{"id":8594,"date":"2026-03-14T09:00:00","date_gmt":"2026-03-14T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5529\/"},"modified":"2026-05-10T19:08:28","modified_gmt":"2026-05-10T19:08:28","slug":"laudit-nis2-comment-les-entreprises-se-preparent-a-leur-premiere-inspection","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/03\/14\/laudit-nis2-comment-les-entreprises-se-preparent-a-leur-premiere-inspection\/","title":{"rendered":"L\u2019audit NIS2 : comment les entreprises se pr\u00e9parent \u00e0 leur premi\u00e8re inspection"},"content":{"rendered":"<p><span style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em\">8 min de lecture<\/span><\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>48 % des entreprises concern\u00e9es ne savent m\u00eame pas avec certitude si elles rel\u00e8vent de NIS2. Seulement 12,1 % avaient pleinement mis en \u0153uvre les exigences \u00e0 l\u2019entr\u00e9e en vigueur en d\u00e9cembre 2025. Pourtant, la loi s\u2019applique sans p\u00e9riode de transition. Et la responsabilit\u00e9 personnelle des dirigeants sur leur patrimoine priv\u00e9 n\u2019est pas n\u00e9gociable : aucune d\u00e9cision des associ\u00e9s ne peut l\u2019exclure. Les premi\u00e8res inspections du BSI sont d\u00e9j\u00e0 en cours. Ce que les auditeurs d\u00e9couvrent et ce que les entreprises doivent faire maintenant.<\/strong><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">L&rsquo;essentiel<\/h2>\n<ul>\n<li><strong>Niveau de pr\u00e9paration :<\/strong> seules 12,1 % des entreprises concern\u00e9es avaient pleinement mis en \u0153uvre NIS2 \u00e0 son entr\u00e9e en vigueur, 48 % ignorent s\u2019il s\u2019applique \u00e0 elles<\/li>\n<li><strong>10 mesures obligatoires :<\/strong> l\u2019article 30 du BSIG d\u00e9finit dix mesures minimales, de l\u2019analyse des risques \u00e0 la gestion des incidents en passant par l\u2019authentification multifacteur (MFA), toutes devant \u00eatre document\u00e9es et v\u00e9rifiables<\/li>\n<li><strong>Responsabilit\u00e9 personnelle :<\/strong> les dirigeants sont personnellement responsables sur leur patrimoine priv\u00e9 selon l\u2019article 38 du BSIG, tout renoncement \u00e0 cette responsabilit\u00e9 \u00e9tant exclu par la loi<\/li>\n<li><strong>Amendes :<\/strong> jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires mondial annuel pour les \u00e9tablissements particuli\u00e8rement importants<\/li>\n<li><strong>\u00c9cart avec ISO 27001 :<\/strong> couvre 70 \u00e0 80 % des exigences NIS2, trois lacunes critiques subsistent : obligations de d\u00e9claration, responsabilit\u00e9 des dirigeants et champ d\u2019application \u00e0 l\u2019ensemble de l\u2019entreprise<\/li>\n<\/ul>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Le BSI contr\u00f4le : ce que r\u00e9v\u00e8lent les premiers audits<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Depuis janvier 2026, le BSI (Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 informatique) a progressivement entam\u00e9 ses activit\u00e9s de surveillance. Le portail d\u2019enregistrement a \u00e9t\u00e9 activ\u00e9 le 6 janvier 2026, et le d\u00e9lai d\u2019enregistrement a expir\u00e9 le 6 mars 2026. Plus de 30 000 entreprises en Allemagne sont class\u00e9es comme \u00e9tablissements particuli\u00e8rement importants ou importants et doivent respecter les exigences.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Le BSI identifie les entreprises concern\u00e9es via plusieurs canaux : registres du commerce et des soci\u00e9t\u00e9s, associations professionnelles, d\u00e9clarations volontaires et coop\u00e9ration avec les r\u00e9gulateurs sectoriels tels que la Bundesnetzagentur (\u00e9nergie) et le BfArM (sant\u00e9). La proc\u00e9dure d\u2019escalade est progressive : invitation informelle \u00e0 s\u2019enregistrer, demande \u00e9crite formelle en cas de non-r\u00e9action, proc\u00e9dure administrative, puis amendes assorties d\u2019une publication publique.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les premi\u00e8res exp\u00e9riences pratiques issues des audits du BSI r\u00e9v\u00e8lent trois lacunes critiques r\u00e9currentes. Premi\u00e8rement : le processus de d\u00e9claration est document\u00e9, mais non op\u00e9rationnel. Les entreprises disposent de plans de r\u00e9ponse aux incidents, mais personne ne peut nommer concr\u00e8tement, dans la pratique, le contact BSI comp\u00e9tent dans l\u2019heure. Aucun exercice r\u00e9el, aucun test en conditions r\u00e9elles et sous pression temporelle. Deuxi\u00e8mement : <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/02\/26\/post_id-5519\/\">les points aveugles de la cha\u00eene d\u2019approvisionnement<\/a> &#8211; un fournisseur d\u2019interface ERP \u00e2g\u00e9 de huit ans a \u00e9t\u00e9 chang\u00e9, sans documentation sur les droits d\u2019acc\u00e8s ni sur le statut actuel de s\u00e9curit\u00e9. Troisi\u00e8mement : une gestion fragment\u00e9e des journaux (logs) &#8211; les logs sont conserv\u00e9s 30 jours sur les \u00e9quipements locaux, au lieu d\u2019\u00eatre agr\u00e9g\u00e9s de mani\u00e8re centralis\u00e9e. Le BSI exige une infrastructure centralis\u00e9e de gestion des logs.<\/p>\n<div style=\"background:#0a1628;border-radius:12px;padding:32px;margin:40px 0;\">\n<div style=\"display:flex;justify-content:space-around;text-align:center;flex-wrap:wrap;gap:20px;\">\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">12,1%<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">avaient mis en \u0153uvre NIS2 d\u00e8s le lancement<\/div>\n<\/div>\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">48%<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">ne savent pas s\u2019ils sont concern\u00e9s<\/div>\n<\/div>\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">10 Mio. EUR<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">Amende maximale<\/div>\n<\/div>\n<\/div>\n<\/div>\n<p style=\"color:rgba(0,0,0,0.5);font-size:0.8em;text-align:right;margin-top:-30px;margin-bottom:30px;\">Sources : \u00c9tude Proliance 2025, Rapport Cyber Security Schwarz Digits 2026, NIS2UmsuCG \u00a730 BSIG<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Les 10 mesures obligatoires : ce que l\u2019article 30 du BSIG exige<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">L\u2019article 30, paragraphe 2 du BSIG d\u00e9finit dix mesures minimales que tous les \u00e9tablissements concern\u00e9s doivent imp\u00e9rativement mettre en \u0153uvre et pouvoir justifier. Les mesures doivent \u00eatre proportionn\u00e9es &#8211; la taille, le profil de risque et les impacts potentiels de l\u2019entreprise sont pris en compte. Mais \u00ab proportionn\u00e9 \u00bb ne signifie pas \u00ab facultatif \u00bb.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesure 1 : Analyse des risques et concepts de s\u00e9curit\u00e9 informatique.<\/strong> Une identification des risques document\u00e9e et syst\u00e9matique, avec une v\u00e9rification annuelle. C\u2019est le fondement &#8211; sans cette analyse, aucun auditeur ne peut \u00e9valuer si les autres mesures sont appropri\u00e9es.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesure 2 : Gestion des incidents.<\/strong> Des processus prouv\u00e9s pour d\u00e9tecter, analyser, contenir et restaurer apr\u00e8s des incidents de s\u00e9curit\u00e9. Cela inclut la <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/01\/22\/post_id-5509\/\">capacit\u00e9 de r\u00e9ponse aux incidents<\/a>, que le BSI examine particuli\u00e8rement attentivement : alerte pr\u00e9coce au BSI dans les 24 heures, rapport d\u00e9taill\u00e9 dans les 72 heures.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesure 3 : Gestion de la continuit\u00e9 d\u2019activit\u00e9.<\/strong> Strat\u00e9gies de sauvegarde, plans de reprise apr\u00e8s sinistre et preuve de tests r\u00e9guliers. Un plan jamais test\u00e9 n\u2019est pas un plan. C\u2019est pr\u00e9cis\u00e9ment ce que les auditeurs v\u00e9rifient : non pas si un document existe, mais si une restauration fonctionne r\u00e9ellement. La <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/04\/post_id-5521\/\">r\u00e9silience contre les ransomwares<\/a> d\u00e9pend directement de cette mesure.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesures 4 et 5 : S\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement et achats s\u00e9curis\u00e9s.<\/strong> \u00c9valuation des fournisseurs avec exigences contractuelles de s\u00e9curit\u00e9 et contr\u00f4les de s\u00e9curit\u00e9 sur l\u2019ensemble du cycle de vie des syst\u00e8mes informatiques. Le BSI ne v\u00e9rifie pas seulement l\u2019existence de contrats, mais aussi s\u2019ils contiennent des normes concr\u00e8tes et des droits d\u2019audit.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesure 6 : V\u00e9rification de l\u2019efficacit\u00e9.<\/strong> Audits internes, tests d\u2019intrusion (penetration tests) et suivi d\u2019indicateurs de performance (KPI). Les entreprises doivent prouver qu\u2019elles \u00e9valuent r\u00e9guli\u00e8rement l\u2019efficacit\u00e9 de leurs mesures de s\u00e9curit\u00e9 &#8211; pas seulement les mettre en \u0153uvre, mais aussi les valider.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesure 7 : Formation et sensibilisation.<\/strong> Formations obligatoires pour tous les employ\u00e9s, y compris la direction. La direction g\u00e9n\u00e9rale doit participer personnellement \u00e0 des formations en cybers\u00e9curit\u00e9 &#8211; tous les trois ans, preuve \u00e0 l\u2019appui.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Mesures 8 \u00e0 10 : Cryptographie, contr\u00f4le des acc\u00e8s et authentification multifacteur (MFA).<\/strong> Politiques de chiffrement pour les donn\u00e9es au repos et en transit. Gestion des droits d\u2019acc\u00e8s avec protocoles d\u2019authentification document\u00e9s. Et authentification multifacteur pour les syst\u00e8mes critiques &#8211; la mesure dont l\u2019absence a permis l\u2019attaque contre S\u00fcdwestfalen-IT.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">ISO 27001 : 80 % de couverture, trois lacunes critiques<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les entreprises disposant d\u00e9j\u00e0 d\u2019un SMIS ISO 27001 ont un avantage consid\u00e9rable. Selon les experts, l\u2019ISO 27001 couvre 70 \u00e0 80 % des exigences NIS2. Sept des dix mesures de l\u2019article 30 sont enti\u00e8rement couvertes par un SMIS ISO 27001. L\u2019ISO 27001 comme le r\u00e9f\u00e9rentiel BSI IT-Grundschutz sont reconnus par la loi comme base pour la justification de la conformit\u00e9 NIS2.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Trois lacunes critiques subsistent. <strong>Lacune 1 : Obligations de d\u00e9claration.<\/strong> L\u2019ISO 27001 exige des processus de gestion des incidents, mais pas d\u2019obligation de d\u00e9claration aux autorit\u00e9s. NIS2 impose une alerte pr\u00e9coce au BSI dans les 24 heures et un rapport d\u00e9taill\u00e9 dans les 72 heures. Cela n\u00e9cessite un processus de d\u00e9claration op\u00e9rationnel, avec des responsabilit\u00e9s et des contacts clairs &#8211; disponibles 24 heures sur 24.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Lacune 2 : Responsabilit\u00e9 personnelle de la direction.<\/strong> L\u2019ISO 27001 exige un \u00ab engagement de la direction \u00bb comme principe g\u00e9n\u00e9ral. L\u2019article 38 du BSIG impose une obligation de formation personnelle aux administrateurs et dirigeants, ainsi qu\u2019une responsabilit\u00e9 personnelle sur leur patrimoine priv\u00e9. C\u2019est une diff\u00e9rence fondamentale : l\u2019engagement ISO est un principe de syst\u00e8me de management, la responsabilit\u00e9 NIS2 est du droit applicable.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>Lacune 3 : Champ d\u2019application \u00e0 l\u2019ensemble de l\u2019entreprise.<\/strong> L\u2019ISO 27001 autorise des p\u00e9rim\u00e8tres limit\u00e9s &#8211; une entreprise peut, par exemple, certifier uniquement son service informatique ou un seul centre de donn\u00e9es. NIS2 s\u2019applique \u00e0 l\u2019ensemble de l\u2019entreprise et de ses sites. Si une entreprise poss\u00e8de trois sites et n\u2019en certifie qu\u2019un selon ISO 27001, cela ne couvre pas les exigences NIS2.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">La recommandation des experts : \u00e9tendre le SMIS ISO 27001 existant, plut\u00f4t que de cr\u00e9er des structures de conformit\u00e9 parall\u00e8les. Analyse des \u00e9carts (gap analysis), extension du p\u00e9rim\u00e8tre et adaptation de la gouvernance sont les trois \u00e9tapes. Cela permet d\u2019\u00e9conomiser des co\u00fbts et d\u2019exploiter au maximum l\u2019infrastructure de conformit\u00e9 existante.<\/p>\n<div style=\"background:linear-gradient(135deg,#f0f9fc 0%,#e0f3f8 100%);border-left:4px solid #69d8ed;border-radius:8px;padding:24px 28px;margin:40px 0;\">\n<p style=\"font-size:1.1em;font-style:italic;line-height:1.6;color:#0a1628;margin:0;\">Une certification ISO 27001 ou un certificat BSI IT-Grundschutz facilite consid\u00e9rablement la justification de la conformit\u00e9 NIS2. Mais il n\u2019existe aucune \u00ab certification NIS2 \u00bb officielle. La preuve repose sur la mise en \u0153uvre document\u00e9e des dix mesures obligatoires &#8211; et la capacit\u00e9 de les pr\u00e9senter lors d\u2019un audit.<\/p>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Responsabilit\u00e9 des dirigeants : ce que signifie l\u2019article 38 du BSIG<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">L\u2019article 38 du BSIG rend les dirigeants et administrateurs personnellement responsables des dommages caus\u00e9s par des manquements \u00e0 leurs obligations. Ce qui est particulier : la responsabilit\u00e9 s\u2019\u00e9tend au patrimoine priv\u00e9. Tout renoncement \u00e0 cette responsabilit\u00e9 par d\u00e9cision des associ\u00e9s est exclu par la loi. La r\u00e8gle du jugement d\u2019affaires (Business Judgment Rule) &#8211; le bouclier qui prot\u00e8ge les administrateurs contre la responsabilit\u00e9 personnelle en cas de mauvaises d\u00e9cisions entrepreneuriales &#8211; ne s\u2019applique pas ici.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Trois obligations fondamentales incombent personnellement \u00e0 la direction. Premi\u00e8rement : approuver activement les mesures de risque NIS2 &#8211; pas seulement les valider, mais s\u2019engager r\u00e9ellement sur le fond. Deuxi\u00e8mement : surveiller activement la mise en \u0153uvre &#8211; pas seulement recevoir des mises \u00e0 jour, mais s\u2019assurer que les mesures sont efficaces. Troisi\u00e8mement : participer personnellement \u00e0 des formations en cybers\u00e9curit\u00e9, preuve \u00e0 l\u2019appui et de mani\u00e8re r\u00e9guli\u00e8re (tous les trois ans).<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">En cas de litige, c\u2019est au dirigeant de prouver qu\u2019il a agi conform\u00e9ment \u00e0 ses obligations &#8211; la charge de la preuve est invers\u00e9e. Ce n\u2019est pas au plaignant de prouver que le dirigeant a agi de mani\u00e8re fautive, mais au dirigeant de prouver qu\u2019il a fait tout ce qui \u00e9tait requis. Et la responsabilit\u00e9 subsiste m\u00eame si la responsabilit\u00e9 op\u00e9rationnelle a \u00e9t\u00e9 d\u00e9l\u00e9gu\u00e9e \u00e0 un CISO. La d\u00e9l\u00e9gation ne prot\u00e8ge pas contre la responsabilit\u00e9 personnelle &#8211; c\u2019est une mesure organisationnelle, pas une protection juridique.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Pour les administrateurs qui ont d\u00e9j\u00e0 compris la <a href=\"https:\/\/www.securitytoday.de\/fr\/?p=5501\">conformit\u00e9 NIS2 comme un avantage concurrentiel<\/a>, la responsabilit\u00e9 personnelle est le moteur d\u00e9cisif : il ne s\u2019agit plus seulement d\u2019amendes pour l\u2019entreprise, mais de leur propre patrimoine.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">\u00c9tat de pr\u00e9paration : o\u00f9 en sont les entreprises allemandes<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les chiffres sont accablants. Selon une \u00e9tude Proliance, seules 12,1 % des entreprises concern\u00e9es avaient pleinement mis en \u0153uvre NIS2 \u00e0 son entr\u00e9e en vigueur en d\u00e9cembre 2025. 20,4 % suppl\u00e9mentaires \u00e9taient en phase finale, 31,3 % \u00e9taient en cours. Environ un quart n\u2019avait m\u00eame pas encore commenc\u00e9.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Le rapport Cyber Security Schwarz Digits 2026 (1 001 r\u00e9pondants) r\u00e9v\u00e8le un probl\u00e8me suppl\u00e9mentaire : 48 % des entreprises interrog\u00e9es sous-estiment leur exposition r\u00e9glementaire \u00e0 NIS2 et croient peut-\u00eatre \u00e0 tort qu\u2019elles ne sont pas concern\u00e9es. Avec plus de 30 000 entreprises r\u00e9glement\u00e9es, cela signifie : des milliers sont concern\u00e9es sans le savoir.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Selon une \u00e9tude G-Data\/Statista\/Brand-Eins, 63 % des entreprises avaient entam\u00e9 ou \u00e9taient en cours de mise en \u0153uvre de NIS2. Cela semble \u00eatre un progr\u00e8s, mais la qualit\u00e9 de la mise en \u0153uvre varie consid\u00e9rablement. \u00ab En cours \u00bb peut signifier : planifi\u00e9 strat\u00e9giquement et abord\u00e9 de mani\u00e8re structur\u00e9e. Mais cela peut aussi signifier : le CISO a demand\u00e9 un budget qui n\u2019a pas encore \u00e9t\u00e9 approuv\u00e9.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les amendes sont \u00e9chelonn\u00e9es : les \u00e9tablissements particuli\u00e8rement importants (plus de 250 salari\u00e9s ou plus de 50 millions d\u2019euros de chiffre d\u2019affaires) encourent jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires mondial annuel. Les \u00e9tablissements importants (50 \u00e0 249 salari\u00e9s ou 10 \u00e0 50 millions d\u2019euros de chiffre d\u2019affaires) jusqu\u2019\u00e0 7 millions d\u2019euros ou 1,4 %. S\u2019y ajoutent des ordres contraignants du BSI, la publication publique des infractions (dommages \u00e0 la r\u00e9putation) et la possibilit\u00e9 d\u2019interdiction provisoire d\u2019exercer des fonctions de direction. Pour les dirigeants familiers avec le parall\u00e8le au RGPD, le message est clair : l\u2019activit\u00e9 de contr\u00f4le sera mod\u00e9r\u00e9e les premi\u00e8res ann\u00e9es, puis cro\u00eetra de mani\u00e8re exponentielle. Pour le RGPD, les amendes ont atteint plus de 2,9 milliards d\u2019euros dans l\u2019UE d\u2019ici 2024.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Pr\u00e9paration \u00e0 l\u2019audit : la check-list pratique<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">D\u00e9duite des dix mesures obligatoires et des enseignements des premi\u00e8res inspections du BSI :<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>1. Concept de SMIS avec analyse des risques.<\/strong> Par \u00e9crit, syst\u00e9matique, avec preuve de v\u00e9rification annuelle. Sans ce document, aucun audit ne peut commencer.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>2. Inventaire des actifs \u00e0 jour.<\/strong> Tous les syst\u00e8mes informatiques, interfaces et prestataires tiers document\u00e9s. Le BSI v\u00e9rifie si l\u2019inventaire est complet et \u00e0 jour &#8211; pas seulement s\u2019il existe.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>3. Plan de r\u00e9ponse aux incidents op\u00e9rationnel.<\/strong> Avec contacts d\u00e9sign\u00e9s, modalit\u00e9s de contact et voies d\u2019escalade claires. Le plan doit fonctionner sous pression, pas seulement exister sur papier. Recommandation : r\u00e9aliser au moins un exercice par an testant la cha\u00eene de d\u00e9claration dans les 24 heures.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>4. Tests d\u2019intrusion (pentests) et preuves d\u2019efficacit\u00e9.<\/strong> Tests d\u2019intrusion r\u00e9guliers et audits internes avec r\u00e9sultats document\u00e9s et protocoles d\u2019actions.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>5. Preuves de formation pour tous les employ\u00e9s.<\/strong> Y compris la direction. Aucune exception. Le BSI v\u00e9rifie sp\u00e9cifiquement si la direction a personnellement suivi une formation.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>6. Politiques de chiffrement et documentation MFA.<\/strong> Quels syst\u00e8mes sont chiffr\u00e9s, quels algorithmes sont utilis\u00e9s, o\u00f9 l\u2019authentification multifacteur (MFA) est-elle mise en \u0153uvre. La <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/08\/post_id-5525\/\">migration vers la cryptographie post-quantique<\/a> deviendra un enjeu suppl\u00e9mentaire dans les ann\u00e9es \u00e0 venir.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>7. Contrats fournisseurs avec exigences de s\u00e9curit\u00e9.<\/strong> Chaque prestataire externe ayant acc\u00e8s aux syst\u00e8mes doit disposer d\u2019un contrat incluant des normes de s\u00e9curit\u00e9 concr\u00e8tes et des droits d\u2019audit.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\"><strong>8. Gestion centralis\u00e9e des journaux (logs).<\/strong> Pas de logs locaux avec r\u00e9tention de 30 jours, mais agr\u00e9g\u00e9s de mani\u00e8re centralis\u00e9e et exploitables. C\u2019est la mesure la plus fr\u00e9quemment critiqu\u00e9e lors des premiers audits du BSI.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Qui contr\u00f4le : les prestataires d\u2019audits externes en Allemagne<\/h2>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Il n\u2019existe aucune \u00ab certification NIS2 \u00bb uniforme &#8211; les entreprises font r\u00e9aliser des audits et des tests d\u2019intrusion, et utilisent des attestations (ISO 27001 avec cartographie NIS2, BSI IT-Grundschutz) comme preuve aupr\u00e8s du BSI. Pour les \u00e9tablissements particuli\u00e8rement importants et les exploitants d\u2019installations critiques, un cycle de justification triennal est pr\u00e9vu.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les prestataires d\u2019audits \u00e9tablis en Allemagne : T\u00dcV Rheinland propose des \u00e9valuations de pr\u00e9paration NIS2 et des services de conseil. T\u00dcV NORD a d\u00e9velopp\u00e9 un programme de certification \u00ab NIS-2-Experte (T\u00dcV) \u00bb pour les auditeurs. T\u00dcVIT est sp\u00e9cialis\u00e9 dans les audits KRITIS et NIS2. DEKRA propose une certification selon les directives NIS2 et des services de conseil. Par ailleurs, les grands cabinets de conseil (PwC, Deloitte, EY, KPMG) ont mis en place des services d\u2019audit sp\u00e9cifiques \u00e0 NIS2.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">La recommandation : commencer par une analyse des \u00e9carts (gap analysis) comparant l\u2019\u00e9tat actuel aux dix mesures obligatoires. Les entreprises disposant d\u2019ISO 27001 ont g\u00e9n\u00e9ralement besoin de trois \u00e0 six mois pour l\u2019extension NIS2. Celles sans SMIS existant devraient pr\u00e9voir douze \u00e0 dix-huit mois. Plus une entreprise attend, plus cela co\u00fbte cher &#8211; et plus il est probable que le premier contact avec le BSI ne soit pas une lettre amicale, mais une proc\u00e9dure administrative.<\/p>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Les \u00e9carts les plus fr\u00e9quents d\u00e9tect\u00e9s lors des analyses des \u00e9carts ne sont pas des probl\u00e8mes techniques : les infrastructures SIEM existent, mais ne sont pas enti\u00e8rement int\u00e9gr\u00e9es. Les plans de continuit\u00e9 d\u2019activit\u00e9 sont r\u00e9dig\u00e9s, mais jamais test\u00e9s. Les contrats fournisseurs contiennent des clauses g\u00e9n\u00e9rales, mais pas d\u2019exigences de s\u00e9curit\u00e9 concr\u00e8tes. Et le plus grand point aveugle : le p\u00e9rim\u00e8tre ISO 27001 couvre seulement une partie de l\u2019entreprise, alors que NIS2 s\u2019applique \u00e0 l\u2019ensemble. Celui qui commence maintenant l\u2019analyse des \u00e9carts dispose d\u2019un plan clair. Celui qui attend se retrouve avec un probl\u00e8me de conformit\u00e9 qui co\u00fbte plus cher chaque mois de retard.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Questions fr\u00e9quentes<\/h2>\n<h3>Que v\u00e9rifie le BSI lors d\u2019un audit NIS2 ?<\/h3>\n<p style=\"line-height:1.8;margin-bottom:20px;\">La mise en \u0153uvre des dix mesures obligatoires selon l\u2019article 30 du BSIG : analyse des risques, gestion des incidents, continuit\u00e9 d\u2019activit\u00e9, s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement, achats s\u00e9curis\u00e9s, v\u00e9rification de l\u2019efficacit\u00e9, formations, cryptographie, contr\u00f4le des acc\u00e8s et authentification multifacteur (MFA). Le BSI examine particuli\u00e8rement le processus de d\u00e9claration op\u00e9rationnel et la gestion centralis\u00e9e des journaux (logs).<\/p>\n<h3>Existe-t-il une certification NIS2 ?<\/h3>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Non, il n\u2019existe aucune certification NIS2 officielle. L\u2019ISO 27001 et le BSI IT-Grundschutz sont reconnus comme base de justification, mais ne remplacent pas la documentation sp\u00e9cifique \u00e0 NIS2. Les entreprises prouvent leur conformit\u00e9 par des mesures document\u00e9es et les r\u00e9sultats d\u2019audits.<\/p>\n<h3>Quel pourcentage des exigences NIS2 est couvert par l\u2019ISO 27001 ?<\/h3>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Selon les experts, 70 \u00e0 80 %. Trois lacunes critiques subsistent : obligations de d\u00e9claration au BSI (24\/72 heures), responsabilit\u00e9 personnelle des dirigeants (article 38 du BSIG) et champ d\u2019application \u00e0 l\u2019ensemble de l\u2019entreprise (l\u2019ISO 27001 autorise des p\u00e9rim\u00e8tres limit\u00e9s).<\/p>\n<h3>Les dirigeants sont-ils personnellement responsables ?<\/h3>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Oui, selon l\u2019article 38 du BSIG, sur leur patrimoine priv\u00e9. Le renoncement \u00e0 cette responsabilit\u00e9 est exclu par la loi, la charge de la preuve est invers\u00e9e, et la d\u00e9l\u00e9gation \u00e0 un CISO ne prot\u00e8ge pas contre la responsabilit\u00e9 personnelle.<\/p>\n<h3>Combien de temps faut-il pour se pr\u00e9parer \u00e0 NIS2 ?<\/h3>\n<p style=\"line-height:1.8;margin-bottom:20px;\">Entreprises avec ISO 27001 : g\u00e9n\u00e9ralement 3 \u00e0 6 mois pour l\u2019extension. Sans SMIS existant : 12 \u00e0 18 mois. Les exploitants d\u2019installations critiques doivent fournir des preuves au BSI tous les trois ans.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/?p=5501\">NIS2 comme avantage concurrentiel : pourquoi la r\u00e9gulation en cybers\u00e9curit\u00e9 renforce la comp\u00e9titivit\u00e9 \u00e9conomique<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/02\/26\/post_id-5519\/\">S\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement : du fardeau de conformit\u00e9 \u00e0 l\u2019avantage concurrentiel<\/a><\/li>\n<li><a href=\"https:\/\/mybusinessfuture.com\/reboot-germany-735-milliarden-mittelstand-investitionen-2026\/\">Reboot Germany : 735 milliards, trois PME et la question de savoir si la crise est vraiment si grave<\/a><\/li>\n<\/ul>\n<p style=\"font-style:italic;text-align:right;margin-top:40px;\">Source de l&rsquo;image : Pexels \/ Sora Shimazaki (px:5668858)<\/p>\n","protected":false},"excerpt":{"rendered":"48 % des entreprises concern\u00e9es ne savent m\u00eame pas avec certitude si elles rel\u00e8vent de NIS2. Seulement 12,1 % avaient pleinement mis en \u0153uvre les exigences \u00e0 l\u2019entr\u00e9e en vigueur en d\u00e9cembre 2025. Pourtant, la loi s\u2019applique sans p\u00e9riode de transition. Et la responsabilit\u00e9 personnelle des dirigeants sur leur patrimoine priv\u00e9 [&hellip;]","protected":false},"author":55,"featured_media":5528,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"audit nis2","_yoast_wpseo_title":"L\u2019audit NIS2 : comment les entreprises se pr\u00e9parent \u00e0 leur premi\u00e8re inspection","_yoast_wpseo_metadesc":"Audit NIS2 : d\u00e9couvrez si votre entreprise est concern\u00e9e et comment se pr\u00e9parer efficacement \u00e0 l\u2019inspection. Agissez maintenant pour \u00eatre conforme.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5529"],"footnotes":""},"categories":[252],"tags":[228],"class_list":["post-8594","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","tag-reboot-germany"],"evm_reading_time_minutes":16,"wpml_language":"fr","wpml_translation_of":5529,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8594"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8594\/revisions"}],"predecessor-version":[{"id":14455,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8594\/revisions\/14455"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5528"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}