Application de la NIS2 en 2026 : Phase de vérification du BSI et checklist DACH
6 min de lecture
Le 18 avril 2026, la première échéance NIS2‑Enforcement pour les établissements particulièrement importants a expiré en Belgique. En Allemagne, le délai d’enregistrement BSI est écoulé depuis le 6 mars 2026. Qui ne s’est pas enregistré d’ici là se retrouve désormais sous le feu d’un dispositif de surveillance qui prévoit des amendes jusqu’à 10 Mio. EUR ou 2 % du chiffre d’affaires annuel et peut rendre les dirigeants personnellement responsables. La vague d’Enforcement n’est plus une simple menace.
Les points clés en bref
- 29 500 établissements régulés en Allemagne. Le NIS2UmsuCG a étendu le champ allemand de 4 500 à 29 500 établissements. Beaucoup ignorent encore qu’ils sont concernés.
- Phase d’Enforcement active depuis mai 2026. La première échéance belge était le 18 avril 2026. Le BSI est en phase de contrôle opérationnel depuis mai 2026. L’Autriche suit avec une entrée en vigueur le 1 octobre 2026.
- Barème d’amendes : 10 Mio. EUR ou 2 %. Pour les établissements particulièrement importants. En Allemagne, cela s’accompagne d’une responsabilité personnelle des dirigeants jusqu’à 500 000 EUR – pas la personne morale, mais l’individu.
- 84 % non prêts. Selon CyberSmart (avril 2026), 84 % des organisations exposées à l’Enforcement ne sont pas prêtes à se conformer. L’écart entre les exigences réglementaires et la réalité opérationnelle ne s’est pas réduit.
Liens associésEU AI Act : systèmes à haut risque à partir du 2 août 2026 / BePrime‑Breach avril 2026 : le coût d’une MFA manquante
Ce que signifie concrètement la phase d’Enforcement
L’Enforcement n’est plus une phase d’orientation. En Allemagne, le délai d’enregistrement BSI pour les établissements régulés a expiré le 6 mars 2026. Qui ne s’est pas enregistré a manqué une obligation de délai. Dans le contexte NIS2, ce n’est pas une simple irrégularité formelle, mais une violation formelle – déjà passible d’une amende pouvant atteindre 100 000 EUR sans autre élément de fait.
En Belgique, le 18 avril 2026, la première obligation de preuve de conformité pour les établissements particulièrement importants a expiré. Conformité CyFun, certification ISO 27001 ou inspection directe par le Centre for Cybersecurity Belgium – l’une de ces preuves devait être fournie. Le modèle qui en ressort deviendra le point de référence en Allemagne, en Autriche et en Suisse. Ce qui constitue le standard minimal en Belgique s’imposera comme benchmark.
Le BSI a envoyé au quatrième trimestre 2025 des avertissements formels à 47 établissements pour absence d’enregistrement. Ce n’est pas une mesure définitive, mais le début d’une chaîne d’escalade. Depuis mai 2026, le BSI est en phase de contrôle opérationnel – les priorités sont le statut d’enregistrement, les mesures de gestion des risques selon l’art. 21 NIS2 et les processus de signalement des incidents.
Ce que NIS2 exige des entités régulées
Qu’est‑ce que le NIS2 ? La directive européenne sur la sécurité des réseaux et de l’information (NIS2, directive 2022/2555) impose des obligations contraignantes en matière de cybersécurité pour les secteurs critiques. Elle remplace la directive NIS de 2016, élargit considérablement le champ d’application et instaure un régime de sanctions uniforme avec responsabilité personnelle des dirigeants.
Le NIS2UmsuCG est en vigueur depuis le 6 décembre 2025. La « sécurité adéquate » souvent citée a été précisée par le ENISA Technical Implementation Guidance (juin 2025) – c’est la différence avec les anciens cadres de conformité qui laissaient davantage de marge d’interprétation. Qui prétend ne pas avoir eu de clarté sur ce qu’il fallait concrètement faire a un problème de recherche, pas de problème réglementaire.
L’article 21 du NIS2 définit dix catégories de mesures que chaque entité régulée doit mettre en œuvre et documenter. L’ENISA a précisé, au premier trimestre 2026, que l’authentification multifacteur (MFA) pour les accès privilégiés, les comptes d’accès à distance et les comptes fournisseurs est « pratiquement toujours appropriée » – la marge laissée par « where appropriate » n’existe plus vraiment.
Ce que beaucoup ont déjà
- Pare‑feu et protection des points de terminaison
- Routine de sauvegarde (souvent sans test de restauration)
- Gestion des correctifs – d’une manière ou d’une autre
- Antivirus sur les points de terminaison
- Politique de mot de passe de base
Ce qui manque généralement
- Plan d’intervention en cas d’incident documenté
- SMI avec registre des risques
- Processus de signalement BSI 24 h (point de contact, chaîne d’escalade)
- MFA sur tous les comptes privilégiés
- Analyse des risques de la chaîne d’approvisionnement pour les prestataires IT
Où en est le DACH dans la mise en œuvre
L’Allemagne a été l’un des derniers États membres de l’UE à mettre en œuvre la directive. Le NIS2UmsuCG est entré en vigueur le 6 décembre 2025, soit près de 15 mois après le délai de transposition européen. Entre l’adoption et l’application opérationnelle du BSI, les entreprises concernées n’ont disposé que d’environ 13 semaines – moins d’un trimestre pour mettre en place la gestion des risques, la documentation et l’enregistrement.
L’Autriche a adopté le NISG 2026 le 12 décembre 2025. Entrée en vigueur le 1 octobre 2026. Les entreprises autrichiennes concernées disposent ainsi d’une fenêtre courte pour établir leurs bases de conformité avant que la nouvelle autorité de surveillance – le Bureau fédéral de cybersécurité – ne passe en phase opérationnelle. Le champ d’application concerne environ 4 000 entreprises réparties dans 18 secteurs.
La Pologne, avec le KSC Act du 3 avril 2026, a réalisé l’une des transpositions les plus étendues de l’UE : 42 000 entités régulées, contre environ 400 auparavant. Ce n’est pas une erreur de frappe. Pour les chaînes d’approvisionnement germano‑polonaises et les partenaires de near‑shoring, cela implique une pression de conformité immédiate des deux côtés.
Suisse : non membre de l’UE, aucune obligation directe du NIS2. Pour les entreprises suisses qui fournissent des services informatiques aux entités européennes soumises au NIS2, une pression indirecte apparaît via les exigences de la chaîne d’approvisionnement imposées par leurs donneurs d’ordre.
Ce que les équipes IT doivent vérifier maintenant
Cinq étapes de travail couvrent les lacunes de conformité les plus fréquentes. Aucun de ces points n’exige la norme ISO 27001 – mais tous requièrent des preuves écrites.
Foire aux questions
Qu’est‑ce qui est considéré comme « établissement particulièrement important » selon le NIS2 ?
Les établissements particulièrement importants (essential entities) sont des entreprises dans des secteurs à haute criticité (annexe 1 du BSIG) comptant au moins 250 salariés ou 50 Mio EUR de chiffre d’affaires annuel et 43 Mio EUR de total du bilan. Elles sont soumises au cadre d’amende plus élevé, allant jusqu’à 10 Mio EUR ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les établissements importants (important entities) de l’annexe 2 ou avec des seuils plus bas bénéficient d’un plafond de 7 Mio EUR ou 1,4 %.
Quel est le coût concret de manquer le délai d’enregistrement au BSI ?
Le NIS2UmsuCG prévoit, en cas de non‑enregistrement auprès du BSI, une amende forfaitaire pouvant atteindre 100 000 EUR – indépendamment du chiffre d’affaires. Il ne s’agit pas d’un pourcentage du chiffre d’affaires, mais d’une infraction en soi. De plus, le BSI peut formuler une demande d’information et, en l’absence de coopération, engager des mesures supplémentaires.
Le NIS2 s’applique‑t‑il également aux entreprises suisses ?
Pas directement. La Suisse n’est pas membre de l’UE. Toutefois, les entreprises suisses qui agissent en tant que prestataires IT pour des établissements de l’UE soumis au NIS2 sont soumises aux exigences de la chaîne d’approvisionnement imposées par leurs donneurs d’ordre. Qui exploite des systèmes pour un hôpital allemand, un fournisseur d’énergie ou une administration doit s’attendre à ce que le donneur d’ordre exige des preuves de sécurité.
Quel est le détail de l’obligation de déclaration sous 24 heures ?
En cas d’incident de sécurité significatif – défini comme un incident ayant des répercussions importantes sur le service – une première notification doit être faite au BSI dans les 24 heures. Dans les 72 heures, suit une évaluation plus détaillée, puis, après un mois, un rapport final. La notification se fait via le portail de signalement du BSI. Un « incident significatif » est un terme que le BSI précisera davantage – en cas de doute, il faut signaler, ne pas attendre.
Les fournisseurs doivent-ils être eux-mêmes conformes à la NIS2 ?
Pas nécessairement au point que les fournisseurs doivent être enregistrés eux-mêmes. Mais les entités réglementées sont tenues d’évaluer et de gérer les risques de sécurité dans leur chaîne d’approvisionnement. Cela signifie : des preuves écrites des pratiques de sécurité des prestataires informatiques ayant un accès critique, des exigences contractuelles minimales et des droits d’audit. Qui ne le fait pas assume lui-même le risque de responsabilité.
Plus du réseau MBF Media
- cloudmagazin : BSI‑KRITIS et utilisation du cloud – conformité multi‑cloud sous NIS2 et C5
- MyBusinessFuture : CSRD après l’Omnibus UE 2026 – qui est encore soumis à l’obligation de reporting
- Digital Chiefs : De l’opérateur à l’orchestrateur – étude Deloitte 2026 pour les dirigeants DACH
Photo : Pexels / cottonbro studio
Source image de titre : Wikimedia Commons / gratte-ciel (CC BY-SA 3.0)
