Mise en œuvre NIS2 2026 : phase de contrôle BSI et checklist DACH

6 Min. de lecture

Le 18 avril 2026, la première période d’application de la NIS2 pour les entités particulièrement importantes a pris fin en Belgique. En Allemagne, la période d’enregistrement au BSI est expirée depuis le 6 mars 2026. Ceux qui ne se sont pas enregistrés à ce moment sont maintenant sous le feu d’un système de surveillance qui prévoit des amendes allant jusqu’à 10 Mio. EUR ou 2% du chiffre d’affaires annuel et peut rendre les dirigeants personnellement responsables. La vague d’application n’est plus une simple menace.

Les points clés en bref

29.500 entités réglementées en Allemagne. La NIS2UmsuCG a étendu le périmètre allemand de 4.500 à 29.500 entités. Beaucoup ignorent encore qu’ils sont concernés.
Phase d’application active depuis mai 2026. La première échéance belge était le 18 avril 2026. Le BSI est en phase d’inspection opérationnelle à partir de mai 2026. L’Autriche suivra avec son entrée en vigueur le 1er octobre 2026.
Plafond d’amende : 10 Mio. EUR ou 2%. Pour les entités particulièrement importantes. S’ajoute en Allemagne une responsabilité personnelle des dirigeurs jusqu’à 500.000 EUR – non pas la personne morale, mais l’individu.
84% pas prêts. Selon CyberSmart (avril 2026), 84% des organisations exposées à l’application ne sont pas conformes. L’écart entre l’exigence réglementaire et la réalité opérationnelle ne s’est pas réduit.

LiésLoi européenne sur l’IA : Systèmes à haut risque à partir du 2 août 2026 /

Ce que NIS2 exige des réglementés

Qu’est-ce que NIS2 ? La directive européenne sur la sécurité des réseaux et de l’information (NIS2, directive 2022/2555) établit des obligations de cybersécurité contraignantes pour les secteurs critiques. Elle remplace la directive NIS de 2016, étend considérablement son champ d’application et introduit un régime de sanctions uniforme avec une responsabilité personnelle des dirigeants.

Le NIS2UmsuCG est en vigueur depuis le 6 décembre 2025. La souvent citée « sécurité appropriée » est désormais précisée par les Directives techniques de mise en œuvre de l’ENISA (juin 2025) – c’est la différence avec les cadres de conformité antérieurs qui laissaient plus de marge à l’interprétation. Celui qui affirme n’avoir pas eu de clarté sur ce qui devait être fait concrètement a un problème de recherche, pas un problème réglementaire.

L’art. 21 NIS2 définit dix catégories de mesures qu’un réglementé doit mettre en œuvre et documenter. L’ENISA a en outre précisé au T1 2026 : l’AMF pour les accès privilégiés, les comptes d’accès distant et les comptes fournisseurs est « pratiquement toujours appropriée » – la marge de manœuvre par « lorsque approprié » y est quasi inexistante.

Ce que beaucoup ont déjà

Firewall et protection des endpoints
Routine de sauvegarde (généralement sans test de récupération)
Gestion des correctifs – d’une manière ou d’une autre
Antivirus sur les endpoints
Politique de mots de passe de base

Ce qui manque généralement

Plan de réponse aux incidents documenté
ISMS avec registre des risques
Processus de déclaration au BSI 24h (point de contact, chaîne d’escalade)
AMF sur tous les comptes privilégiés
Analyse des risques de la chaîne d’approvisionnement pour les prestataires IT

L’état d’avancement de la mise en œuvre dans l’espace DACH

L’Allemagne a mis en œuvre NIS2 parmi les derniers États membres de l’UE. Le NIS2UmsuCG est entré en vigueur le 6 décembre 2025, soit presque 15 mois après la date limite européenne d’implémentation. Entre l’adoption et l’application par le BSI, les entreprises concernées ont eu environ 13 semaines – soit moins d’un trimestre pour mettre en place la gestion des risques, la documentation et l’enregistrement.

L’Autriche a adopté le NISG 2026 le 12 décembre 2025. Entrée en vigueur : 1er octobre 2026. Les entreprises autrichiennes concernées ont ainsi une courte fenêtre pour établir leurs bases de conformité avant que la nouvelle autorité de supervision – l’Office fédéral de cybersécurité – n’entame sa phase opérationnelle. Portée : environ 4 000 entreprises dans 18 secteurs.

La Pologne a mis en œuvre avec la KSC Act du 3 avril 2026 l’une des transpositions les plus étendues de l’UE : 42 000 réglementés, étendus à partir d’environ 400 auparavant. Ce n’est pas une faute de frappe. Pour les chaînes d’approvisionnement germano-polonaises et les partenaires de nearshoring, cela signifie une pression immédiate de conformité des deux côtés.

Suisse : Membre de l’UE ? Non, donc obligation NIS2 directe. Pour les entreprises suisses qui agissent comme prestataires IT pour des réglementés de l’UE, une pression indirecte s’exerce via les exigences de la chaîne d’approvisionnement du donneur d’ordre.

Ce que les équipes IT doivent vérifier maintenant

Cinq étapes de travail couvrent les lacunes de conformité les plus courantes. Aucun de ces points ne nécessite ISO 27001 – mais tous exigent des preuves écrites.

Vérifier le champ d’application. L’entreprise relève-t-elle de l’un des 18 secteurs NIS2 selon l’annexe 1 ou 2 du BSIG? Seuil : à partir de 50 employés OU 10 Mio. EUR de chiffre d’affaires annuel, combiné avec l’appartenance sectorielle. Le classement en tant qu’entité « importante » ou « particulièrement importante » détermine le cadre des amendes.

Rattraper l’enregistrement BSI. Le délai expire le 6 mars 2026. Le BSI a jusqu’à présent montré de la tolérance, mais la marge de manœuvre se rétrécit. L’enregistrement sur le portail BSI est la première étape, avant que toute autre preuve de conformité ne devienne pertinente.

Documenter les mesures de gestion des risques. Les dix catégories de l’art. 21 NIS2 doivent être mises en œuvre de manière vérifiable. Aucun registre de risques signifie dans le contexte d’un examen : aucune preuve. Aucune certification ISO 27001 complète n’est nécessaire, mais le document doit exister.

Activer le processus de déclaration. Qui est le contact BSI dans l’entreprise ? Existe-t-il une chaîne d’escalade écrite pour l’obligation de déclaration en 24h en cas d’incidents significatifs ? Connaître le portail de déclaration du BSI, communiquer en interne, désigner les responsables.

Évaluer les fournisseurs. Quels prestataires IT ont un accès direct aux systèmes critiques ? La sécurité de la chaîne d’approvisionnement n’est pas un élément optionnel, mais fait partie de l’analyse des risques. Obtenir des preuves écrites de sécurité des fournisseurs clés.

Foire aux questions

Qu’est-ce qui est considéré comme « entité particulièrement importante » selon NIS2 ?

Les entités particulièrement importantes (essential entities) sont des entreprises dans des secteurs de haute criticité (annexe 1 BSIG) avec au moins 250 employés ou 50 Mio. EUR de chiffre d’affaires annuel et 43 Mio. EUR de bilan total. Pour elles s’applique le cadre des amendes plus élevé de jusqu’à 10 Mio. EUR ou 2 % du chiffre d’affaires mondial, selon le montant le plus élevé. Les entités importantes (important entities) de l’annexe 2

Qu’est-ce que l’obligation de déclaration en 24 heures en détail ?

En cas d’incident de sécurité significatif – défini comme un incident ayant des impacts importants sur le service – une première déclaration doit être faite au BSI dans les 24 heures. Dans les 72 heures suit une évaluation plus détaillée, et après un mois un rapport final. La déclaration se fait via le portail de déclaration du BSI. Un « incident significatif » est un terme que le BSI précisera davantage – en cas de doute : déclarez, n’attendez pas.

Les fournisseurs doivent-ils eux-mêmes être conformes au NIS2 ?

Pas nécessairement sous la forme que les fournisseurs doivent être eux-mêmes enregistrés. Mais les entités réglementées sont tenues d’évaluer et de gérer les risques de sécurité dans leur chaîne d’approvisionnement. Cela signifie : preuves écrites des pratiques de sécurité des prestataires de services IT avec un accès critique, exigences contractuelles minimales et droits d’audit. Ce qui ne le fait pas, assume lui-même le risque de responsabilité.