Checkliste NIS2 2026 : Ce que les entreprises doivent mettre en œuvre dès maintenant

1 min de lecture

La loi de mise en œuvre de NIS2 entre en vigueur en 2025 et concerne environ 30 000 entreprises en Allemagne. Beaucoup ignorent encore si elles sont concernées et ce qu’elles doivent concrètement faire. Cette checkliste résume les principales obligations et délais.

L’essentiel

30 000 entreprises concernées : Beaucoup plus qu’avec l’ancienne directive NIS – y compris de nombreuses PME.
Responsabilité personnelle des dirigeants : Amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
Obligation de déclaration en 24 heures : Les incidents de sécurité importants doivent être signalés dans un délai d’un jour.
Sécurité de la chaîne d’approvisionnement obligatoire : Les entreprises doivent évaluer la sécurité de leurs fournisseurs.
Commencer maintenant : La mise en œuvre prend 6 à 18 mois – ceux qui attendent risquent des infractions dès le premier jour.

Qui est concerné ?

NIS2 distingue entre les « établissements essentiels » et les « établissements importants » dans 18 secteurs. Seuils applicables : au moins 50 employés ou 10 millions d’euros de chiffre d’affaires annuel. Certains secteurs sont concernés indépendamment de leur taille.

Établissements essentiels : Énergie, transport, secteur bancaire, santé, eau potable, eaux usées, infrastructure numérique, gestion des services informatiques et de communication (ICT), administration publique, espace.

Établissements importants : Poste, gestion des déchets, chimie, alimentation, industrie manufacturière, services numériques, recherche.

La checkliste NIS2 : 10 obligations

1. Vérifier l’application : Comparer le secteur, la taille et le chiffre d’affaires aux critères de NIS2. En cas de doute, consulter un conseiller juridique.

2. Gestion des risques : Mettre en place, documenter et actualiser régulièrement une gestion systématique des risques de cybersécurité.

3. Réponse aux incidents : Alerte initiale en 24 heures, rapport détaillé en 72 heures, clôture au BSI (Office fédéral de la sécurité informatique) dans un délai d’un mois. Définir et pratiquer le processus.

4. Impliquer la direction : Approuver les mesures, surveiller et participer aux formations. Responsabilité personnelle.

5. Sécurité de la chaîne d’approvisionnement : Identifier les fournisseurs critiques, vérifier les mesures de sécurité, les sécuriser contractuellement.

6. Continuité des activités : Tester régulièrement les concepts de sauvegarde, la reprise après sinistre et la gestion de crise.

7. Chiffrement et contrôle d’accès : Chiffrer les données, utiliser l’authentification multifactorielle (MFA) pour les systèmes critiques, principe du moindre privilège.

8. Gestion des vulnérabilités : Scans de vulnérabilités, tests de pénétration, gestion des correctifs avec des accords de niveau de service (SLA) définis.

9. Formations : Former régulièrement tous les employés, former la direction aux formations spécifiques en cybersécurité.

10. Enregistrement au BSI : S’enregistrer au BSI et désigner un interlocuteur pour la cybersécurité.

Délais et amendes

La loi de mise en œuvre de NIS2 devrait entrer en vigueur au milieu de l’année 2025. Amendes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Pour les établissements essentiels, des cadres d’amendes plus élevés et une supervision proactive s’appliquent.

Faits clés en un coup d’œil

Entreprises concernées en DE : ~30 000 entreprises (précédemment ~4 500)

Secteurs : 18 (11 essentiels, 7 importants)

Obligation de déclaration : 24 h → 72 h → 1 mois

Amendes : Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel

Durée de mise en œuvre : 6 à 18 mois selon la situation initiale

Fait : Selon le rapport de situation du BSI 2025, environ 30 000 entreprises en Allemagne sont soumises pour la première fois à une réglementation grâce à NIS2 – six fois plus qu’avec l’ancienne ordonnance KRITIS.

Fait : L’obligation de déclaration de NIS2 exige une première notification dans les 24 heures – selon ENISA, moins de 40 % des organisations concernées réussissent cela dans les scénarios de test.

Questions fréquentes

NIS2 s’applique-t-il aux entreprises de moins de 50 employés ?

En principe, non. Exceptions : infrastructure numérique, services DNS et fournisseurs de services de confiance qualifiés sont concernés indépendamment de la taille.

L’ISO 27001 suffit-elle pour NIS2 ?

L’ISO 27001 couvre beaucoup de choses, mais pas tout. En plus : obligations de déclaration spécifiques, formation des dirigeants, évaluation de la chaîne d’approvisionnement et enregistrement au BSI.

Que se passe-t-il en cas d’infraction ?

Amendes allant jusqu’à 10 millions d’euros, responsabilité personnelle des dirigeants. Pour les établissements essentiels, des contrôles de supervision proactive.

Comment commencer la mise en œuvre ?

Vérifier l’application, effectuer une analyse des écarts, élaborer un plan d’action, sécuriser le budget, consulter des experts externes si nécessaire. Utiliser les guides d’orientation du BSI et les guides Bitkom.