6 min de lecture<\/p>\n
Le 6 mars 2026 marque la fin du d\u00e9lai d\u2019enregistrement pour NIS2, mettant ainsi un terme \u00e0 la phase de mise en place. Environ 29 000 \u00e9tablissements en Allemagne sont concern\u00e9s par la loi de transposition de NIS2, le BSI en \u00e9tant l\u2019autorit\u00e9 de surveillance centrale. L\u2019ann\u00e9e 2026 sera donc celle o\u00f9 la question ne sera plus de savoir si l\u2019on est enregistr\u00e9, mais si les mesures d\u00e9clar\u00e9es r\u00e9sistent \u00e0 un contr\u00f4le. Ceux qui auront bien pr\u00e9par\u00e9 leur conformit\u00e9 n\u2019auront pas de retard dans la comparaison europ\u00e9enne, mais une avance en termes de maturit\u00e9.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n En lien :<\/span>NIS2 entre en vigueur : premi\u00e8res proc\u00e9dures, responsabilit\u00e9 personnelle<\/a> \/<\/span> NIS2 : 29 500 entreprises allemandes concern\u00e9es par les contr\u00f4les<\/a><\/p>\n La loi de transposition de NIS2 a \u00e9t\u00e9 promulgu\u00e9e le 6 d\u00e9cembre 2025 et s\u2019applique depuis sans p\u00e9riode de transition. L\u2019obligation d\u2019enregistrement aupr\u00e8s du BSI a pris fin le 6 mars 2026. Les enregistrements tardifs restent possibles, mais cela ne change rien \u00e0 l\u2019essentiel : les obligations sont d\u00e9j\u00e0 en vigueur et l\u2019autorit\u00e9 de surveillance est op\u00e9rationnelle.<\/p>\n Qu\u2019est-ce que la phase de supervision NIS2 ?<\/strong> La phase de supervision est la p\u00e9riode qui suit l\u2019expiration du d\u00e9lai d\u2019enregistrement, durant laquelle le BSI contr\u00f4le activement la mise en \u0153uvre des mesures de s\u00e9curit\u00e9 l\u00e9gales. Il peut demander des justificatifs, d\u00e9clencher des audits, prendre des mesures et infliger des amendes en cas d\u2019infraction. L\u2019accent passe de l\u2019enregistrement formel \u00e0 l\u2019examen du contenu.<\/p>\n Pour les responsables de la s\u00e9curit\u00e9, cela modifie les priorit\u00e9s. Pendant la phase de mise en place, il s\u2019agissait de l\u2019exhaustivit\u00e9 de la d\u00e9claration. D\u00e9sormais, c\u2019est la robustesse qui compte : les mesures d\u00e9clar\u00e9es peuvent-elles \u00eatre prouv\u00e9es, les voies de signalement sont-elles test\u00e9es, la responsabilit\u00e9 est-elle document\u00e9e ?<\/p>\n La directive NIS2 \u00e9tablit un cadre europ\u00e9en que chaque \u00c9tat membre transpose dans son droit national. Les 18 secteurs concern\u00e9s et les deux cat\u00e9gories d\u2019entit\u00e9s sont d\u00e9j\u00e0 d\u00e9finis par la directive europ\u00e9enne. L\u2019Allemagne a toutefois durci le texte sur un point crucial : la responsabilit\u00e9 personnelle de la direction, qui peut aller, dans les cas graves, jusqu\u2019au retrait de l\u2019agr\u00e9ment. Cela peut \u00eatre interpr\u00e9t\u00e9 comme une charge suppl\u00e9mentaire. Une autre lecture est pourtant plus pertinente.<\/p>\n Les entreprises qui respectent les exigences allemandes satisfont de facto le standard minimal europ\u00e9en, et souvent avec une marge de s\u00e9curit\u00e9. Pour les soci\u00e9t\u00e9s actives dans plusieurs pays de l\u2019UE, c\u2019est un avantage pratique : un niveau de s\u00e9curit\u00e9 valable en Allemagne r\u00e9sistera g\u00e9n\u00e9ralement aux contr\u00f4les des autorit\u00e9s voisines. L\u2019effort suppl\u00e9mentaire apparent devient ainsi un d\u00e9nominateur commun.<\/p>\n Ce n\u2019est pas une raison pour se reposer sur ses lauriers, mais un argument contre le r\u00e9cit d\u2019une simple contrainte. Le niveau de maturit\u00e9 acquis aujourd\u2019hui portera ses fruits au-del\u00e0 des fronti\u00e8res allemandes.<\/p>\n Concr\u00e8tement, la supervision signifie que le BSI n\u2019a pas besoin d\u2019attendre un incident pour agir. Il peut exiger des preuves de mani\u00e8re cibl\u00e9e ou proactive, selon la classification de l\u2019entit\u00e9. Les responsables de la s\u00e9curit\u00e9 doivent donc pr\u00e9parer trois \u00e9l\u00e9ments.<\/p>\n Premi\u00e8rement, la capacit\u00e9 \u00e0 fournir des preuves : l\u2019analyse des risques, les mesures techniques et organisationnelles ainsi que leur efficacit\u00e9 doivent \u00eatre document\u00e9es et accessibles, pas seulement mises en \u0153uvre. Deuxi\u00e8mement, la cha\u00eene de signalement : les d\u00e9lais pour d\u00e9clarer un incident au BSI sont courts, et le processus doit \u00eatre rod\u00e9 avant de devoir \u00eatre appliqu\u00e9 en situation r\u00e9elle. Troisi\u00e8mement, la gouvernance : la direction engage sa responsabilit\u00e9 personnelle, donc la situation en mati\u00e8re de s\u00e9curit\u00e9 doit \u00eatre port\u00e9e au niveau de la direction, et pas seulement dans les services informatiques.<\/p>\n Aucun de ces points n\u2019est une nouveaut\u00e9. Ce qui change, c\u2019est que leur absence peut d\u00e9sormais avoir des cons\u00e9quences imm\u00e9diates.<\/p>\n Un enregistrement tardif aupr\u00e8s du BSI reste possible, mais ne cr\u00e9e pas d\u2019espace prot\u00e9g\u00e9. Les obligations l\u00e9gales s\u2019appliquent depuis la promulgation de la loi en d\u00e9cembre 2025, ind\u00e9pendamment du fait qu\u2019une entit\u00e9 se soit d\u00e9clar\u00e9e \u00e0 temps. Ceux qui rattrapent leur retard ne font donc que r\u00e9gulariser une formalit\u00e9, tandis que la responsabilit\u00e9 effective est d\u00e9j\u00e0 engag\u00e9e.<\/p>\n Concr\u00e8tement, pour les retardataires : d\u2019abord s\u2019enregistrer, puis \u00e9tablir rapidement la capacit\u00e9 \u00e0 fournir des preuves. Si un incident soumis \u00e0 d\u00e9claration survient avant que les mesures ne soient document\u00e9es, un enregistrement manquant ou tardif aggravera la situation. L\u2019ordre \u00e0 suivre n\u2019est donc pas une simple formalit\u00e9, mais une gestion des risques.<\/p>\n Le 6 mars 2026 marque la fin du d\u00e9lai pour s\u2019enregistrer aupr\u00e8s du BSI en tant qu\u2019entit\u00e9 concern\u00e9e. Les obligations elles-m\u00eames sont toutefois en vigueur depuis la promulgation de la loi le 6 d\u00e9cembre 2025. L\u2019accent est d\u00e9sormais mis sur la supervision : le BSI v\u00e9rifie si les mesures d\u00e9clar\u00e9es ont \u00e9t\u00e9 mises en \u0153uvre.<\/p>\n Environ 29 000 entit\u00e9s r\u00e9parties dans 18 secteurs sont soumises \u00e0 la loi, divis\u00e9es en entit\u00e9s essentielles et importantes. Cela inclut les nouvelles entreprises concern\u00e9es, les exploitants d\u2019infrastructures critiques ainsi que certaines institutions f\u00e9d\u00e9rales.<\/p>\n Pour les \u00e9tablissements particuli\u00e8rement importants, les amendes peuvent atteindre jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires annuel mondial, selon le montant le plus \u00e9lev\u00e9. Pour les \u00e9tablissements importants, ce plafond est moins \u00e9lev\u00e9. S\u2019ajoute \u00e0 cela la responsabilit\u00e9 personnelle de la direction, qui peut se voir retirer ses fonctions de surveillance dans les cas les plus graves.<\/p>\n L\u2019Allemagne a pr\u00e9cis\u00e9 la directive NIS2 au-del\u00e0 du standard minimal europ\u00e9en, notamment en mati\u00e8re de responsabilit\u00e9 personnelle des dirigeants, allant jusqu\u2019au retrait possible de la surveillance dans les cas extr\u00eames. Les entreprises qui respectent ces exigences couvrent g\u00e9n\u00e9ralement aussi le standard minimal europ\u00e9en.<\/p>\n Trois axes prioritaires : la tra\u00e7abilit\u00e9 des mesures de s\u00e9curit\u00e9, une cha\u00eene de signalement des incidents test\u00e9e et \u00e9prouv\u00e9e, et l\u2019ancrage de la responsabilit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 au niveau de la direction. Cette pr\u00e9paration d\u00e9terminera si un contr\u00f4le du BSI se d\u00e9roule sans incident.<\/p>\n Plus d’articles du r\u00e9seau MBF Media<\/p>\n\n
Le d\u00e9lai est \u00e9coul\u00e9, la supervision commence<\/h2>\n
Pourquoi la transposition allemande va au-del\u00e0 du standard minimal<\/h2>\n
Ce que signifie concr\u00e8tement la phase de supervision<\/h2>\n
Que faire en cas de d\u00e9passement du d\u00e9lai<\/h2>\n
Foire aux questions<\/h2>\n
Que signifie la fin du d\u00e9lai d\u2019enregistrement \u00e0 la NIS2 ?<\/h3>\n
Qui est concern\u00e9 par la NIS2 en Allemagne ?<\/h3>\n
Quelles sanctions encourent les entreprises en cas de manquement ?<\/h3>\n
Pourquoi la transposition allemande est-elle consid\u00e9r\u00e9e comme stricte ?<\/h3>\n
Quelles priorit\u00e9s les entreprises doivent-elles fixer d\u00e8s maintenant ?<\/h3>\n
Lectures recommand\u00e9es par la r\u00e9daction<\/h3>\n
\n