Editeurs SaaS et cybersécurité : êtes‑vous NIS2 CRA DORA proofed ?

2026 est une année de convergence pour la mise en conformité des éditeurs SaaS au regard de leur gestion des risques cyber NIS2, CRA, DORA, voilà ce qu'il faut a minima savoir.

• La directive européenne NIS2 (2022/2555) a pour objectif est d'« assurer un niveau élevé commun de cyber sécurité dans l'ensemble de l'UE ». Elle n'est pas encore transposée en France mais cela ne saurait tarder, sur la base du « Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » (NOR : PRMD2412608L/Bleue‑1), quelque peu oublié depuis mars 2025 suite aux tribulations ministérielles que l'on connaît.

La question qui revient fréquemment ces jours‑ci parmi les éditeurs SaaS est : suis‑je concerné ?

A la lecture de la directive, la réponse est tout sauf évidente. Le texte, truffé de renvois, est d'une approche rebutante et fait échec à toute tentative raisonnable d'en extraire un arbre de décision. Du moins qui ressemble à un chêne plutôt qu'à un saule pleureur.

Heureusement, le projet de loi en éclaire quelque peu la compréhension et permet de résumer les choses ainsi: sont soumises à NIS2 les entreprises qui opèrent dans des « secteurs hautement critiques » ou d'« autres secteurs critiques », sous réserve de critères liés à leur effectif et leur chiffre d'affaires (cas général) ou à leur qualité (par exemple les prestataires de service de confiance, ou les fournisseurs de noms de domaine).

Les listes des secteurs hautement critiques, et autrement critiques, figurent en annexe 1 et 2 de la directive NIS2.

Parmi les secteurs hautement critiques figure la fourniture de « services d'informatique en nuage », qu'il faut entendre sous toutes ses formes possibles si l'on en croit le considérant 33 de la directive NIS : « Les modèles de services liés à l'informatique en nuage comprennent, entre autres, les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS) ».

Donc, si vous êtes un fournisseur de services en mode SaaS vous êtes potentiellement concerné dès lors que vous pouvez être considéré comme une « entité essentielle » ou une « entité importante », à savoir, dans le cas général :

Entité essentielle (art 8 projet de loi) = secteur hautement critique (annexe I directive) ET (au moins 250 personnes OU CA supérieur à 50 M€ et bilan annuel supérieur à 43 M€)

Entité importante (art 9 projet de loi) : secteur hautement critique ou critique (annexes I et II directive) ET (au moins 50 personnes OU CA et bilan annuel supérieur à 10 M€)

Cela implique qu'un très grand nombre de PME qui fournissent des services en mode SaaS, quelle que soit la nature de ces services, sont concernées par NIS2, ce qu'elles n'avaient peut‑être pas vu venir. Mais qu'elles doivent maintenant considérer sérieusement puisque la mise en conformité à NIS2, sous réserve des textes français à venir, doit s'opérer courant 2026.

• Les éditeurs SaaS  sont peut‑être aussi concernées par CRA, le Règlement 2024/2847 du 23 octobre 2024 « concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques ».

Le point de savoir si les éditeurs SaaS sont – ou non – concernés par CRA fait l'objet du considérant 33 dudit règlement : « Les solutions en nuage ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à la définition énoncée dans ce dernier. Par exemple, les fonctionnalités en nuage fournies par un fabricant d'appareils domestiques intelligents qui permettent aux utilisateurs de contrôler l'appareil à distance relèvent du champ d'application du présent règlement. À l'inverse, les sites internet qui ne supportent pas la fonctionnalité d'un produit comportant des éléments numériques ou les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant d'un produit comportant des éléments numériques ne relèvent pas du champ d'application du présent règlement ».

Traduit en français ( !), il semblerait que cela signifie que dès lors que le service est 100% en ligne, sans aucun composant installé chez le client, alors il n'est pas soumis à CRA. Il l'est en revanche dès lors qu'un autre composant accessible à distance intervient dans le service. A titre personnel, cela nous semble fort obscur, mais nous recommandons la lecture d'un blog fort instructif sur le sujet EU Cyber Resilience Act (CRA) : ce que vous devez savoir

CRA entre en vigueur entre septembre 2026 (obligations de notification) et décembre 2027.

• Enfin, dès lors que notre éditeur SaaS fournit ses services à une entreprise du secteur financier, il rentre dans le champ d'application de DORA, le Règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier.

Il doit en conséquence conclure avec son client un contrat comportant des mentions minimales relatives à ses services (listés à l'Art 30.2 du règlement), et des obligations complémentaires si le service soutient une fonction critique ou importante.

La définition d'une « fonction critique ou importante » est portée à l'Art. 3.22 du Règlement DORA : « une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d'une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l'exécution de cette fonction est susceptible de nuire sérieusement à la capacité d'une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; »

Si le service est dans la catégorie « critique ou important », alors il faut se reporter au règlement délégué DORA 2025/532 du 24 mars 2025, qui apporte des précisions sur les exigences applicables à la sous‑traitance des services TIC soutenant les fonctions critiques ou importantes, ou des parties significatives de celles‑ci.

Le Règlement DORA est applicable depuis le 17 janvier 2025