SaaSFort
NIS2 RGPD conformité SaaS comparaison cybersécurité UE

NIS2 vs RGPD : ce que les éditeurs SaaS doivent savoir en 2026

La conformité RGPD ne couvre pas NIS2. Voici ce qui diffère — périmètre, exigences de sécurité, délais d'incident, et là où les preuves se chevauchent pour les éditeurs SaaS.

ST
SaaSFort Team
· 11 min di lettura

« Nous sommes conformes au RGPD — n’est-ce pas suffisant pour NIS2 ? »

C’est la question la plus fréquente des éditeurs SaaS quand NIS2 surgit dans une conversation de procurement. La réponse est non, et l’écart est plus important que la plupart des équipes de conformité ne l’anticipent.

Le RGPD et NIS2 partagent un vocabulaire — gestion des risques, notification d’incident, mesures techniques — mais ce sont des lois distinctes avec des régulateurs différents, des critères de périmètre différents et des exigences spécifiques différentes. Traiter NIS2 comme une extension du RGPD est le moyen le plus rapide d’échouer un audit.

Ce guide couvre exactement ce qui diffère, où les preuves se chevauchent, et ce qu’un éditeur SaaS conforme au RGPD doit généralement ajouter pour NIS2.

À qui s’applique chaque loi

La différence de périmètre est le premier point où les équipes font des erreurs. Le RGPD s’applique à toute organisation qui traite des données personnelles de résidents UE, quelle que soit sa taille ou son secteur. Une start-up de 5 personnes avec des clients UE est dans le périmètre RGPD.

NIS2 s’applique aux organisations dans 18 secteurs spécifiques — énergie, transport, santé, infrastructure numérique, services managés, marchés financiers, et autres — qui atteignent des seuils de taille : 50 salariés ou plus OU 10 M€ ou plus de chiffre d’affaires annuel. Une entreprise SaaS de 30 personnes est généralement hors périmètre NIS2. Une entreprise de 50 personnes fournissant des services IT managés à des hôpitaux allemands ne l’est pas.

CritèreRGPDNIS2
Qui est couvertToute organisation traitant des données personnelles UE18 secteurs, 50+ salariés ou 10 M€+ de chiffre d’affaires
Seuil de tailleAucun50+ salariés ou 10 M€+ de chiffre d’affaires
RégulateurAutorité de protection des données (CNIL en France, BfDI en Allemagne)CSIRT + autorité compétente (BSI en Allemagne, ANSSI en France)
Application commencéeMai 2018Décembre 2025 (Allemagne via NIS2UmsuCG)
Amende maximale4 % du chiffre d’affaires mondial ou 20 M€2 % du chiffre d’affaires mondial ou 10 M€ (entités essentielles)
Responsabilité personnellePas de responsabilité directe des dirigeants§38 BSIG : les organes de direction personnellement responsables

La ligne sur la responsabilité personnelle est importante. Les amendes RGPD s’appliquent à l’organisation. NIS2 — spécifiquement l’implémentation allemande du §38 BSIG — crée une responsabilité personnelle directe pour les dirigeants. Ils doivent approuver, superviser et surveiller les mesures de cybersécurité. Cette responsabilité ne peut pas être déléguée. Pour une analyse complète, consultez notre guide sur §38 BSIG et la responsabilité personnelle des PDG SaaS.

Exigences de sécurité : là où le RGPD est vague, NIS2 est précis

L’Article 32 du RGPD exige des « mesures techniques et organisationnelles appropriées » — délibérément vague et fondé sur les risques. Il n’existe pas de liste de contrôles imposée par le RGPD. Une entreprise peut satisfaire l’Article 32 de nombreuses façons, à condition que les mesures soient proportionnées au risque.

L’Article 21 de NIS2 adopte l’approche inverse : il spécifie 10 catégories de contrôles obligatoires que toutes les organisations concernées doivent mettre en œuvre. Les mesures ne sont pas optionnelles, et la proportionnalité s’applique uniquement à la profondeur de mise en œuvre, pas au fait que les contrôles existent.

Catégorie de contrôleRGPD Article 32NIS2 Article 21
Chiffrement en transitImplicite — « mesures appropriées »Explicite : Article 21(2)(d)
Contrôle d’accèsImpliciteExplicite : Article 21(2)(e)
Réponse aux incidentsImpliciteExplicite : Article 21(2)(b) — procédures détaillées requises
Continuité des activitésNon spécifiéExplicite : Article 21(2)(c) — sauvegarde + tests de reprise
Surveillance de la sécurité réseauNon requisExplicite : Article 21(2)(i) — surface d’attaque externe
Sécurité de la chaîne d’approvisionnementSous-traitants (Art. 28)Plus large : tout tiers pouvant perturber les services
Gestion des vulnérabilitésNon spécifiéExplicite : Article 21(2)(f) — processus de remédiation documenté
DNSSEC, headers de sécurité, DMARCNon mentionnéCouvert par les contrôles techniques de l’Article 21(2)(i)
Formation des dirigeants en cybersécuritéNon requis§38 BSIG : obligatoire, enregistrements requis

Les lignes en gras sont là où les entreprises conformes au RGPD ont le plus souvent des lacunes quand NIS2 arrive. La surveillance de la sécurité réseau, l’étendue de la chaîne d’approvisionnement, les programmes de gestion des vulnérabilités et la formation des dirigeants sont des exigences spécifiques à NIS2 sans équivalent RGPD.

Notification d’incident : deux horloges différentes

Les deux lois exigent une notification d’incident. Les délais, les seuils de déclenchement et les destinataires sont entièrement différents.

RGPD Article 33 :

  • Déclencheur : violation de données personnelles uniquement
  • Délai : 72 heures à l’autorité de protection des données
  • Destinataire : APD (BfDI en Allemagne, CNIL en France)
  • Rapport final : pas de délai fixe — coopérer avec l’APD

NIS2 Article 23 :

  • Déclencheur : tout « incident significatif » affectant la continuité du service — pas uniquement les violations de données
  • Délai : alerte précoce à 24h → notification d’incident à 72h → rapport final à 1 mois
  • Destinataire : CSIRT + autorité compétente (BSI en Allemagne, ANSSI en France)
  • Ce qui compte : ransomware perturbant les opérations, DDoS causant une indisponibilité, compromission de la chaîne d’approvisionnement, vol de credentials affectant la prestation de services

La différence critique : une attaque par ransomware qui chiffre vos serveurs mais n’expose pas de données personnelles requiert une notification NIS2 Article 23 dans les 24 heures. Elle ne requiert rien au titre du seul RGPD. Pour un point de départ remplissable qui se mappe au format BSI Meldeportal, consultez notre modèle de notification à 24 heures + exercice sur table.

Cela signifie également une double notification pour les incidents qui combinent interruption de service et exposition de données personnelles — vous signalez au BfDI / à la CNIL sous RGPD et au BSI / à l’ANSSI sous NIS2. Sur des délais différents.

Pour un guide étape par étape de la construction d’un workflow conforme à l’Article 23, consultez le guide de mise en place de la notification d’incidents NIS2 pour éditeurs SaaS.

Chaîne d’approvisionnement : plus large que les sous-traitants de données

L’Article 28 du RGPD couvre les sous-traitants — les fournisseurs qui traitent des données personnelles pour votre compte. Votre fournisseur de base de données cloud, votre service d’emailing, votre plateforme d’analytics. Ces relations exigent des accords de traitement des données (DPA).

L’Article 21(2)(d) et (h) de NIS2 étend la sécurité de la chaîne d’approvisionnement à tout tiers dont la compromission pourrait perturber vos services. Cela inclut :

  • Votre fournisseur CDN (peut affecter la disponibilité même sans données personnelles)
  • Votre fournisseur DNS (une compromission pourrait rediriger le trafic avant l’implication de toute donnée personnelle)
  • Votre chaîne d’outils CI/CD (une attaque de la chaîne d’approvisionnement pourrait introduire du code malveillant)
  • Votre registrar de domaine (le détournement de votre domaine perturbe entièrement les services)

Une évaluation des fournisseurs conforme au RGPD couvre les sous-traitants de données. Une évaluation de la chaîne d’approvisionnement conforme à NIS2 couvre l’ensemble des fournisseurs qui touchent à votre disponibilité, intégrité ou confidentialité — indépendamment des flux de données.

Ce que le RGPD manque : la posture de sécurité externe

L’Article 21(2)(i) de NIS2 exige que les organisations maintiennent « la sécurité des réseaux et des systèmes d’information ». Combiné à l’Article 21(2)(d) sur l’acquisition et la maintenance des systèmes, cela crée une obligation de surveiller activement la surface d’attaque externe — ce que les attaquants et les auditeurs voient depuis l’extérieur de votre périmètre.

Le RGPD n’a pas d’exigence équivalente. Une entreprise avec de solides contrôles internes et un traitement des données conforme peut quand même échouer à NIS2 parce que son domaine externe présente des headers HSTS manquants, une politique DMARC en p=none, ou DNSSEC non activé.

Ce sont les vérifications qui apparaissent dans notre benchmark de posture de sécurité des PME allemandes : 87 % des PME allemandes échouent à l’application DMARC, 79 % n’ont pas de Content-Security-Policy, 71 % n’ont pas activé DNSSEC. Aucun de ces points ne déclencherait un constat RGPD. Tous apparaissent dans un audit technique NIS2 Article 21.

Vérifiez votre posture de sécurité externe face aux exigences NIS2 — 60 secondes, gratuit, sans compte : saasfort.com/scan. Les nouveaux comptes reçoivent automatiquement un essai Growth de 14 jours (50 scans/mois, multi-domaine, export NIS2) — sans carte de crédit.

Où les preuves se chevauchent (gains d’efficacité)

Tout n’est pas à reconstruire. Plusieurs investissements RGPD soutiennent directement la conformité NIS2 avec des ajouts mineurs.

PreuveCouverture RGPDCouverture NIS2Statut
Documentation du chiffrement en transitArticle 32Article 21(2)(d)Réutiliser
Politique de contrôle d’accès + logs d’auditArticle 32Article 21(2)(e)Réutiliser
Procédure de réponse aux incidentsArticles 33/34Article 23 — étendre aux incidents de serviceÉtendre
Revues de sécurité fournisseurs/sous-traitantsArticle 28Article 21(2)(d) — ajouter les fournisseurs non-donnéesÉtendre
Documentation d’évaluation des risquesArticle 32Article 21 — adapter au périmètre NIS2Adapter
Scan de sécurité externe (ex. SaaSFort)Non requisArticle 21(2)(i)Nouveau
Enregistrements de formation cybersécurité des dirigeantsNon requis§38 BSIGNouveau
Enregistrements de tests de continuité des activitésNon requisArticle 21(2)(c)Nouveau
DNSSEC + DMARC + headers de sécuritéNon requisArticle 21(2)(i)Nouveau

Les éléments « Réutiliser/Étendre » sont des travaux que vous avez largement réalisés. Les éléments « Nouveau » sont l’écart réel pour les entreprises conformes au RGPD qui passent à NIS2.

La checklist des lacunes NIS2 pour les entreprises conformes au RGPD

Si votre organisation passe déjà les audits RGPD, voici les éléments les plus souvent manquants pour NIS2 :

  • Scan de posture de sécurité externe documenté (Article 21(2)(i)) — lancez un scan gratuit (essai Growth 14 jours à l’inscription, sans carte de crédit)
  • DNSSEC activé sur le domaine principal
  • Politique DMARC définie sur quarantine ou reject (pas p=none) — consultez notre guide de configuration DMARC/SPF/DKIM
  • Headers de sécurité HTTP déployés (CSP, HSTS, X-Frame-Options, Referrer-Policy) — guide complet sur les headers de sécurité HTTP
  • Évaluation de la chaîne d’approvisionnement élargie au-delà des sous-traitants de données aux fournisseurs critiques pour la disponibilité
  • Workflow de notification d’incident NIS2 Article 23 établi (délais 24h/72h/1 mois)
  • Enregistrement BSI complété (Allemagne — portail MELDUNG)
  • Formation cybersécurité des dirigeants documentée (§38 BSIG — participants, contenu, durée)
  • Plan de continuité des activités avec objectifs de temps de reprise testés
  • Programme de gestion des vulnérabilités avec délais de remédiation documentés

La checklist de conformité NIS2 pour PME allemandes mappe chaque élément au contrôle spécifique de l’Article 21, avec les étapes de mise en œuvre. Le guide des exigences techniques de sécurité NIS2 couvre le détail d’implémentation pour les CTO. Pour la comparaison de cadres avec les standards US, consultez notre guide SOC 2 vs NIS2.

Pour le package complet de preuves de conformité — scan externe + export PDF NIS2 + piste d’audit — commencez sur saasfort.com/scan. Les nouveaux comptes reçoivent un essai Growth de 14 jours (50 scans/mois, multi-domaine, export NIS2 complet) — sans carte de crédit. Le rapport de conformité NIS2 mappe chaque constat aux contrôles de l’Article 21 et génère un PDF téléchargeable pour les auditeurs.

Foire aux questions

Q : Dois-je signaler la même violation au BSI (NIS2) et à la CNIL/BfDI (RGPD) ?

Oui, si l’incident implique à la fois une interruption de service et une exposition de données personnelles. Signalez au BSI/CSIRT sous NIS2 dans les 24 heures (alerte précoce) et à la CNIL/BfDI sous RGPD dans les 72 heures. Ce sont des obligations parallèles avec des délais différents et des destinataires différents.

Q : Mon accord de traitement des données RGPD couvre-t-il les exigences de la chaîne d’approvisionnement NIS2 ?

Partiellement. Les DPA de l’Article 28 RGPD couvrent les obligations de traitement des données. L’Article 21(2)(d) de NIS2 exige des évaluations de sécurité plus larges pour les fournisseurs pouvant affecter la disponibilité ou l’intégrité du service — y compris les fournisseurs CDN, DNS et CI/CD qui ne détiennent aucune donnée personnelle. Vous devez étendre votre processus d’évaluation des fournisseurs au-delà du périmètre DPA.

Q : Si je ne suis pas dans le périmètre NIS2 (moins de 50 salariés), dois-je quand même m’en préoccuper ?

Indirectement, oui. Vos clients enterprise qui sont dans le périmètre NIS2 cascaderont les exigences de preuves de sécurité à leurs fournisseurs. Même les éditeurs SaaS hors périmètre reçoivent régulièrement des questionnaires de sécurité d’acheteurs affectés par NIS2. Une posture de sécurité externe solide protège les deals indépendamment du périmètre réglementaire direct.

Q : Puis-je utiliser mon évaluation des risques RGPD pour la conformité NIS2 ?

Vous pouvez l’utiliser comme point de départ. Les évaluations des risques RGPD se concentrent sur les risques de protection des données. Les évaluations des risques NIS2 couvrent un ensemble plus large de menaces pour la disponibilité, l’intégrité et la confidentialité des services — incluant des scénarios de perturbation opérationnelle sans dimension de protection des données. Adaptez et étendez votre documentation existante plutôt que de repartir de zéro.

Q : Que se passe-t-il sous NIS2 si j’ai une violation de données conforme au RGPD mais que je n’ai pas notifié le BSI ?

Vous faites face à une application distincte sous NIS2. La conformité RGPD ne constitue pas une défense aux obligations NIS2. Si la violation constituait un « incident significatif » au titre de l’Article 23 NIS2 (interruption de service, impact financier ou effet transfrontalier), le défaut de notification au BSI dans les 24 heures est une violation indépendante — potentiellement sanctionnée jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial.

Couvrez les deux régimes en un seul workflow. Lancez un scan gratuit — 60 vérifications mappées aux preuves NIS2 Article 21 + RGPD Article 32. Téléchargez notre SaaS Security Playbook 2026 gratuit pour le cadre de conformité complet.

Condividi questo articolo
LinkedIn Post

Dalla lettura all'azione

Scansionate il vostro dominio gratuitamente. Primi risultati in meno di 10 secondi — senza registrazione.

Scansione gratuita

Continua a leggere

RGPDNIS2

RGPD + NIS2 pour le B2B SaaS : recoupements, divergences et plan d'action

Le RGPD protège les données personnelles. NIS2 protège la continuité des services. Le recoupement est réel, mais les traiter comme équivalents est l'une des erreurs de conformité les plus fréquentes en B2B SaaS en 2026.

Leggi articolo
NIS2SaaS

NIS2 pour éditeurs SaaS et cloud : guide de conformité 2026

Les éditeurs SaaS et cloud sont classés comme entités importantes sous NIS2. Ce que vous devez faire avant octobre 2026 — périmètre, exigences, preuves.

Leggi articolo
NIS2responsabilité dirigeant

Responsabilité personnelle des dirigeants NIS2 pour les CEO de SaaS

NIS2 rend les dirigeants personnellement responsables de la cybersécurité. Pas de renonciation possible. Amendes jusqu'à 10 M€. Ce que les CEO de SaaS doivent faire.

Leggi articolo
Torna a tutti gli articoli