Qu’est-ce que NIS2 ? Définition, obligations et responsabilités
Qu’est-ce que la directive NIS2 ? La directive (UE) 2022/2555 relative à la cybersécurité, surnommée NIS2, est un acte législatif européen qui élargit le cadre de cybersécurité pour les infrastructures critiques et les services essentiels au sein de l’Union européenne. Elle impose aux organisations concernées de mettre en place une gestion des risques, des obligations de déclaration en cas d’incidents de sécurité, ainsi qu’une responsabilité personnelle des dirigeants.
Points clés
- Mise en œuvre : En Allemagne, la directive NIS2 s’applique via la loi de transposition NIS2 (NIS2UmsuCG), qui intègre les obligations dans la loi sur le BSI (BSIG).
- Cadre juridique : En Allemagne, les exigences de la directive sont directement applicables depuis décembre 2025, sans période de transition.
- Responsabilité : La direction est personnellement responsable en cas de manquement grave. Les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.
Ce que la directive NIS2 implique concrètement
La directive NIS2 modifie profondément le cadre réglementaire en matière de cybersécurité. Jusqu’à présent, les obligations se concentraient sur un groupe restreint d’infrastructures critiques. Désormais, NIS2 couvre un large éventail de secteurs économiques essentiels. En Allemagne, sa transposition s’effectue via la loi de mise en œuvre de la NIS2 (NIS2UmsuCG), qui intègre directement les obligations dans la loi sur le BSI (BSIG).
Un élément central réside dans l’absence de période de transition. Les exigences sont applicables en Allemagne depuis décembre 2025. À partir de cette date, les entités concernées doivent impérativement se conformer aux nouvelles règles. Il n’existe aucun délai durant lequel le respect des obligations serait simplement recommandé.
Les obligations s’articulent autour de trois piliers, définis à l’article 21 de la directive NIS2 et au paragraphe 30 du BSIG. Premièrement, une obligation d’enregistrement auprès du Bundesamt für Sicherheit in der Informationstechnik (BSI) s’applique. Deuxièmement, les incidents de sécurité majeurs doivent être signalés sans délai au BSI. Troisièmement, des mesures de gestion des risques doivent être mises en place et documentées. Cela inclut la gestion des risques de sécurité, la réponse aux crises et la sécurité de la chaîne d’approvisionnement.
Le respect de ces règles est également contrôlé via des sanctions financières. Pour les entités classées comme « particulièrement importantes », des amendes pouvant atteindre 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial de l’exercice précédent sont prévues. Le montant le plus élevé des deux est retenu.
Organisations concernées
Le cercle des organisations concernées par cette réglementation s’élargit considérablement. Dans le cadre réglementaire précédent, environ 4 500 entités étaient recensées en Allemagne. Avec la directive NIS2, ce nombre passe à environ 29 500. Cette augmentation s’explique par la division en deux catégories : les « entités essentielles » et les « entités importantes ». La classification repose sur la taille et l’importance stratégique de l’organisation dans son secteur d’activité.
Salariés à partir du seuil
Chiffre d’affaires annuel à partir du seuil
Secteurs régulés
Pour les entreprises de taille moyenne, qui échappaient souvent au cadre strict jusqu’à présent, la directive NIS2 introduit de nouveaux seuils. Une entreprise est soumise à ces obligations si elle emploie au moins 50 salariés ou réalise un chiffre d’affaires annuel de 10 millions d’euros. En outre, elle doit exercer son activité dans l’un des 18 secteurs définis, allant de l’énergie et des transports à la santé et à l’eau, en passant par les infrastructures numériques et l’administration publique.
La distinction entre les « entités essentielles » et les « entités importantes » détermine l’intensité de la supervision ainsi que le montant des sanctions. Les entités essentielles sont soumises à des exigences plus strictes et encourent des amendes plus élevées. Cependant, les « entités importantes » doivent également se conformer pleinement aux mesures techniques et organisationnelles prévues à l’article 21 de la directive NIS2. Aucune des deux catégories ne peut être exemptée de ces obligations fondamentales, dès lors que les seuils de taille ou de chiffre d’affaires sont atteints.
Par ailleurs, la responsabilité personnelle des dirigeants d’entreprise est renforcée. Selon le paragraphe 38 de la loi allemande sur la sécurité des systèmes d’information (BSIG), les organes de direction, c’est-à-dire les gérants ou les membres du conseil d’administration, doivent approuver les mesures de sécurité et en superviser la mise en œuvre. Ils sont également tenus de suivre des formations en cybersécurité. En cas de manquement grave à leurs obligations, ces dirigeants engagent leur responsabilité personnelle. Ainsi, la cybersécurité passe du département informatique à la direction générale et devient un enjeu de gouvernance.
Ce que les entreprises doivent vérifier dès maintenant
Les entreprises devraient d’abord analyser leur situation actuelle et déterminer si elles relèvent des catégories « importantes » ou « particulièrement importantes ». La première étape consiste à comparer leur effectif et leur chiffre d’affaires annuel avec les seuils de 50 salariés et 10 millions d’euros. Si ces critères sont remplis, il convient ensuite de vérifier si l’entreprise appartient à l’un des 18 secteurs réglementés.
Vérifier maintenant
- ✓Vérifier l’effectif et le chiffre d’affaires annuel par rapport aux seuils (50 employés, 10 millions d’euros)
- ✓Déterminer l’appartenance à l’un des 18 secteurs réglementés
- ✓Effectuer l’enregistrement auprès du BSI
- ✓Documenter les processus de sécurité conformément à l’article 21 de la directive NIS2
- ✓Définir les procédures de signalement des incidents majeurs
Une fois l’obligation de conformité établie, l’enregistrement auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) devient obligatoire. Le portail dédié du BSI est accessible depuis janvier 2026. Une inscription précoce est recommandée, car elle constitue la base de la communication avec les autorités compétentes. Parallèlement, les processus de sécurité existants doivent être évalués au regard des exigences de l’article 21 de la directive NIS2, y compris la documentation de toutes les mesures de gestion des risques.
Un autre point essentiel concerne les procédures de signalement des incidents de sécurité. Les entreprises doivent s’assurer que les incidents majeurs sont identifiés, évalués et signalés sans délai au BSI. Cela nécessite des voies d’escalade internes claires ainsi qu’une interface définie avec l’autorité. Enfin, la direction générale doit formaliser l’approbation et le suivi des mesures mises en place. Étant donné les risques de responsabilité personnelle encourus, les décisions et les participations aux formations des cadres dirigeants doivent être soigneusement documentées.
Différenciation avec les concepts apparentés
Le règlement NIS2 est souvent confondu avec le Digital Operational Resilience Act (DORA). Pourtant, leur nature juridique et leur champ d’application diffèrent clairement. DORA est un règlement, tandis que NIS2 est une directive. En tant que règlement, DORA s’applique directement et uniformément dans tous les États membres sans nécessiter de transposition nationale, alors que NIS2 est transposée par des lois nationales comme la NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) en Allemagne.
La distinction majeure réside dans leur secteur d’application. DORA cible exclusivement le secteur financier et encadre la résilience opérationnelle des banques, des assurances et des autres acteurs des marchés financiers. NIS2, en revanche, couvre non seulement le secteur financier, mais aussi l’énergie, la santé, les transports, les infrastructures numériques et d’autres domaines.
Dans le secteur financier, le principe de spécialité s’applique. Comme DORA constitue la réglementation spécifique au secteur financier, elle prime sur NIS2. Les entreprises financières doivent donc prioritairement se conformer aux exigences de DORA. Dans les domaines non couverts par DORA, les obligations de NIS2 peuvent néanmoins s’appliquer. Pour les entreprises en dehors du secteur financier, NIS2 reste l’instrument principal pour garantir la cybersécurité des réseaux et des systèmes d’information.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
Existe-t-il une période de transition pour la mise en œuvre de la directive NIS2 ?
Non. En Allemagne, ces exigences s’appliquent directement depuis décembre 2025. Aucune période de transition n’est prévue : les obligations deviennent contraignantes à compter de cette date.
Quels sont les montants maximaux des amendes pour les infrastructures critiques (KRITIS) ?
Jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial de l’exercice précédent. Le montant le plus élevé des deux s’applique.
Quand l’inscription auprès du BSI commence-t-elle ?
Le portail du BSI (Bundesamt für Sicherheit in der Informationstechnik) pour l’enregistrement est disponible depuis janvier 2026. Les établissements concernés doivent s’y inscrire dès que leurs obligations entrent en vigueur.
Quelle taille d’entreprise rend une entreprise soumise à la directive NIS2 ?
À partir de 50 salariés ou d’un chiffre d’affaires annuel de 10 millions d’euros, à condition que l’entreprise opère dans l’un des 18 secteurs réglementés. Pour certains services critiques, des entités plus petites peuvent également être concernées.
En quoi la directive NIS2 se distingue-t-elle du règlement DORA ?
DORA est un règlement directement applicable, réservé au seul secteur financier, tandis que la directive NIS2 s’applique à 18 secteurs et doit être transposée en droit national. Dans le domaine financier, DORA prime en tant que texte plus spécifique.
Les choix de la rédaction
À lireCinq postes qui nécessitent un budget avant le SIEMÀ lireCe que la direction générale doit documenter au titre de NIS2
Plus du réseau MBF Media
MyBusinessFutureLa surveillance de l’IA en Allemagne a maintenant une adresse


