Obligation de s’inscrire au NIS2 manquée ? La check-list pratique selon l’article 30 BSIG

7 min de lecture

Le 6 mars 2026, le délai était expiré. Trois mois après l’entrée en vigueur de la loi de transposition du NIS2, environ 29 500 entreprises devaient s’inscrire auprès du BSI (Office fédéral de la sécurité informatique). Résultat : seuls 38,5 % ont respecté le délai. Toute entreprise non inscrite s’expose désormais à des amendes pouvant atteindre 10 millions d’euros ainsi qu’à une responsabilité personnelle des dirigeants. Cet article explique ce que l’article 30 BSIG exige concrètement, où se situent les lacunes les plus fréquentes, et ce que les équipes de sécurité informatique doivent faire dès maintenant.

L’essentiel

• 🔒 Seulement 11 500 entreprises sur 29 500 assujetties se sont inscrites à temps auprès du BSI (Security Insider 2026).
• ⚠️ L’article 30 BSIG définit dix mesures minimales en matière de gestion des risques, allant de la gestion des incidents à la cryptographie.
• 🛡️ Responsabilité personnelle des dirigeants selon l’article 38 BSIG : les dirigeants doivent approuver, surveiller les mesures et suivre une formation.
• 📊 Amendes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les établissements particulièrement importants (article 65 BSIG).
• 🔧 Le BSI privilégie actuellement la mise en conformité plutôt que les sanctions immédiates, mais mène déjà des contrôles sur site depuis janvier 2026.

Le délai d’inscription est expiré

La loi de transposition du NIS2 (NIS2UmsuCG) est entrée en vigueur le 6 décembre 2025, sans période de transition. À compter de cette date, toutes les obligations s’appliquaient. Trois mois plus tard, le 6 mars 2026, expirait le délai d’inscription auprès du BSI. Le BSI avait mis en ligne sa plateforme d’inscription le 6 janvier 2026.

Les chiffres après l’expiration du délai sont alarmants : selon des rapports sectoriels, seulement environ 11 500 des quelque 29 500 établissements concernés se sont inscrits. Cela correspond à 38,5 %. La majorité des entreprises concernées sont donc désormais en retard sur le plan formel.

À titre de comparaison : sous l’ancienne loi sur la sécurité informatique, le BSI supervisait environ 4 500 organisations. Avec le NIS2, ce nombre a plus que sextuplé. De nombreuses entreprises nouvellement concernées n’avaient auparavant aucun contact avec la réglementation du BSI et sous-estiment considérablement l’effort requis pour mettre en œuvre les mesures minimales.

Sources : Communiqué de presse du BSI, décembre 2025 ; Security Insider, mars 2026 ; article 65 BSIG

Qui est concerné ? Le test d’assujettissement

Le NIS2 distingue deux catégories. Si vous relevez de l’une d’elles, vous êtes tenu de vous inscrire.

Établissements particulièrement importants : À partir de 250 employés ou d’un chiffre d’affaires annuel de 50 millions d’euros, avec un total de bilan d’au moins 43 millions d’euros. Ces entreprises font l’objet de contrôles proactifs et réguliers par le BSI. Les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Établissements importants : À partir de 50 employés ou d’un chiffre d’affaires annuel de 10 millions d’euros. Le BSI procède ici à des contrôles réactifs, c’est-à-dire uniquement en cas de soupçon d’infraction ou après un incident de sécurité. Les amendes peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.

Au total, le NIS2 couvre 18 secteurs. Onze d’entre eux sont qualifiés d’« essentiels » : énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, services TIC, administration publique et espace. Sept autres secteurs sont jugés « importants » : poste, gestion des déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

L’erreur la plus courante consiste à penser : « Nous sommes trop petits ». En réalité, le seuil est fixé à 50 employés ou 10 millions d’euros de chiffre d’affaires. De nombreuses PME, qui ne se sont jamais considérées comme pertinentes au regard du KRITIS (infrastructures critiques), tombent sous ce seuil. Particulièrement trompeur : les filiales et sociétés liées peuvent dépasser ces seuils en raison de leur appartenance à un groupe.

Article 30 BSIG : les dix mesures minimales en détail

Le cœur opérationnel de la loi de transposition du NIS2 figure à l’article 30, alinéa 2, du BSIG. Le législateur y définit dix domaines que chaque entité concernée doit couvrir. Aucune de ces mesures n’est facultative.

1. Analyse des risques et concepts de sécurité. Les entreprises doivent disposer de concepts documentés relatifs à l’analyse des risques et à la sécurité de l’information. Pas de simple formalité : le BSI vérifie si ces concepts sont à jour, complets et adaptés à la réalité de leur paysage informatique.

2. Gestion des incidents. Les incidents de sécurité doivent pouvoir être détectés, classés et traités efficacement. Le BSI attend des voies de signalement clairement définies, des processus d’escalade et une analyse documentée post-incident. L’expérience montre que de nombreux plans de réponse aux incidents ne fonctionnent pas en situation réelle.

3. Continuité d’activité. Maintien de l’exploitation, gestion des sauvegardes, restauration après sinistre et gestion de crise. Ce n’est pas uniquement technique : les procédures organisationnelles en cas d’urgence doivent également être définies et régulièrement testées lors d’exercices. Un plan de sauvegarde sur papier ne sert à rien si la restauration n’a jamais été validée.

4. Sécurité de la chaîne d’approvisionnement. Sécurité de la chaîne logistique, y compris des prestataires directs et des fournisseurs de services. C’est l’un des points faibles les plus fréquents : de nombreuses entreprises ignorent les pratiques de sécurité de leurs prestataires informatiques. Le NIS2 exige que ces risques soient systématiquement identifiés et encadrés contractuellement. Cela concerne aussi bien les fournisseurs de services cloud, les prestataires gérés (MSP) que les fournisseurs de logiciels.

5. Approvisionnement et développement sécurisés. Mesures de sécurité lors de l’acquisition, du développement et de la maintenance des systèmes informatiques. Pour les entreprises développant elles-mêmes des logiciels, cela signifie que la sécurité intégrée dès la conception (« Security by Design ») devient obligatoire, et non plus optionnelle. Le vérificateur pratique SBOM montre comment la nomenclature logicielle peut y contribuer.

6. Évaluation de l’efficacité. Les entreprises doivent non seulement mettre en œuvre des mesures, mais aussi évaluer régulièrement leur efficacité. Tests d’intrusion, audits et indicateurs de sécurité deviennent ainsi obligatoires. Cette évaluation doit être documentée et présentée à la direction générale.

7. Formation et sensibilisation. Formations fondamentales en cybersécurité pour l’ensemble des collaborateurs. Pas ponctuelles, mais continues. La direction générale est soumise à une obligation spécifique de formation prévue à l’article 38 BSIG, qui ne peut être déléguée à personne.

« Les entreprises ont besoin de cadres réglementaires fiables. »
Ralf Wintergerst, président de Bitkom (communiqué de presse Bitkom, 2025)

8. Cryptographie. Concepts et processus relatifs à l’utilisation des méthodes cryptographiques. Cela concerne le chiffrement en transit, au repos et dans les communications. Les entreprises doivent documenter quels algorithmes elles utilisent et pourquoi. Les méthodes obsolètes, telles que SHA-1 ou RSA avec moins de 2048 bits, ne sont plus acceptables.

9. Contrôle des accès et gestion des ressources humaines. Sécurité des ressources humaines, contrôle des accès aux systèmes et gestion des systèmes TIC. La gestion des identités et des accès (IAM) devient ainsi un sujet de conformité, et non plus seulement de sécurité. Le principe du moindre privilège doit être appliqué rigoureusement et documenté de façon vérifiable.

10. Authentification multifacteur et communication sécurisée. MFA ou authentification continue, ainsi que des communications vocales, vidéo et textuelles sécurisées. Toute entreprise qui n’a pas encore déployé l’authentification multifacteur sur ses systèmes critiques n’est plus conforme dès aujourd’hui. Cela concerne particulièrement les entreprises utilisant Microsoft Teams ou des plateformes similaires pour des échanges confidentiels.

Article 38 BSIG : pourquoi les dirigeants sont personnellement responsables

L’une des nouveautés les plus marquantes du NIS2 figure à l’article 38 BSIG. Les dirigeants et membres du conseil d’administration sont personnellement responsables de la mise en œuvre des mesures de gestion des risques. Trois obligations sont inscrites dans la loi.

Obligation d’approbation : Les mesures de gestion des risques prévues à l’article 30 doivent être formellement approuvées par la direction. Une délégation au CISO ou au responsable informatique ne suffit pas. La direction doit avoir pris une décision attestable.

Obligation de surveillance : Les dirigeants doivent surveiller activement la mise en œuvre. Il ne s’agit pas seulement d’être informés, mais de piloter. Le BSI peut exiger des preuves que cette surveillance est effective.

Obligation de formation : Les organes de direction doivent suivre régulièrement une formation en cybersécurité. Cette obligation n’est pas délégeable. Un recyclage est requis au moins tous les trois ans.

Particulièrement important : toute renonciation à la responsabilité par l’entreprise est exclue par la loi. Même en désignant un CISO, les dirigeants restent personnellement responsables de la conduite stratégique. En cas d’incident, l’incapacité à prouver l’accomplissement de ces trois obligations expose leur patrimoine personnel.

Ce que fait le BSI après le 6 mars

Le BSI a indiqué, après l’expiration du délai d’inscription, qu’il privilégie actuellement la mise en conformité plutôt que les sanctions immédiates. Aucune amende n’a été rendue publique à ce jour. Cela ne signifie toutefois pas qu’aucune mesure n’est prise.

Depuis janvier 2026, le BSI effectue déjà des contrôles sur site dans les établissements particulièrement importants. Les premiers résultats révèlent trois faiblesses récurrentes : des processus de déclaration qui ne fonctionnent pas en situation réelle, des dépendances inconnues dans la chaîne d’approvisionnement, et des systèmes de journalisation insuffisants pour les audits du BSI.

Pour les entreprises encore non inscrites, cela signifie que la période de grâce n’est pas une immunité. L’inscription elle-même prend quelques heures. Mais la mise en œuvre des mesures prévues à l’article 30 nécessite des semaines, voire des mois. Toute entreprise qui commence maintenant doit prioriser : inscription immédiate, puis gestion des incidents et contrôle d’accès comme gains rapides, tout en élaborant parallèlement le plan de conformité complet.

Check-list immédiate : ce que doivent faire les équipes de sécurité informatique maintenant

Étape 1 : Vérification de l’assujettissement. Vérifiez : plus de 50 employés ou plus de 10 millions d’euros de chiffre d’affaires ? Actif dans l’un des 18 secteurs ? Si oui : vous êtes concerné.

Étape 2 : Inscription auprès du BSI. Si ce n’est pas encore fait : inscrivez-vous immédiatement via le portail du BSI. L’inscription est simple. Chaque jour de retard augmente le risque d’amende.

Étape 3 : Analyse des écarts par rapport à l’article 30. Parcourez une à une les dix mesures minimales. Où des processus existent-ils déjà ? Où manque-t-il de la documentation ? Où la mesure fait-elle complètement défaut ? Résultat : une liste priorisée des actions à mener.

Étape 4 : Impliquer la direction. Obtenir une décision du conseil d’administration approuvant les mesures de gestion des risques. Planifier une session de formation pour la direction. Définir la fréquence de surveillance. Documenter le tout.

Étape 5 : Cartographier la chaîne d’approvisionnement. Quels prestataires informatiques utilisez-vous ? Quelles normes de sécurité s’appliquent chez eux ? Existe-t-il des dispositions contractuelles ? La sécurité de la chaîne d’approvisionnement est le domaine que la plupart des entreprises sous-estiment.

Étape 6 : Tester les processus de déclaration. Simuler un incident de sécurité. Les voies d’escalade fonctionnent-elles ? Chacun sait-il qui informer et quand ? La déclaration parvient-elle au BSI dans le délai prescrit ?

Conclusion : s’inscrire est la partie facile

L’inscription auprès du BSI peut être effectuée en quelques heures. Le véritable travail réside dans l’article 30 BSIG : dix domaines de mesures qui doivent être documentés, mis en œuvre et régulièrement vérifiés. Avec l’article 38 BSIG, s’ajoute la responsabilité personnelle des dirigeants.

Celui qui n’a pas encore commencé ne doit pas compter sur la période de grâce du BSI. Les contrôles sur site sont déjà en cours. Et la question n’est pas de savoir si, mais quand la première amende sera prononcée.

Questions fréquentes

Qui doit s’inscrire auprès du BSI ?

Les entreprises comptant au moins 50 employés ou réalisant un chiffre d’affaires annuel d’au moins 10 millions d’euros, et actives dans l’un des 18 secteurs NIS2. L’obligation d’inscription est en vigueur depuis le 6 mars 2026.

Que se passe-t-il si j’ai manqué le délai d’inscription ?

Le BSI privilégie actuellement la mise en conformité plutôt que les sanctions immédiates. Toutefois, des amendes peuvent être prononcées à tout moment : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les établissements particulièrement importants. Inscrivez-vous immédiatement.

Le dirigeant est-il personnellement responsable ?

Oui. L’article 38 BSIG oblige les dirigeants à approuver, surveiller et se former personnellement en cybersécurité. Toute renonciation à la responsabilité par l’entreprise est interdite par la loi. Cette obligation ne peut pas être déléguée au CISO.

Quelles sont les dix mesures minimales prévues à l’article 30 BSIG ?

Analyse des risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, approvisionnement et développement sécurisés, évaluation de l’efficacité, formation, cryptographie, contrôle d’accès et authentification multifacteur. Ces dix domaines doivent être documentés et mis en œuvre.

Le NIS2 s’applique-t-il aussi aux PME ?

Oui. Le seuil est fixé à 50 employés ou 10 millions d’euros de chiffre d’affaires. De nombreuses PME qui ne se considéraient jamais comme relevant du KRITIS (infrastructures critiques) sont désormais concernées par le NIS2. Particulièrement touchés : les entreprises industrielles, l’agroalimentaire et les fournisseurs de services numériques.

Source de l’image : Pexels / Tima Miroshnichenko

À propos de l'auteur: Alec Chizhik

Plus d'articles de Alec Chizhik