Directive NIS2 : Ce que les entreprises allemandes doivent savoir maintenant

La directive NIS2 élargit considérablement le cercle des entreprises réglementées : au lieu d’environ 4 000, plus de 30 000 organisations en Allemagne seront concernées. Qui n’agit pas maintenant risque une responsabilité personnelle.

L’essentiel

La directive NIS2 élargit considérablement le cercle des entreprises réglementées dans l’UE : au lieu d’environ 4 000, plus de 30 000 organisations en Allemagne seront concernées. La mise en œuvre nationale est en cours. Qui n’agit pas maintenant risque une responsabilité personnelle de la direction.

La Network and Information Security Directive 2 (NIS2) est en vigueur au niveau de l’UE depuis janvier 2023. Les États membres doivent transposer la directive en droit national. En Allemagne, cela se fait par la loi de mise en œuvre de la NIS2 (NIS2UmsuCG), élaborée par le ministère fédéral de l’Intérieur.

Qui est concerné ?

NIS2 distingue entre les « établissements essentiels » et les « établissements importants ». Les critères :

• Établissements essentiels : Énergie, transport, santé, eau potable, infrastructure numérique, secteur bancaire, administration publique
• Établissements importants : Poste, gestion des déchets, chimie, alimentation, industrie manufacturière, services numériques, recherche
• Critère de taille : Généralement à partir de 50 employés ou 10 millions d’euros de chiffre d’affaires annuel

Les principales obligations

Gestion des risques : Les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles conformes à l’état de la technique. Cela inclut la réponse aux incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement et le chiffrement.

Obligations de déclaration : Les incidents de sécurité importants doivent être signalés dans un délai de 24 heures (alerte précoce) ou 72 heures (déclaration complète) à l’autorité compétente.

Responsabilité des dirigeants : La direction doit approuver les mesures de cybersécurité et en surveiller la mise en œuvre. En cas de violation, une responsabilité personnelle est encourue.

NIS2 vs. NIS1 : Que change-t-il ?

• Beaucoup plus de secteurs et d’entreprises concernés
• Obligations de déclaration plus strictes (24 h au lieu de « immédiatement »)
• Responsabilité personnelle des dirigeants
• Sanctions harmonisées : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial
• Évaluation obligatoire des risques de la chaîne d’approvisionnement

Key Facts

Plus de 30 000 entreprises en Allemagne concernées (contre environ 4 000 sous NIS1)

Obligation de déclaration : Alerte précoce en 24 h, déclaration complète en 72 h

Sanctions : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial

Responsabilité personnelle des dirigeants pour la cybersécurité

La sécurité de la chaîne d’approvisionnement devient obligatoire

Fait : Selon Bitkom, en 2025, seulement 14 % des entreprises concernées auront entièrement mis en œuvre les exigences de la NIS2.

Fait : Seulement 43 % des PME allemandes disposent d’un plan d’urgence informatique, selon Bitkom.

Questions fréquentes

La NIS2 s’applique-t-elle également aux petites entreprises ?

En principe, à partir de 50 employés ou 10 millions d’euros de chiffre d’affaires. Exception : Les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et certaines infrastructures numériques sont concernés indépendamment de leur taille.

Que se passe-t-il si je manque la date limite ?

L’autorité de surveillance peut infliger des amendes et imposer des conditions. Pour les établissements essentiels, des audits proactifs sont également prévus. La responsabilité personnelle des dirigeants s’applique dès l’entrée en vigueur de la loi de mise en œuvre.

Articles complémentaires

NIS2-Richtlinie: Was Unternehmen wissen müssen

Cyber-Versicherung 2026

Zero Trust: Die 7 häufigsten Fehler

Comment la NIS2 diffère-t-elle du RGPD ?

Le RGPD protège les données personnelles, la NIS2 assure la cybersécurité des réseaux et des systèmes d’information. La NIS2 exige des mesures techniques et organisationnelles, des obligations de déclaration dans un délai de 24 heures et des évaluations régulières des risques – avec des délais nettement plus courts que le RGPD.

Articles connexes

• Cybersecurity-Trends 2026 : Les 7 évolutions que les décideurs en matière de sécurité doivent connaître
• NIS2-Checkliste 2026 : Ce que les entreprises doivent mettre en œuvre maintenant
• NIS2 et responsabilité des dirigeants : Pourquoi la cybersécurité est maintenant une affaire de chefs

Plus du réseau MBF Media

• Plus de tendances en matière de sécurité informatique sur mybusinessfuture.com
• Stratégies informatiques pour les décideurs sur digital-chiefs.de

Source de l’image : Pexels / Jan van der Wolf

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow