top of page

EU Cloud Sovereignty Act : ce qui arrive après NIS2 pour votre stratégie cloud

  • Cedric KTORZA
  • 29 déc. 2025
  • 10 min de lecture

Dernière mise à jour : 5 janv.

Vignette photo-réaliste d’un data center européen ultra-moderne avec spécialiste cybersécurité face à une interface holographique nuage-cadenas-étoiles UE, illustrant le EU Cloud Sovereignty Act ce qui arrive après NIS2.

Comprendre l’« EU Cloud Sovereignty Act » après NIS2

Le cloud européen entre dans une nouvelle ère de souveraineté.

Si vous recherchez des informations sur l’EU Cloud Sovereignty Act et ce qui arrive après NIS2, vous avez sans doute constaté qu’aucun texte officiel ne porte exactement ce nom. À ce jour, il n’existe pas de règlement formel baptisé ainsi au Journal officiel de l’UE. L’expression est utilisée par les médias et les acteurs du marché pour désigner un ensemble de mesures convergentes :

  • la directive NIS2, devenue applicable à partir d’octobre 2024 ;

  • les futurs schémas européens de certification cybersécurité, en particulier le schéma cloud (EUCS) ;

  • et, plus récemment, le Cloud Sovereignty Framework lancé par la Commission via un appel d’offres de 180 M€ pour des services cloud souverains (2025).

Autrement dit, « EU Cloud Sovereignty Act » désigne surtout la prochaine couche de règles et de labels qui vont encadrer le choix des fournisseurs cloud en Europe après NIS2, avec un objectif clair : renforcer la sécurité et la souveraineté des données, sans casser la dynamique d’innovation.

Dans cet article, nous décryptons ce qui change concrètement pour les DSI, RSSI et directions métiers, et comment, chez Score Group, nous vous aidons à anticiper ces évolutions.

Rappel : ce que NIS2 a déjà changé pour les services cloud

Une directive devenue le socle européen de la cybersécurité

Adoptée en 2022, la directive (UE) 2022/2555, dite NIS2, fixe un niveau élevé et commun de cybersécurité dans l’UE. Les États membres devaient la transposer dans leur droit national au plus tard le 17 octobre 2024, pour une application à partir du 18 octobre 2024. Même si tous les pays n’ont pas tenu les délais, le cadre juridique est désormais en place et la pression réglementaire est bien réelle.

NIS2 renforce fortement les exigences en matière :

  • de gouvernance de la cybersécurité (implication des dirigeants, responsabilités formalisées) ;

  • de gestion des risques (politiques, procédures, contrôles techniques) ;

  • d’incidentologie (détection, gestion et notification des incidents majeurs dans des délais stricts) ;

  • et de continuité d’activité (plans de réponse, PRA/PCA, résilience opérationnelle).

Les fournisseurs cloud deviennent des acteurs critiques

Pour la première fois, NIS2 classe explicitement les fournisseurs de services cloud et les opérateurs de datacenters parmi les entités « essentielles » ou « importantes », au même titre que l’énergie, les transports ou la santé. Cela signifie :

  • des contrôles accrus par les autorités nationales ;

  • des amendes potentiellement élevées en cas de non-conformité ;

  • et une requalification des risques de sous-traitance pour les clients qui s’appuient sur ces services.

Dans la pratique, les entreprises utilisatrices de cloud doivent désormais pouvoir démontrer qu’elles pilotent réellement la sécurité de leur supply-chain numérique : clauses contractuelles, suivi des certifications, supervision, plans de sortie, etc.

NIS2 ouvre la voie aux schémas de certification européens

Un point clé pour comprendre ce qui vient « après NIS2 » : la directive permet à la Commission européenne et aux États membres d’exiger l’usage de services certifiés sous des schémas européens officiels, notamment pour les services cloud (EUCS). Cela transforme des labels a priori volontaires en critères de fait obligatoires dans certains secteurs ou appels d’offres.

Vers un « EU Cloud Sovereignty Act » : les briques qui s’ajoutent après NIS2

Le schéma de certification cloud EUCS

Dans le cadre du Cybersecurity Act, l’ENISA (Agence européenne pour la cybersécurité) prépare le schéma EUCS (European Cybersecurity Certification Scheme for Cloud Services). Ce schéma vise à :

  • définir un référentiel commun de sécurité pour les services cloud ;

  • proposer plusieurs niveaux d’assurance (Basic, Substantial, High, voire High+) ;

  • et offrir une certification valable dans tous les États membres, en remplacement des labels nationaux.

Initialement, certaines versions du projet prévoyaient des conditions très strictes en matière de souveraineté (localisation des données, immunité vis-à-vis de lois extra‑UE), ce qui aurait exclu de facto la plupart des grands fournisseurs non européens. Sous la pression de nombreux acteurs économiques, ces exigences les plus politiques ont été assouplies dans les versions récentes, pour revenir à un focus plus technique, centré sur la sécurité.

Ce qui ne change pas, en revanche, c’est que :

  • les organisations soumises à NIS2 pourront se voir imposer des services cloud certifiés EUCS ;

  • les appels d’offres publics auront tendance à réserver certains usages aux services certifiés aux plus hauts niveaux d’assurance.

Le Cloud Sovereignty Framework de la Commission européenne

En octobre 2025, la Commission a franchi une nouvelle étape en lançant un appel d’offres d’environ 180 M€ pour des services de cloud souverain destinés aux institutions européennes, adossé à un Cloud Sovereignty Framework. Ce cadre :

  • définit huit grands objectifs couvrant les dimensions stratégique, juridique, opérationnelle, environnementale et de chaîne d’approvisionnement ;

  • fixe des niveaux minimaux d’assurance sur chaque objectif ;

  • et sert de référence pratique pour évaluer le degré de souveraineté d’un fournisseur cloud.

Ce n’est pas un « Act » au sens juridique du terme, mais c’est un signal politique fort : la souveraineté du cloud devient un critère explicite dans les achats publics européens, avec des exigences évaluables et comparables.

Souveraineté, CLOUD Act et protection des données

Au-delà des textes européens, le débat sur la souveraineté du cloud est alimenté par des lois extraterritoriales comme le US CLOUD Act, qui peut permettre aux autorités américaines de demander des données gérées par un fournisseur soumis au droit américain, même si ces données sont stockées dans l’UE. Cela crée une tension avec :

  • le RGPD et ses exigences de transparence et de proportionnalité ;

  • l’arrêt Schrems II, qui a invalidé l’ancien Privacy Shield ;

  • et les attentes croissantes des régulateurs sectoriels européens.

C’est dans ce contexte que se multiplient les offres de cloud souverain européen (y compris de la part de grands acteurs non européens via des entités légales et opérationnelles dédiées), et que les futures certifications EUCS et cadres comme le Cloud Sovereignty Framework prennent tout leur sens.

Ce que cela change concrètement pour votre stratégie cloud

Tableau de synthèse : NIS2, EUCS et Cloud Sovereignty Framework

Élément

Nature juridique

Portée principale

Impact pour les entreprises utilisatrices

NIS2

Directive à transposer

Cyber-risque, gouvernance, incidents, continuité

Obligations directes pour les entités « essentielles » ou « importantes » et pression accrue sur la supply-chain IT/cloud

EUCS (schéma cloud)

Schéma de certification (volontaire, mais pouvant devenir exigé)

Exigences techniques de sécurité pour les services cloud

Critère clé dans les appels d’offres, possibilité de restriction à des services certifiés à terme

Cloud Sovereignty Framework

Cadre d’évaluation pour les achats publics

Souveraineté juridique, opérationnelle et environnementale

Référence de facto pour évaluer la souveraineté d’un fournisseur et structurer vos propres critères de sélection

1. Repenser la cartographie et la gouvernance de vos usages cloud

La première conséquence de l’après‑NIS2 est la nécessité d’une cartographie exhaustive de vos services cloud : IaaS, PaaS, SaaS, hébergement applicatif, datacenters externes, etc. Sans cette vision, impossible d’évaluer :

  • quels services sont critiques au sens de NIS2 ;

  • quels fournisseurs sont concernés par les futures exigences EUCS ;

  • où sont stockées et traitées vos données, et sous quelles juridictions.

Cette cartographie doit être reliée à une gouvernance claire (rôles, responsabilités, comités) et à un registre de conformité qui suit pour chaque fournisseur son niveau de certification, ses engagements contractuels et les risques résiduels.

2. Intégrer la souveraineté dans vos critères de choix fournisseurs

Jusqu’ici, beaucoup de décisions cloud ont été guidées par le triptyque coût – performance – fonctionnalité. À très court terme, vous devrez ajouter explicitement :

  • le niveau de certification (EUCS, autres schémas, certifications nationales ou internationales pertinentes) ;

  • le modèle de souveraineté (joint-venture locale, cloud opéré exclusivement par des entités européennes, clauses contractuelles renforcées, etc.) ;

  • et la capacité du fournisseur à justifier ces engagements (rapports, audits, registres publics).

Cela ne signifie pas qu’il faille abandonner tous les grands fournisseurs non européens, mais qu’il faudra documenter finement vos choix, vos mesures de mitigation et vos plans de secours.

3. Architectures hybrides et multi‑cloud plus réfléchies

L’une des réponses les plus pragmatiques aux nouvelles exigences est de concevoir des architectures hybrides ou multi‑cloud qui dissocient :

  • les charges de travail et données les plus sensibles, hébergées sur des solutions souveraines ou certifiées à un haut niveau ;

  • et les usages moins critiques, pouvant rester sur des environnements plus ouverts et globaux.

Cette approche permet de concilier innovation, coûts maîtrisés et conformité, à condition de bien maîtriser la connectivité, l’identité, les flux de données et les plans de reprise.

4. Contrats, SLA et PRA/PCA à la lumière de NIS2 et des futurs labels

NIS2 comme les futurs schémas de certification insistent sur la continuité d’activité et la capacité à gérer des incidents majeurs. Cela implique de revoir :

  • vos clauses contractuelles (droits d’audit, obligations de notification, coopération en cas d’incident) ;

  • vos SLA (disponibilité, délais de rétablissement, pénalités) ;

  • et surtout vos PRA/PCA pour intégrer l’hypothèse de défaillance d’un fournisseur cloud, technique ou juridique (sanctions, conflits de lois, retrait d’un label, etc.).

La capacité à basculer vers un autre environnement (autre région, autre fournisseur, on‑premise temporaire) deviendra un critère clé lors des audits et des contrôles.

Comment Score Group vous aide à préparer l’après‑NIS2

Chez Score Group, nous agissons comme intégrateur global, à la croisée de l’énergie, du digital et des nouvelles technologies. Notre division Noor ITS accompagne les organisations dans la structuration d’infrastructures et de services IT résilients, sécurisés et compatibles avec les nouvelles exigences européennes.

Infrastructures et hébergement cloud maîtrisés

Pour concevoir des architectures hybrides ou multi‑cloud alignées avec vos contraintes de souveraineté, notre division Noor ITS s’appuie sur ses expertises :

  • Datacenters : conception et optimisation de vos infrastructures d’hébergement, y compris scénarios de relocalisation de charges de travail critiques.

  • Cloud & Hosting : mise en œuvre de solutions privées, publiques ou hybrides, avec une attention particulière portée à la localisation des données, à la segmentation et aux trajectoires possibles vers des clouds souverains.

L’objectif : bâtir une architecture qui reste évolutive face aux futurs labels (EUCS, Cloud Sovereignty Framework…) sans remettre en cause vos choix structurels à chaque évolution réglementaire.

Cybersécurité opérationnelle et conformité NIS2

La conformité réglementaire reste un sujet juridique, mais elle s’appuie sur une base technique solide. C’est précisément le rôle de notre pôle Cybersécurité : audits, protection des systèmes, détection et réponse aux incidents.

Nous vous aidons notamment à :

  • évaluer votre posture de sécurité au regard des exigences de NIS2 (gestion des risques, mesures techniques et organisationnelles, supervision) ;

  • renforcer vos capacités de détection et de réponse en continu ;

  • documenter les mesures mises en place pour vos environnements cloud, dans la perspective des contrôles des autorités nationales.

Continuité d’activité : PRA/PCA adaptés aux risques cloud

Enfin, la division Noor ITS intervient sur vos dispositifs de PRA / PCA pour intégrer explicitement les nouvelles hypothèses de risque liées à la souveraineté du cloud :

  • indisponibilité technique prolongée d’un fournisseur ;

  • rupture contractuelle ou contrainte réglementaire (perte d’une certification, conflit de lois, sanctions internationales) ;

  • besoin de bascule rapide vers un autre environnement (autre cloud, autre région, on‑premise).

Là où l’efficacité embrasse l’innovation, nous concevons des scénarios de continuité réalistes, testables et compatibles avec vos enjeux métiers et réglementaires.

Questions fréquentes sur l’« EU Cloud Sovereignty Act » après NIS2

L’EU Cloud Sovereignty Act existe-t-il vraiment en tant que loi européenne ?

À la date de rédaction de cet article, il n’existe pas de règlement ou de directive officiellement intitulé « EU Cloud Sovereignty Act ». Ce terme est utilisé pour désigner un ensemble de mesures convergentes : la directive NIS2, le futur schéma de certification EUCS pour les services cloud, et des cadres comme le Cloud Sovereignty Framework utilisé par la Commission pour ses propres achats. Pour les entreprises, l’enjeu n’est donc pas un « texte unique », mais l’alignement progressif de plusieurs instruments juridiques et techniques qui structurent le marché du cloud européen.

Comment NIS2 et la souveraineté du cloud impactent-ils une PME utilisatrice de SaaS ?

Une PME n’est pas automatiquement classée entité « essentielle » ou « importante » au sens de NIS2, mais elle peut être couverte selon son secteur (énergie, santé, services numériques, etc.) ou ses tailles/activités. Même lorsqu’elle n’est pas directement soumise à NIS2, elle subit l’effet de ruissellement : ses clients, partenaires ou donneurs d’ordre exigent une meilleure maîtrise de la sécurité et de la souveraineté de ses données. Concrètement, cela se traduit par des questionnaires plus poussés, des exigences sur les localisations de données, les certifications de ses fournisseurs cloud et la qualité de sa réponse aux incidents.

Les fournisseurs de cloud non européens seront-ils exclus du marché européen ?

Les dernières versions du schéma EUCS s’orientent vers une approche plus technique que politique, en supprimant certaines exigences de souveraineté trop restrictives, notamment pour les niveaux d’assurance standard. Il ne s’agit donc pas, à ce stade, d’exclure systématiquement les fournisseurs non européens, mais de rendre leurs engagements plus lisibles et vérifiables. En revanche, pour certains usages publics ou secteurs très sensibles, les pouvoirs publics peuvent privilégier, voire réserver, des services opérés et contrôlés par des acteurs européens. Les entreprises doivent donc anticiper une segmentation du marché en plusieurs niveaux de souveraineté.

Que puis-je faire dès maintenant pour préparer mon SI à EUCS et aux futurs labels ?

La meilleure préparation est avant tout opérationnelle. Commencez par cartographier vos usages cloud (IaaS, PaaS, SaaS) et les données associées, puis identifiez vos dépendances critiques et les obligations réglementaires qui s’y appliquent. Évaluez ensuite vos fournisseurs : localisation des données, certifications existantes, engagements contractuels, capacité à vous fournir des preuves (rapports, audits, attestations). Enfin, mettez à jour votre politique de sélection fournisseurs, vos processus de gestion des incidents et vos PRA/PCA pour intégrer des scénarios de migration ou de reconfiguration en cas de nouvelles exigences de certification ou de souveraineté.

Dois-je migrer immédiatement vers un « cloud souverain » pour être conforme ?

Pas nécessairement. La conformité ne se réduit pas à un type unique de cloud. Elle repose d’abord sur une analyse de risques documentée, des contrôles adaptés et une gouvernance solide. Selon votre secteur, votre exposition internationale et la sensibilité de vos données, un mix d’environnements peut être pertinent : certaines charges très sensibles sur un cloud souverain ou privé, d’autres sur des plateformes globales mieux adaptées à l’innovation. L’important est d’anticiper les différentes options, de négocier des contrats réversibles et de préparer techniquement des scénarios d’évolution plutôt que de subir, dans l’urgence, une contrainte réglementaire ou contractuelle.

Et maintenant, comment avancer concrètement ?

Si vous souhaitez clarifier votre situation par rapport à NIS2, aux futurs labels cloud européens et aux enjeux de souveraineté, l’accompagnement d’un intégrateur global peut faire la différence. Chez Score Group, nos équipes Noor ITS vous aident à structurer vos infrastructures, hébergements, sécurités et PRA/PCA dans cette nouvelle donne réglementaire, en cohérence avec vos objectifs métiers.

Pour échanger sur votre contexte, vos contraintes sectorielles et vos trajectoires possibles (hybride, multi‑cloud, cloud souverain), vous pouvez nous contacter directement via notre page Contact. Des solutions adaptées à chacun de vos besoins : c’est notre engagement, là où l’efficacité embrasse l’innovation.

 
 
bottom of page