6\u202fmin de lecture<\/p>\n\n
Le 18\u202favril\u202f2026, la premi\u00e8re \u00e9ch\u00e9ance NIS2\u2011Enforcement pour les \u00e9tablissements particuli\u00e8rement importants a expir\u00e9 en Belgique. En Allemagne, le d\u00e9lai d\u2019enregistrement BSI est \u00e9coul\u00e9 depuis le 6\u202fmars\u202f2026. Qui ne s\u2019est pas enregistr\u00e9 d\u2019ici l\u00e0 se retrouve d\u00e9sormais sous le feu d\u2019un dispositif de surveillance qui pr\u00e9voit des amendes jusqu\u2019\u00e0 10\u202fMio.\u202fEUR ou 2\u202f% du chiffre d\u2019affaires annuel et peut rendre les dirigeants personnellement responsables. La vague d\u2019Enforcement n\u2019est plus une simple menace.<\/strong><\/p>\n\n Les points cl\u00e9s en bref<\/p>\n Liens associ\u00e9s<\/span>EU AI Act\u202f: syst\u00e8mes \u00e0 haut risque \u00e0 partir du 2\u202fao\u00fbt\u202f2026<\/a> \/<\/span> BePrime\u2011Breach avril\u202f2026\u202f: le co\u00fbt d\u2019une MFA manquante<\/a><\/p>\n\n L\u2019Enforcement n\u2019est plus une phase d\u2019orientation. En Allemagne, le d\u00e9lai d\u2019enregistrement BSI pour les \u00e9tablissements r\u00e9gul\u00e9s a expir\u00e9 le 6\u202fmars\u202f2026. Qui ne s\u2019est pas enregistr\u00e9 a manqu\u00e9 une obligation de d\u00e9lai. Dans le contexte NIS2, ce n\u2019est pas une simple irr\u00e9gularit\u00e9 formelle, mais une violation formelle \u2013 d\u00e9j\u00e0 passible d\u2019une amende pouvant atteindre 100\u202f000\u202fEUR sans autre \u00e9l\u00e9ment de fait.<\/p>\n En Belgique, le 18\u202favril\u202f2026, la premi\u00e8re obligation de preuve de conformit\u00e9 pour les \u00e9tablissements particuli\u00e8rement importants a expir\u00e9. Conformit\u00e9 CyFun, certification ISO\u202f27001 ou inspection directe par le Centre for Cybersecurity Belgium \u2013 l\u2019une de ces preuves devait \u00eatre fournie. Le mod\u00e8le qui en ressort deviendra le point de r\u00e9f\u00e9rence en Allemagne, en Autriche et en Suisse. Ce qui constitue le standard minimal en Belgique s\u2019imposera comme benchmark.<\/p>\n Le BSI a envoy\u00e9 au quatri\u00e8me trimestre\u202f2025 des avertissements formels \u00e0 47 \u00e9tablissements pour absence d\u2019enregistrement. Ce n\u2019est pas une mesure d\u00e9finitive, mais le d\u00e9but d\u2019une cha\u00eene d\u2019escalade. Depuis mai\u202f2026, le BSI est en phase de contr\u00f4le op\u00e9rationnel \u2013 les priorit\u00e9s sont le statut d\u2019enregistrement, les mesures de gestion des risques selon l\u2019art.\u202f21\u202fNIS2 et les processus de signalement des incidents.<\/p>\n\n Qu\u2019est\u2011ce que le NIS2\u202f?<\/strong> La directive europ\u00e9enne sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l\u2019information (NIS2, directive 2022\/2555) impose des obligations contraignantes en mati\u00e8re de cybers\u00e9curit\u00e9 pour les secteurs critiques. Elle remplace la directive NIS de 2016, \u00e9largit consid\u00e9rablement le champ d\u2019application et instaure un r\u00e9gime de sanctions uniforme avec responsabilit\u00e9 personnelle des dirigeants.<\/p>\n Le NIS2UmsuCG est en vigueur depuis le 6\u202fd\u00e9cembre\u202f2025. La \u00ab\u202fs\u00e9curit\u00e9 ad\u00e9quate\u202f\u00bb souvent cit\u00e9e a \u00e9t\u00e9 pr\u00e9cis\u00e9e par le ENISA Technical Implementation Guidance (juin\u202f2025) \u2013 c\u2019est la diff\u00e9rence avec les anciens cadres de conformit\u00e9 qui laissaient davantage de marge d\u2019interpr\u00e9tation. Qui pr\u00e9tend ne pas avoir eu de clart\u00e9 sur ce qu\u2019il fallait concr\u00e8tement faire a un probl\u00e8me de recherche, pas de probl\u00e8me r\u00e9glementaire.<\/p>\n L\u2019article\u202f21 du NIS2 d\u00e9finit dix cat\u00e9gories de mesures que chaque entit\u00e9 r\u00e9gul\u00e9e doit mettre en \u0153uvre et documenter. L\u2019ENISA a pr\u00e9cis\u00e9, au premier trimestre\u202f2026, que l\u2019authentification multifacteur (MFA) pour les acc\u00e8s privil\u00e9gi\u00e9s, les comptes d\u2019acc\u00e8s \u00e0 distance et les comptes fournisseurs est \u00ab\u202fpratiquement toujours appropri\u00e9e\u202f\u00bb \u2013 la marge laiss\u00e9e par \u00ab\u202fwhere appropriate\u202f\u00bb n\u2019existe plus vraiment.<\/p>\n\n Ce que beaucoup ont d\u00e9j\u00e0<\/p>\n Ce qui manque g\u00e9n\u00e9ralement<\/p>\n L\u2019Allemagne a \u00e9t\u00e9 l\u2019un des derniers \u00c9tats membres de l\u2019UE \u00e0 mettre en \u0153uvre la directive. Le NIS2UmsuCG est entr\u00e9 en vigueur le 6\u202fd\u00e9cembre\u202f2025, soit pr\u00e8s de 15\u202fmois apr\u00e8s le d\u00e9lai de transposition europ\u00e9en. Entre l\u2019adoption et l\u2019application op\u00e9rationnelle du BSI, les entreprises concern\u00e9es n\u2019ont dispos\u00e9 que d\u2019environ 13\u202fsemaines \u2013 moins d\u2019un trimestre pour mettre en place la gestion des risques, la documentation et l\u2019enregistrement.<\/p>\n L\u2019Autriche a adopt\u00e9 le NISG\u202f2026 le 12\u202fd\u00e9cembre\u202f2025. Entr\u00e9e en vigueur le 1\u202foctobre\u202f2026. Les entreprises autrichiennes concern\u00e9es disposent ainsi d\u2019une fen\u00eatre courte pour \u00e9tablir leurs bases de conformit\u00e9 avant que la nouvelle autorit\u00e9 de surveillance \u2013 le Bureau f\u00e9d\u00e9ral de cybers\u00e9curit\u00e9 \u2013 ne passe en phase op\u00e9rationnelle. Le champ d\u2019application concerne environ 4\u202f000 entreprises r\u00e9parties dans 18\u202fsecteurs.<\/p>\n La Pologne, avec le KSC Act du 3\u202favril\u202f2026, a r\u00e9alis\u00e9 l\u2019une des transpositions les plus \u00e9tendues de l\u2019UE\u202f: 42\u202f000 entit\u00e9s r\u00e9gul\u00e9es, contre environ 400 auparavant. Ce n\u2019est pas une erreur de frappe. Pour les cha\u00eenes d\u2019approvisionnement germano\u2011polonaises et les partenaires de near\u2011shoring, cela implique une pression de conformit\u00e9 imm\u00e9diate des deux c\u00f4t\u00e9s.<\/p>\n Suisse\u202f: non membre de l\u2019UE, aucune obligation directe du NIS2. Pour les entreprises suisses qui fournissent des services informatiques aux entit\u00e9s europ\u00e9ennes soumises au NIS2, une pression indirecte appara\u00eet via les exigences de la cha\u00eene d\u2019approvisionnement impos\u00e9es par leurs donneurs d\u2019ordre.<\/p>\n Cinq \u00e9tapes de travail couvrent les lacunes de conformit\u00e9 les plus fr\u00e9quentes. Aucun de ces points n’exige la norme ISO\u202f27001 \u2013 mais tous requi\u00e8rent des preuves \u00e9crites.<\/p>\n\n Les \u00e9tablissements particuli\u00e8rement importants (essential entities) sont des entreprises dans des secteurs \u00e0 haute criticit\u00e9 (annexe\u202f1 du BSIG) comptant au moins 250 salari\u00e9s ou 50\u202fMio\u202fEUR de chiffre d\u2019affaires annuel et 43\u202fMio\u202fEUR de total du bilan. Elles sont soumises au cadre d\u2019amende plus \u00e9lev\u00e9, allant jusqu\u2019\u00e0 10\u202fMio\u202fEUR ou 2\u202f% du chiffre d\u2019affaires annuel mondial, selon le montant le plus \u00e9lev\u00e9. Les \u00e9tablissements importants (important entities) de l\u2019annexe\u202f2 ou avec des seuils plus bas b\u00e9n\u00e9ficient d\u2019un plafond de 7\u202fMio\u202fEUR ou 1,4\u202f%.<\/p>\n\n Le NIS2UmsuCG pr\u00e9voit, en cas de non\u2011enregistrement aupr\u00e8s du BSI, une amende forfaitaire pouvant atteindre 100\u202f000\u202fEUR \u2013 ind\u00e9pendamment du chiffre d\u2019affaires. Il ne s\u2019agit pas d\u2019un pourcentage du chiffre d\u2019affaires, mais d\u2019une infraction en soi. De plus, le BSI peut formuler une demande d\u2019information et, en l\u2019absence de coop\u00e9ration, engager des mesures suppl\u00e9mentaires.<\/p>\n\n Pas directement. La Suisse n\u2019est pas membre de l\u2019UE. Toutefois, les entreprises suisses qui agissent en tant que prestataires IT pour des \u00e9tablissements de l\u2019UE soumis au NIS2 sont soumises aux exigences de la cha\u00eene d\u2019approvisionnement impos\u00e9es par leurs donneurs d\u2019ordre. Qui exploite des syst\u00e8mes pour un h\u00f4pital allemand, un fournisseur d\u2019\u00e9nergie ou une administration doit s\u2019attendre \u00e0 ce que le donneur d\u2019ordre exige des preuves de s\u00e9curit\u00e9.<\/p>\n En cas d\u2019incident de s\u00e9curit\u00e9 significatif \u2013 d\u00e9fini comme un incident ayant des r\u00e9percussions importantes sur le service \u2013 une premi\u00e8re notification doit \u00eatre faite au BSI dans les 24\u202fheures. Dans les 72\u202fheures, suit une \u00e9valuation plus d\u00e9taill\u00e9e, puis, apr\u00e8s un mois, un rapport final. La notification se fait via le portail de signalement du BSI. Un \u00ab\u202fincident significatif\u202f\u00bb est un terme que le BSI pr\u00e9cisera davantage \u2013 en cas de doute, il faut signaler, ne pas attendre.<\/p>\n\n Pas n\u00e9cessairement au point que les fournisseurs doivent \u00eatre enregistr\u00e9s eux-m\u00eames. Mais les entit\u00e9s r\u00e9glement\u00e9es sont tenues d\u2019\u00e9valuer et de g\u00e9rer les risques de s\u00e9curit\u00e9 dans leur cha\u00eene d\u2019approvisionnement. Cela signifie\u202f: des preuves \u00e9crites des pratiques de s\u00e9curit\u00e9 des prestataires informatiques ayant un acc\u00e8s critique, des exigences contractuelles minimales et des droits d\u2019audit. Qui ne le fait pas assume lui-m\u00eame le risque de responsabilit\u00e9.<\/p>\n\n Photo\u202f: Pexels \/ cottonbro studio<\/p>\n\n Source image de titre\u202f: Wikimedia Commons \/ gratte-ciel (CC BY-SA 3.0)<\/em><\/p>","protected":false},"excerpt":{"rendered":"Le BSI est en phase de v\u00e9rification op\u00e9rationnelle depuis mai 2026. Ce que la","protected":false},"author":8,"featured_media":13800,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"entreprises application NIS2","_yoast_wpseo_title":"Application de la NIS2 en 2026 : Phase de v\u00e9rification du BSI et checklist DACH","_yoast_wpseo_metadesc":"BSI-Application \u00e0 partir de mai 2026 : amendes jusqu'\u00e0 10 Mio EUR, obligation d'enregistrement et checkliste de conformit\u00e9 NIS2 pour \u00e9tablissements DACH.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-enforcement-welle-q2-2026-erste-eu-verfahren-laufen-was-dach-unternehmen-bei-der-eigenen-compliance-jetzt-pruefen-muessen-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-enforcement-welle-q2-2026-erste-eu-verfahren-laufen-was-dach-unternehmen-bei-der-eigenen-compliance-jetzt-pruefen-muessen-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-13827","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":10,"wpml_language":"fr","wpml_translation_of":13796,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=13827"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13827\/revisions"}],"predecessor-version":[{"id":16545,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13827\/revisions\/16545"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/13800"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=13827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=13827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=13827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Ce que signifie concr\u00e8tement la phase d’Enforcement<\/h2>\n
Ce que NIS2 exige des entit\u00e9s r\u00e9gul\u00e9es<\/h2>\n
\n
\n
O\u00f9 en est le DACH dans la mise en \u0153uvre<\/h2>\n
Ce que les \u00e9quipes IT doivent v\u00e9rifier maintenant<\/h2>\n
Foire aux questions<\/h2>\n\n
Qu\u2019est\u2011ce qui est consid\u00e9r\u00e9 comme \u00ab\u202f\u00e9tablissement particuli\u00e8rement important\u202f\u00bb selon le NIS2\u202f?<\/h3>\n
Quel est le co\u00fbt concret de manquer le d\u00e9lai d\u2019enregistrement au BSI\u202f?<\/h3>\n
Le NIS2 s\u2019applique\u2011t\u2011il \u00e9galement aux entreprises suisses\u202f?<\/h3>\n
Quel est le d\u00e9tail de l\u2019obligation de d\u00e9claration sous 24\u202fheures\u202f?<\/h3>\n
Les fournisseurs doivent-ils \u00eatre eux-m\u00eames conformes \u00e0 la NIS2\u202f?<\/h3>\n
Plus du r\u00e9seau MBF Media<\/h3>\n
\n