La directive NIS-2 élargit considérablement les obligations en matière de cybersécurité : environ 30 000 entreprises en Allemagne sont concernées -- beaucoup ne le savent pas encore. Découvrez quels secteurs sont couverts, quelles exigences de sécurité s'appliquent, comment fonctionne la responsabilité personnelle des dirigeants et comment vous préparer avec une feuille de route de conformité.
NIS-2 : L'obligation de cybersécurité que 30 000 entreprises ne connaissent pas encore
Depuis le 6 décembre 2025, la loi allemande de transposition de la directive NIS-2 (NIS2UmsuCG) est en vigueur. Elle transpose la directive européenne (UE) 2022/2555 (directive NIS-2) en droit national et élargit considérablement les obligations de cybersécurité des entreprises. Alors que la réglementation KRITIS précédente ne concernait qu'environ 4 500 opérateurs d'infrastructures critiques, le nouveau régime couvre environ 30 000 entreprises et institutions fédérales. Beaucoup d'entre elles ne le savent pas encore -- car les autorités n'informent pas activement les entreprises concernées. Celles qui ne vérifient pas elles-mêmes s'exposent à des amendes sévères et à la responsabilité personnelle de la direction.
Qu'est-ce que la directive NIS-2 ?
La directive NIS-2 succède à la première directive NIS de 2016. Elle vise à atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union européenne. Par rapport à la directive précédente, NIS-2 élargit considérablement le champ d'application, renforce les exigences de sécurité et instaure un régime de sanctions uniforme. L'Agence de l'Union européenne pour la cybersécurité (ENISA) accompagne les États membres avec des lignes directrices techniques et une aide à la mise en œuvre.
Qui est concerné ? Entités essentielles et importantes
La nouvelle catégorisation
NIS-2 divise les entités concernées en deux catégories :
Entités essentielles :
- Entreprises comptant au moins 250 employés ou réalisant plus de 50 millions d'euros de chiffre d'affaires annuel dans des secteurs critiques
- Indépendamment de la taille : prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, fournisseurs de télécommunications
- Opérateurs KRITIS selon la réglementation antérieure
Entités importantes :
- Entreprises de taille moyenne (50 à 249 employés ou 10 à 50 millions d'euros de chiffre d'affaires) dans les secteurs couverts
- Prestataires de services de confiance et certains services d'enregistrement de noms de domaine
Couverture sectorielle : l'élargissement considérable
La directive NIS-2 couvre 18 secteurs -- bien plus que la réglementation KRITIS précédente en vertu du § 8a BSIG, limitée à huit secteurs. Les secteurs de haute criticité comprennent : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion de services TIC, administration publique et espace. D'autres secteurs couverts incluent : services postaux et de messagerie, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs de services numériques et recherche.
Particulièrement pertinent pour les PME : les entreprises de l'industrie manufacturière -- construction mécanique, construction automobile, génie électrique -- sont pour la première fois soumises à des obligations de cybersécurité, à condition qu'elles dépassent les seuils.
Évaluation de l'applicabilité
Le BSI propose un outil d'auto-évaluation en ligne permettant aux entreprises de déterminer en quelques étapes si elles relèvent de la nouvelle réglementation. Chaque entreprise devrait effectuer cette évaluation dans les meilleurs délais.
Exigences de sécurité selon l'art. 21
Dix mesures fondamentales
L'art. 21 de la directive NIS-2 et les dispositions correspondantes du BSIG révisé imposent aux entités concernées une approche tous risques en matière de gestion des risques. Les dix domaines de mesures obligatoires comprennent :
- Analyse des risques et politiques de sécurité pour les réseaux et systèmes d'information
- Gestion des incidents de sécurité
- Continuité d'activité -- gestion des sauvegardes, reprise d'activité, gestion de crise
- Sécurité de la chaîne d'approvisionnement, y compris les relations avec les fournisseurs
- Sécurité lors de l'acquisition, du développement et de la maintenance des systèmes
- Évaluation de l'efficacité des mesures de gestion des risques
- Cyberhygiène de base et formations en cybersécurité
- Cryptographie et chiffrement -- concepts et procédures
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- Authentification multifacteur ou authentification continue, communications sécurisées
Proportionnalité
Les mesures doivent être proportionnées au risque. La taille de l'entité, la probabilité et la gravité des incidents de sécurité, les impacts sociétaux et économiques ainsi que l'état de l'art doivent être pris en compte.
Obligations de notification selon l'art. 23 : des délais serrés
Les obligations de notification pour les incidents de sécurité significatifs sont strictement échelonnées :
- 24 heures : Alerte précoce au BSI avec une première évaluation
- 72 heures : Notification détaillée avec évaluation, degré de gravité et impacts
- 1 mois : Rapport final avec description détaillée, analyse des causes et mesures prises
Conseil pratique : Le délai de 24 heures court à compter de la connaissance de l'incident. Les entreprises ont donc besoin de systèmes de détection fonctionnels et d'un processus de réponse aux incidents éprouvé.
Responsabilité des dirigeants : responsabilité personnelle
L'innovation de NIS-2
L'un des aspects les plus marquants est la responsabilité personnelle de la direction. Les organes de direction doivent :
- Approuver les mesures de gestion des risques et superviser leur mise en œuvre
- Participer à des formations en cybersécurité
- Être tenus personnellement responsables des manquements à ces obligations
La renonciation de l'entreprise à ses créances contre la direction est exclue. Un règlement amiable n'est possible que dans des conditions strictes -- notamment en cas d'insolvabilité de la direction et pour protéger les créanciers.
Sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires
Pour les entités essentielles :
- Amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
Pour les entités importantes :
- Amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial
En outre, les autorités peuvent ordonner des audits de sécurité, émettre des avertissements publics et, pour les entités essentielles, prononcer une suspension temporaire des fonctions de direction.
Relation avec la réglementation KRITIS existante
Les entreprises déjà réglementées en tant qu'opérateurs KRITIS selon le § 8a BSIG ne repartiront pas de zéro. Les exigences existantes forment une base solide. Toutefois, des obligations supplémentaires s'ajoutent : obligations de notification élargies, enregistrement obligatoire auprès du BSI et responsabilité explicite de la direction.
Toutes les entités concernées devaient s'enregistrer sur le portail du BSI avant le 6 mars 2026.
Feuille de route de conformité pratique
- Analyse d'applicabilité : Déterminez votre statut à l'aide de l'outil BSI
- Analyse des écarts : Comparez votre niveau de sécurité avec les exigences de l'art. 21
- Gestion des risques : Établissez un processus tous risques incluant la chaîne d'approvisionnement
- Réponse aux incidents : Développez un plan garantissant le respect du délai de 24 heures
- Implication de la direction : Assurez la formation et la documentation des responsabilités
- Enregistrement et documentation : Inscrivez-vous au portail BSI et documentez toutes les mesures
Conclusion
La directive NIS-2 et le NIS2UmsuCG marquent un changement de paradigme dans la réglementation allemande de la cybersécurité. L'extension à environ 30 000 entreprises, la responsabilité personnelle des dirigeants et les sanctions sévères sont sans équivoque : la cybersécurité n'est plus un sujet informatique, mais une responsabilité de la direction. Les entreprises qui n'agissent pas maintenant s'exposent à des risques juridiques et financiers considérables.
Chez compleneo, nous vous accompagnons dans l'analyse d'applicabilité NIS-2, la mise en place d'un programme de conformité en cybersécurité et le conseil en matière de responsabilité des dirigeants. Contactez-nous.
