prestataire)
Un MSP de 50 personnes gérant 100 environnements clients a une surface de chaîne d’approvisionnement 100 fois plus grande qu’une entreprise SaaS mono-tenant. Les audits NIS2 vont échantillonner votre portefeuille clients — ils n’accepteront pas « nous sommes conformes en moyenne ».
Top 5 des risques NIS2 spécifiques aux MSP
1. Frontières de privilèges inter-tenant
Les techniciens MSP ont souvent un accès admin sur plusieurs clients. Un identifiant technicien compromis se propage à travers tous les environnements managés. L’Article 21(2)(i,j) de NIS2 sur le contrôle d’accès et la MFA s’applique à votre gestion des accès privilégiés (PAM), pas seulement aux connexions côté client. Consultez notre guide d’évaluation Zero Trust pour le cadre de référence.
2. Posture de sécurité incohérente dans le portefeuille clients
Les clients souscrivent à différents niveaux de service. Certains bénéficient d’un monitoring continu, d’autres d’une base minimale. Les superviseurs NIS2 ne feront pas de différence — si votre contrat stipule que vous fournissez une supervision de sécurité, vos preuves NIS2 couvrent ce client. Le monitoring multi-domaines devient obligatoire, pas optionnel.
Le dashboard multi-domaines de SaaSFort permet aux MSP de scanner et noter chaque environnement client depuis une console unique. Le Deal Report de chaque client est généré automatiquement.
3. Variance de gestion des correctifs
Vos environnements clients tournent sur des stacks logicielles différentes, avec des rythmes de correctifs différents et des SLA de remédiation différents. L’Article 21(2)(e) de NIS2 sur la gestion des vulnérabilités attend des processus cohérents. Documentez une politique de remédiation par paliers et appliquez-la via les outils.
4. Signalement d’incidents vers plusieurs CSIRTs
Si vous servez des clients dans 5 États membres de l’UE, un incident affectant plusieurs clients nécessite un signalement à plusieurs CSIRTs dans la fenêtre de 24 heures. Documentez ce chemin de notification multi-juridictionnel avant qu’un incident ne survienne. Notre guide de préparation aux audits NIS2 couvre les preuves de réponse aux incidents, et notre modèle de notification BSI 24h + exercice tabletop vous donne un point de départ pré-rempli mappé au Meldeportal allemand — clonez-le par juridiction pour les autres.
5. Prolifération de sous-domaines dans les environnements managés
Les MSP héritent souvent d’enregistrements DNS, de sous-domaines de staging et d’infrastructures abandonnées lors de la reprise d’un client. Chaque sous-domaine non géré est un vecteur potentiel de takeover. Le premier scan SaaSFort sur un nouveau client révèle typiquement 3 à 7 sous-domaines vulnérables au takeover.
La pile de preuves NIS2 pour MSP
Ce que les auditeurs attendent de voir pour la conformité MSP :
| Type de preuve | Article 21(2) NIS2 | Source pratique |
|---|---|---|
| Posture externe par client | (a) Analyse des risques | Notes de scan multi-domaines SaaSFort |
| Processus de gestion des vulnérabilités | (e) Traitement des vulnérabilités | SLA de correctifs documentés + historique de scans |
| Baseline cryptographique | (h) Cryptographie | Audit de configuration TLS par client |
| Gouvernance des accès privilégiés | (i,j) Contrôle d’accès + MFA | Solution PAM + logs de revue d’accès |
| Procédure de réponse aux incidents | (b) Gestion des incidents | Runbook d’escalade multi-CSIRT |
| Sécurité de la chaîne d’approvisionnement | (d) Chaîne d’approvisionnement | Inventaire fournisseurs + liste sous-traitants |
L’export PDF de conformité NIS2 génère un document par domaine scanné. Pour un MSP de 100 clients, cela représente 100 PDF prêts pour l’audit sans travail de mapping manuel.
Comment NIS2 devient un levier commercial pour les MSP
La plupart des PME qui font appel à un MSP ne savent pas ce que NIS2 exige. Les MSP capables de l’expliquer — et de prouver leurs capacités — gagnent plus de deals à des prix plus élevés.
Trois mouvements de positionnement :
- Avancez avec la préparation NIS2 dans votre pitch. « Nous aidons nos clients à passer les audits NIS2 » est plus percutant que « nous surveillons vos serveurs ».
- Intégrez les scans SaaSFort dans vos paliers de service. Le monitoring de posture externe à 9–29 €/client/mois est une marge invisible comparée à votre taux horaire facturable. Comparez avec Detectify à 90 €/mois ou Intruder à 149 $/mois — la différence de coût finance votre marge de service.
- Utilisez les Deal Reports comme déclencheurs d’upsell. Un client avec une posture de sécurité Grade D est un candidat pour votre palier premium de remédiation.
FAQ
NIS2 s’applique-t-il aux MSP servant des clients hors UE ?
NIS2 s’applique aux entités opérant dans l’UE. Si votre MSP est basé dans l’UE ou sert des clients dans l’UE, vous êtes dans le périmètre. Les MSP hors UE servant des clients européens sont généralement tenus contractuellement de fournir des preuves équivalentes NIS2 indépendamment de leur périmètre réglementaire direct.
Quelle est la différence entre MSP et MSSP sous NIS2 ?
Les deux sont listés à l’Annexe II. Les MSSP (Managed Security Service Providers) font typiquement l’objet d’une surveillance plus stricte car leur service est la sécurité elle-même — les défaillances ont un impact plus élevé. Certains États membres imposent des sous-seuils plus stricts pour les MSSP.
Un seul compte SaaSFort peut-il scanner plusieurs domaines clients ?
Oui. Le plan Scale (29 €/mois) inclut le monitoring multi-domaines avec un dashboard unifié. Chaque client obtient sa propre note et ses propres rapports tandis que le MSP conserve la supervision administrative sur l’ensemble du portefeuille.
Comment NIS2 interagit-il avec DORA pour les MSP servant des clients financiers ?
Si vous servez des entités financières (banques, assurances, prestataires de paiement), DORA vous classifie comme fournisseur de services TIC tiers avec des obligations contractuelles et de tests de résilience supplémentaires. Consultez notre guide NIS2 fintech pour la pile DORA + NIS2.
Les MSP ont-ils besoin d’une documentation NIS2 séparée par client ?
Oui — au minimum, des preuves reliant votre posture de sécurité et votre réponse aux incidents à l’environnement de chaque client. Le Deal Report et l’export PDF NIS2 génèrent cela automatiquement par domaine scanné, éliminant le mapping manuel qui freine la plupart des audits MSP.
Visualisez la posture de sécurité de votre portefeuille clients. Lancez un scan gratuit — 66 vérifications par domaine, note A–F, mapping NIS2 en moins de 60 secondes. Pour les besoins multi-domaines des MSP, le plan Scale couvre tous vos domaines clients. Téléchargez le SaaS Security Playbook 2026 pour le cadre complet.
Passez de la lecture à l'action
Scannez votre domaine gratuitement. Premiers résultats en moins de 10 secondes — sans inscription.