L’audit NIS2 : comment les entreprises se préparent à leur première inspection
8 min de lecture
48 % des entreprises concernées ne savent même pas avec certitude si elles relèvent de NIS2. Seulement 12,1 % avaient pleinement mis en œuvre les exigences à l’entrée en vigueur en décembre 2025. Pourtant, la loi s’applique sans période de transition. Et la responsabilité personnelle des dirigeants sur leur patrimoine privé n’est pas négociable : aucune décision des associés ne peut l’exclure. Les premières inspections du BSI sont déjà en cours. Ce que les auditeurs découvrent et ce que les entreprises doivent faire maintenant.
L’essentiel
- Niveau de préparation : seules 12,1 % des entreprises concernées avaient pleinement mis en œuvre NIS2 à son entrée en vigueur, 48 % ignorent s’il s’applique à elles
- 10 mesures obligatoires : l’article 30 du BSIG définit dix mesures minimales, de l’analyse des risques à la gestion des incidents en passant par l’authentification multifacteur (MFA), toutes devant être documentées et vérifiables
- Responsabilité personnelle : les dirigeants sont personnellement responsables sur leur patrimoine privé selon l’article 38 du BSIG, tout renoncement à cette responsabilité étant exclu par la loi
- Amendes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les établissements particulièrement importants
- Écart avec ISO 27001 : couvre 70 à 80 % des exigences NIS2, trois lacunes critiques subsistent : obligations de déclaration, responsabilité des dirigeants et champ d’application à l’ensemble de l’entreprise
Le BSI contrôle : ce que révèlent les premiers audits
Depuis janvier 2026, le BSI (Office fédéral de la sécurité informatique) a progressivement entamé ses activités de surveillance. Le portail d’enregistrement a été activé le 6 janvier 2026, et le délai d’enregistrement a expiré le 6 mars 2026. Plus de 30 000 entreprises en Allemagne sont classées comme établissements particulièrement importants ou importants et doivent respecter les exigences.
Le BSI identifie les entreprises concernées via plusieurs canaux : registres du commerce et des sociétés, associations professionnelles, déclarations volontaires et coopération avec les régulateurs sectoriels tels que la Bundesnetzagentur (énergie) et le BfArM (santé). La procédure d’escalade est progressive : invitation informelle à s’enregistrer, demande écrite formelle en cas de non-réaction, procédure administrative, puis amendes assorties d’une publication publique.
Les premières expériences pratiques issues des audits du BSI révèlent trois lacunes critiques récurrentes. Premièrement : le processus de déclaration est documenté, mais non opérationnel. Les entreprises disposent de plans de réponse aux incidents, mais personne ne peut nommer concrètement, dans la pratique, le contact BSI compétent dans l’heure. Aucun exercice réel, aucun test en conditions réelles et sous pression temporelle. Deuxièmement : les points aveugles de la chaîne d’approvisionnement – un fournisseur d’interface ERP âgé de huit ans a été changé, sans documentation sur les droits d’accès ni sur le statut actuel de sécurité. Troisièmement : une gestion fragmentée des journaux (logs) – les logs sont conservés 30 jours sur les équipements locaux, au lieu d’être agrégés de manière centralisée. Le BSI exige une infrastructure centralisée de gestion des logs.
Sources : Étude Proliance 2025, Rapport Cyber Security Schwarz Digits 2026, NIS2UmsuCG §30 BSIG
Les 10 mesures obligatoires : ce que l’article 30 du BSIG exige
L’article 30, paragraphe 2 du BSIG définit dix mesures minimales que tous les établissements concernés doivent impérativement mettre en œuvre et pouvoir justifier. Les mesures doivent être proportionnées – la taille, le profil de risque et les impacts potentiels de l’entreprise sont pris en compte. Mais « proportionné » ne signifie pas « facultatif ».
Mesure 1 : Analyse des risques et concepts de sécurité informatique. Une identification des risques documentée et systématique, avec une vérification annuelle. C’est le fondement – sans cette analyse, aucun auditeur ne peut évaluer si les autres mesures sont appropriées.
Mesure 2 : Gestion des incidents. Des processus prouvés pour détecter, analyser, contenir et restaurer après des incidents de sécurité. Cela inclut la capacité de réponse aux incidents, que le BSI examine particulièrement attentivement : alerte précoce au BSI dans les 24 heures, rapport détaillé dans les 72 heures.
Mesure 3 : Gestion de la continuité d’activité. Stratégies de sauvegarde, plans de reprise après sinistre et preuve de tests réguliers. Un plan jamais testé n’est pas un plan. C’est précisément ce que les auditeurs vérifient : non pas si un document existe, mais si une restauration fonctionne réellement. La résilience contre les ransomwares dépend directement de cette mesure.
Mesures 4 et 5 : Sécurité de la chaîne d’approvisionnement et achats sécurisés. Évaluation des fournisseurs avec exigences contractuelles de sécurité et contrôles de sécurité sur l’ensemble du cycle de vie des systèmes informatiques. Le BSI ne vérifie pas seulement l’existence de contrats, mais aussi s’ils contiennent des normes concrètes et des droits d’audit.
Mesure 6 : Vérification de l’efficacité. Audits internes, tests d’intrusion (penetration tests) et suivi d’indicateurs de performance (KPI). Les entreprises doivent prouver qu’elles évaluent régulièrement l’efficacité de leurs mesures de sécurité – pas seulement les mettre en œuvre, mais aussi les valider.
Mesure 7 : Formation et sensibilisation. Formations obligatoires pour tous les employés, y compris la direction. La direction générale doit participer personnellement à des formations en cybersécurité – tous les trois ans, preuve à l’appui.
Mesures 8 à 10 : Cryptographie, contrôle des accès et authentification multifacteur (MFA). Politiques de chiffrement pour les données au repos et en transit. Gestion des droits d’accès avec protocoles d’authentification documentés. Et authentification multifacteur pour les systèmes critiques – la mesure dont l’absence a permis l’attaque contre Südwestfalen-IT.
ISO 27001 : 80 % de couverture, trois lacunes critiques
Les entreprises disposant déjà d’un SMIS ISO 27001 ont un avantage considérable. Selon les experts, l’ISO 27001 couvre 70 à 80 % des exigences NIS2. Sept des dix mesures de l’article 30 sont entièrement couvertes par un SMIS ISO 27001. L’ISO 27001 comme le référentiel BSI IT-Grundschutz sont reconnus par la loi comme base pour la justification de la conformité NIS2.
Trois lacunes critiques subsistent. Lacune 1 : Obligations de déclaration. L’ISO 27001 exige des processus de gestion des incidents, mais pas d’obligation de déclaration aux autorités. NIS2 impose une alerte précoce au BSI dans les 24 heures et un rapport détaillé dans les 72 heures. Cela nécessite un processus de déclaration opérationnel, avec des responsabilités et des contacts clairs – disponibles 24 heures sur 24.
Lacune 2 : Responsabilité personnelle de la direction. L’ISO 27001 exige un « engagement de la direction » comme principe général. L’article 38 du BSIG impose une obligation de formation personnelle aux administrateurs et dirigeants, ainsi qu’une responsabilité personnelle sur leur patrimoine privé. C’est une différence fondamentale : l’engagement ISO est un principe de système de management, la responsabilité NIS2 est du droit applicable.
Lacune 3 : Champ d’application à l’ensemble de l’entreprise. L’ISO 27001 autorise des périmètres limités – une entreprise peut, par exemple, certifier uniquement son service informatique ou un seul centre de données. NIS2 s’applique à l’ensemble de l’entreprise et de ses sites. Si une entreprise possède trois sites et n’en certifie qu’un selon ISO 27001, cela ne couvre pas les exigences NIS2.
La recommandation des experts : étendre le SMIS ISO 27001 existant, plutôt que de créer des structures de conformité parallèles. Analyse des écarts (gap analysis), extension du périmètre et adaptation de la gouvernance sont les trois étapes. Cela permet d’économiser des coûts et d’exploiter au maximum l’infrastructure de conformité existante.
Une certification ISO 27001 ou un certificat BSI IT-Grundschutz facilite considérablement la justification de la conformité NIS2. Mais il n’existe aucune « certification NIS2 » officielle. La preuve repose sur la mise en œuvre documentée des dix mesures obligatoires – et la capacité de les présenter lors d’un audit.
Responsabilité des dirigeants : ce que signifie l’article 38 du BSIG
L’article 38 du BSIG rend les dirigeants et administrateurs personnellement responsables des dommages causés par des manquements à leurs obligations. Ce qui est particulier : la responsabilité s’étend au patrimoine privé. Tout renoncement à cette responsabilité par décision des associés est exclu par la loi. La règle du jugement d’affaires (Business Judgment Rule) – le bouclier qui protège les administrateurs contre la responsabilité personnelle en cas de mauvaises décisions entrepreneuriales – ne s’applique pas ici.
Trois obligations fondamentales incombent personnellement à la direction. Premièrement : approuver activement les mesures de risque NIS2 – pas seulement les valider, mais s’engager réellement sur le fond. Deuxièmement : surveiller activement la mise en œuvre – pas seulement recevoir des mises à jour, mais s’assurer que les mesures sont efficaces. Troisièmement : participer personnellement à des formations en cybersécurité, preuve à l’appui et de manière régulière (tous les trois ans).
En cas de litige, c’est au dirigeant de prouver qu’il a agi conformément à ses obligations – la charge de la preuve est inversée. Ce n’est pas au plaignant de prouver que le dirigeant a agi de manière fautive, mais au dirigeant de prouver qu’il a fait tout ce qui était requis. Et la responsabilité subsiste même si la responsabilité opérationnelle a été déléguée à un CISO. La délégation ne protège pas contre la responsabilité personnelle – c’est une mesure organisationnelle, pas une protection juridique.
Pour les administrateurs qui ont déjà compris la conformité NIS2 comme un avantage concurrentiel, la responsabilité personnelle est le moteur décisif : il ne s’agit plus seulement d’amendes pour l’entreprise, mais de leur propre patrimoine.
État de préparation : où en sont les entreprises allemandes
Les chiffres sont accablants. Selon une étude Proliance, seules 12,1 % des entreprises concernées avaient pleinement mis en œuvre NIS2 à son entrée en vigueur en décembre 2025. 20,4 % supplémentaires étaient en phase finale, 31,3 % étaient en cours. Environ un quart n’avait même pas encore commencé.
Le rapport Cyber Security Schwarz Digits 2026 (1 001 répondants) révèle un problème supplémentaire : 48 % des entreprises interrogées sous-estiment leur exposition réglementaire à NIS2 et croient peut-être à tort qu’elles ne sont pas concernées. Avec plus de 30 000 entreprises réglementées, cela signifie : des milliers sont concernées sans le savoir.
Selon une étude G-Data/Statista/Brand-Eins, 63 % des entreprises avaient entamé ou étaient en cours de mise en œuvre de NIS2. Cela semble être un progrès, mais la qualité de la mise en œuvre varie considérablement. « En cours » peut signifier : planifié stratégiquement et abordé de manière structurée. Mais cela peut aussi signifier : le CISO a demandé un budget qui n’a pas encore été approuvé.
Les amendes sont échelonnées : les établissements particulièrement importants (plus de 250 salariés ou plus de 50 millions d’euros de chiffre d’affaires) encourent jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. Les établissements importants (50 à 249 salariés ou 10 à 50 millions d’euros de chiffre d’affaires) jusqu’à 7 millions d’euros ou 1,4 %. S’y ajoutent des ordres contraignants du BSI, la publication publique des infractions (dommages à la réputation) et la possibilité d’interdiction provisoire d’exercer des fonctions de direction. Pour les dirigeants familiers avec le parallèle au RGPD, le message est clair : l’activité de contrôle sera modérée les premières années, puis croîtra de manière exponentielle. Pour le RGPD, les amendes ont atteint plus de 2,9 milliards d’euros dans l’UE d’ici 2024.
Préparation à l’audit : la check-list pratique
Déduite des dix mesures obligatoires et des enseignements des premières inspections du BSI :
1. Concept de SMIS avec analyse des risques. Par écrit, systématique, avec preuve de vérification annuelle. Sans ce document, aucun audit ne peut commencer.
2. Inventaire des actifs à jour. Tous les systèmes informatiques, interfaces et prestataires tiers documentés. Le BSI vérifie si l’inventaire est complet et à jour – pas seulement s’il existe.
3. Plan de réponse aux incidents opérationnel. Avec contacts désignés, modalités de contact et voies d’escalade claires. Le plan doit fonctionner sous pression, pas seulement exister sur papier. Recommandation : réaliser au moins un exercice par an testant la chaîne de déclaration dans les 24 heures.
4. Tests d’intrusion (pentests) et preuves d’efficacité. Tests d’intrusion réguliers et audits internes avec résultats documentés et protocoles d’actions.
5. Preuves de formation pour tous les employés. Y compris la direction. Aucune exception. Le BSI vérifie spécifiquement si la direction a personnellement suivi une formation.
6. Politiques de chiffrement et documentation MFA. Quels systèmes sont chiffrés, quels algorithmes sont utilisés, où l’authentification multifacteur (MFA) est-elle mise en œuvre. La migration vers la cryptographie post-quantique deviendra un enjeu supplémentaire dans les années à venir.
7. Contrats fournisseurs avec exigences de sécurité. Chaque prestataire externe ayant accès aux systèmes doit disposer d’un contrat incluant des normes de sécurité concrètes et des droits d’audit.
8. Gestion centralisée des journaux (logs). Pas de logs locaux avec rétention de 30 jours, mais agrégés de manière centralisée et exploitables. C’est la mesure la plus fréquemment critiquée lors des premiers audits du BSI.
Qui contrôle : les prestataires d’audits externes en Allemagne
Il n’existe aucune « certification NIS2 » uniforme – les entreprises font réaliser des audits et des tests d’intrusion, et utilisent des attestations (ISO 27001 avec cartographie NIS2, BSI IT-Grundschutz) comme preuve auprès du BSI. Pour les établissements particulièrement importants et les exploitants d’installations critiques, un cycle de justification triennal est prévu.
Les prestataires d’audits établis en Allemagne : TÜV Rheinland propose des évaluations de préparation NIS2 et des services de conseil. TÜV NORD a développé un programme de certification « NIS-2-Experte (TÜV) » pour les auditeurs. TÜVIT est spécialisé dans les audits KRITIS et NIS2. DEKRA propose une certification selon les directives NIS2 et des services de conseil. Par ailleurs, les grands cabinets de conseil (PwC, Deloitte, EY, KPMG) ont mis en place des services d’audit spécifiques à NIS2.
La recommandation : commencer par une analyse des écarts (gap analysis) comparant l’état actuel aux dix mesures obligatoires. Les entreprises disposant d’ISO 27001 ont généralement besoin de trois à six mois pour l’extension NIS2. Celles sans SMIS existant devraient prévoir douze à dix-huit mois. Plus une entreprise attend, plus cela coûte cher – et plus il est probable que le premier contact avec le BSI ne soit pas une lettre amicale, mais une procédure administrative.
Les écarts les plus fréquents détectés lors des analyses des écarts ne sont pas des problèmes techniques : les infrastructures SIEM existent, mais ne sont pas entièrement intégrées. Les plans de continuité d’activité sont rédigés, mais jamais testés. Les contrats fournisseurs contiennent des clauses générales, mais pas d’exigences de sécurité concrètes. Et le plus grand point aveugle : le périmètre ISO 27001 couvre seulement une partie de l’entreprise, alors que NIS2 s’applique à l’ensemble. Celui qui commence maintenant l’analyse des écarts dispose d’un plan clair. Celui qui attend se retrouve avec un problème de conformité qui coûte plus cher chaque mois de retard.
Questions fréquentes
Que vérifie le BSI lors d’un audit NIS2 ?
La mise en œuvre des dix mesures obligatoires selon l’article 30 du BSIG : analyse des risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, achats sécurisés, vérification de l’efficacité, formations, cryptographie, contrôle des accès et authentification multifacteur (MFA). Le BSI examine particulièrement le processus de déclaration opérationnel et la gestion centralisée des journaux (logs).
Existe-t-il une certification NIS2 ?
Non, il n’existe aucune certification NIS2 officielle. L’ISO 27001 et le BSI IT-Grundschutz sont reconnus comme base de justification, mais ne remplacent pas la documentation spécifique à NIS2. Les entreprises prouvent leur conformité par des mesures documentées et les résultats d’audits.
Quel pourcentage des exigences NIS2 est couvert par l’ISO 27001 ?
Selon les experts, 70 à 80 %. Trois lacunes critiques subsistent : obligations de déclaration au BSI (24/72 heures), responsabilité personnelle des dirigeants (article 38 du BSIG) et champ d’application à l’ensemble de l’entreprise (l’ISO 27001 autorise des périmètres limités).
Les dirigeants sont-ils personnellement responsables ?
Oui, selon l’article 38 du BSIG, sur leur patrimoine privé. Le renoncement à cette responsabilité est exclu par la loi, la charge de la preuve est inversée, et la délégation à un CISO ne protège pas contre la responsabilité personnelle.
Combien de temps faut-il pour se préparer à NIS2 ?
Entreprises avec ISO 27001 : généralement 3 à 6 mois pour l’extension. Sans SMIS existant : 12 à 18 mois. Les exploitants d’installations critiques doivent fournir des preuves au BSI tous les trois ans.
Pour aller plus loin
SecurityTodayNIS2 comme avantage concurrentiel : pourquoi la régulation en cybersécurité renforce la compétitivité économiqueSecurityTodaySécurité de la chaîne d’approvisionnement : du fardeau de conformité à l’avantage concurrentielMyBusinessFutureReboot Germany : 735 milliards, trois PME et la question de savoir si la crise est vraiment si graveSource de l’image : Pexels / Sora Shimazaki (px:5668858)
