NIS2 après l’échéance : c’est maintenant que commence la supervision de la BSI

6 min de lecture

Le 6 mars 2026 marque la fin du délai d’enregistrement pour NIS2, mettant ainsi un terme à la phase de mise en place. Environ 29 000 établissements en Allemagne sont concernés par la loi de transposition de NIS2, le BSI en étant l’autorité de surveillance centrale. L’année 2026 sera donc celle où la question ne sera plus de savoir si l’on est enregistré, mais si les mesures déclarées résistent à un contrôle. Ceux qui auront bien préparé leur conformité n’auront pas de retard dans la comparaison européenne, mais une avance en termes de maturité.

Les points clés en bref

Le cap change. Avec l’expiration du délai d’enregistrement le 6 mars 2026, l’accent passe de l’inscription à la supervision. Le BSI peut désormais contrôler, ordonner et sanctionner.
La responsabilité est personnelle. Pour les entités particulièrement importantes, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. S’y ajoute la responsabilité personnelle de la direction.
Une maturité précoce paie. Ceux qui remplissent dès maintenant leurs obligations de manière rigoureuse sont préparés à la prochaine vague de contrôles et couvrent de toute façon le standard minimal européen.

En lien :NIS2 entre en vigueur : premières procédures, responsabilité personnelle / NIS2 : 29 500 entreprises allemandes concernées par les contrôles

Le délai est écoulé, la supervision commence

La loi de transposition de NIS2 a été promulguée le 6 décembre 2025 et s’applique depuis sans période de transition. L’obligation d’enregistrement auprès du BSI a pris fin le 6 mars 2026. Les enregistrements tardifs restent possibles, mais cela ne change rien à l’essentiel : les obligations sont déjà en vigueur et l’autorité de surveillance est opérationnelle.

Qu’est-ce que la phase de supervision NIS2 ? La phase de supervision est la période qui suit l’expiration du délai d’enregistrement, durant laquelle le BSI contrôle activement la mise en œuvre des mesures de sécurité légales. Il peut demander des justificatifs, déclencher des audits, prendre des mesures et infliger des amendes en cas d’infraction. L’accent passe de l’enregistrement formel à l’examen du contenu.

Pour les responsables de la sécurité, cela modifie les priorités. Pendant la phase de mise en place, il s’agissait de l’exhaustivité de la déclaration. Désormais, c’est la robustesse qui compte : les mesures déclarées peuvent-elles être prouvées, les voies de signalement sont-elles testées, la responsabilité est-elle documentée ?

rund 29.000

établissements en Allemagne sont concernés par NIS2, répartis dans 18 secteurs et deux catégories.

Source : BSI / NIS2-Umsetzungsgesetz

Pourquoi la transposition allemande va au-delà du standard minimal

La directive NIS2 établit un cadre européen que chaque État membre transpose dans son droit national. Les 18 secteurs concernés et les deux catégories d’entités sont déjà définis par la directive européenne. L’Allemagne a toutefois durci le texte sur un point crucial : la responsabilité personnelle de la direction, qui peut aller, dans les cas graves, jusqu’au retrait de l’agrément. Cela peut être interprété comme une charge supplémentaire. Une autre lecture est pourtant plus pertinente.

Les entreprises qui respectent les exigences allemandes satisfont de facto le standard minimal européen, et souvent avec une marge de sécurité. Pour les sociétés actives dans plusieurs pays de l’UE, c’est un avantage pratique : un niveau de sécurité valable en Allemagne résistera généralement aux contrôles des autorités voisines. L’effort supplémentaire apparent devient ainsi un dénominateur commun.

Ce n’est pas une raison pour se reposer sur ses lauriers, mais un argument contre le récit d’une simple contrainte. Le niveau de maturité acquis aujourd’hui portera ses fruits au-delà des frontières allemandes.

Ce que signifie concrètement la phase de supervision

Concrètement, la supervision signifie que le BSI n’a pas besoin d’attendre un incident pour agir. Il peut exiger des preuves de manière ciblée ou proactive, selon la classification de l’entité. Les responsables de la sécurité doivent donc préparer trois éléments.

Premièrement, la capacité à fournir des preuves : l’analyse des risques, les mesures techniques et organisationnelles ainsi que leur efficacité doivent être documentées et accessibles, pas seulement mises en œuvre. Deuxièmement, la chaîne de signalement : les délais pour déclarer un incident au BSI sont courts, et le processus doit être rodé avant de devoir être appliqué en situation réelle. Troisièmement, la gouvernance : la direction engage sa responsabilité personnelle, donc la situation en matière de sécurité doit être portée au niveau de la direction, et pas seulement dans les services informatiques.

Aucun de ces points n’est une nouveauté. Ce qui change, c’est que leur absence peut désormais avoir des conséquences immédiates.

Calendrier NIS2 en Allemagne

06.12.2025

La loi de transposition de la NIS2 est promulguée et entre en vigueur sans période transitoire.

06.03.2026

La période d’enregistrement auprès du BSI prend fin, les déclarations tardives restent possibles.

à partir de 2026

Phase de supervision : le BSI vérifie les mesures, demande des preuves et peut sanctionner.

Que faire en cas de dépassement du délai

Un enregistrement tardif auprès du BSI reste possible, mais ne crée pas d’espace protégé. Les obligations légales s’appliquent depuis la promulgation de la loi en décembre 2025, indépendamment du fait qu’une entité se soit déclarée à temps. Ceux qui rattrapent leur retard ne font donc que régulariser une formalité, tandis que la responsabilité effective est déjà engagée.

Concrètement, pour les retardataires : d’abord s’enregistrer, puis établir rapidement la capacité à fournir des preuves. Si un incident soumis à déclaration survient avant que les mesures ne soient documentées, un enregistrement manquant ou tardif aggravera la situation. L’ordre à suivre n’est donc pas une simple formalité, mais une gestion des risques.

Foire aux questions

Que signifie la fin du délai d’enregistrement à la NIS2 ?

Le 6 mars 2026 marque la fin du délai pour s’enregistrer auprès du BSI en tant qu’entité concernée. Les obligations elles-mêmes sont toutefois en vigueur depuis la promulgation de la loi le 6 décembre 2025. L’accent est désormais mis sur la supervision : le BSI vérifie si les mesures déclarées ont été mises en œuvre.

Qui est concerné par la NIS2 en Allemagne ?

Environ 29 000 entités réparties dans 18 secteurs sont soumises à la loi, divisées en entités essentielles et importantes. Cela inclut les nouvelles entreprises concernées, les exploitants d’infrastructures critiques ainsi que certaines institutions fédérales.

Quelles sanctions encourent les entreprises en cas de manquement ?

Pour les établissements particulièrement importants, les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Pour les établissements importants, ce plafond est moins élevé. S’ajoute à cela la responsabilité personnelle de la direction, qui peut se voir retirer ses fonctions de surveillance dans les cas les plus graves.

Pourquoi la transposition allemande est-elle considérée comme stricte ?

L’Allemagne a précisé la directive NIS2 au-delà du standard minimal européen, notamment en matière de responsabilité personnelle des dirigeants, allant jusqu’au retrait possible de la surveillance dans les cas extrêmes. Les entreprises qui respectent ces exigences couvrent généralement aussi le standard minimal européen.

Quelles priorités les entreprises doivent-elles fixer dès maintenant ?

Trois axes prioritaires : la traçabilité des mesures de sécurité, une chaîne de signalement des incidents testée et éprouvée, et l’ancrage de la responsabilité en matière de sécurité au niveau de la direction. Cette préparation déterminera si un contrôle du BSI se déroule sans incident.