Aller au contenu principal
NIS2Certify
Retour à l'aperçu

L'échéance NIS2 en Allemagne est passée — et 18 000 entreprises l'ont manquée

Par NIS2Certify
NIS2AllemagneBSIapplicationconformitédélaicybersécurité

Une lettre arrive du BSI — l'autorité fédérale allemande de cybersécurité. Votre entreprise était tenue de s'enregistrer avant le 6 mars 2026. Ce n'est pas fait. Le BSI dispose désormais du pouvoir légal d'auditer votre organisation, d'émettre des ordres contraignants et d'imposer des amendes pouvant atteindre 10 millions d'euros ou 2 % de votre chiffre d'affaires annuel mondial. Et en vertu du §38 du nouveau BSIG, vos dirigeants peuvent être tenus personnellement responsables de ce manquement.

Ce n'est pas un scénario hypothétique. C'est ce qui se passe en ce moment en Allemagne — et c'est un avant-goût de ce qui arrive dans le reste de l'Union européenne.

Ce qui s'est passé le 6 mars 2026

La loi allemande de transposition de NIS2 — le NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — est entrée en vigueur le 6 décembre 2025. Elle donnait aux organisations concernées exactement trois mois pour s'enregistrer auprès du BSI via son portail dédié.

Ce délai était fixé au 6 mars 2026.

Sur les quelque 29 500 entreprises que le BSI estime relever de la loi, seulement environ 11 500 ont complété leur enregistrement dans les temps. Cela laisse près de 18 000 organisations en infraction avec une obligation légale avant même d'avoir commencé à travailler sur leurs mesures de cybersécurité.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
Pleinement en vigueur
Belgique
Croatie
Hongrie
Lituanie
Lettonie
Italie
6 pays
Adopté — fin 2025
Allemagne
République tchèque
Finlande
3 pays
En cours — prévu 2026
Pays-Bas
France
Espagne
Pologne
Autriche
Suède
Irlande
7 pays

Le BSI a publiquement déclaré qu'il allait désormais identifier systématiquement les entités non enregistrées. L'Allemagne est le premier grand État membre de l'UE à atteindre ce stade d'application — et les chiffres sont frappants.

Pourquoi autant d'entreprises ont-elles manqué l'échéance ?

Trois facteurs expliquent cet écart.

Beaucoup d'organisations ignorent encore qu'elles sont concernées. La directive NIS2 s'applique aux entreprises de plus de 50 salariés ou de plus de 10 millions d'euros de chiffre d'affaires annuel, opérant dans 18 secteurs désignés. Le Mittelstand allemand — l'épine dorsale de son économie industrielle — comprend des milliers de fabricants de taille intermédiaire, de prestataires logistiques et d'entreprises de services informatiques qui n'avaient jamais eu affaire à la réglementation sur la cybersécurité.

Le calendrier était serré. Trois mois entre la loi et le délai d'enregistrement ont laissé peu de marge aux entreprises qui cherchaient encore à déterminer si NIS2 leur était applicable. Beaucoup attendaient une clarification définitive sur les classifications sectorielles et les seuils.

Les entreprises de la chaîne d'approvisionnement ont été prises de court. En vertu de l'article 21(2)(d), les entités NIS2 doivent gérer les risques de cybersécurité dans leur chaîne d'approvisionnement. Cela signifie que des fournisseurs non directement concernés reçoivent des demandes de conformité de leurs clients — mais l'obligation d'enregistrement incombe à l'entité NIS2, pas au fournisseur. La confusion entre obligations directes et pression indirecte de la chaîne d'approvisionnement a ralenti la prise de décision.

Ce que le BSI peut faire maintenant

Les pouvoirs coercitifs du BSI au titre du nouveau BSIG sont considérables :

Audits proactifs. Pour les entités essentielles — énergie, transport, santé, infrastructure numérique, banque — le BSI peut conduire des audits sans attendre un incident. Il peut demander des documents, inspecter les mesures de sécurité et exiger des preuves de conformité à l'article 21.

Ordres contraignants. Si le BSI identifie des défaillances, il peut émettre des instructions juridiquement contraignantes pour y remédier dans un délai imparti. Le non-respect d'un ordre contraignant aggrave la sévérité des sanctions.

Amendes. Les entités essentielles s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Les entités importantes peuvent être sanctionnées jusqu'à 7 millions d'euros ou 1,4 %. Ce ne sont pas des maximums théoriques — ce sont les paramètres que les autorités nationales de l'UE sont désormais habilitées à appliquer.

Responsabilité personnelle des dirigeants. Le §38 du BSIG rend les dirigeants personnellement responsables de l'approbation et de la supervision des mesures de gestion des risques de cybersécurité. Cela reflète l'article 20 de la directive NIS2, qui établit la responsabilité des organes de direction dans tous les États membres.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

Interdictions temporaires d'exercer. Dans les cas graves de non-conformité persistante, le BSI peut demander la suspension temporaire des dirigeants de leurs fonctions. Il s'agit de l'outil coercitif le plus sévère de la boîte à outils NIS2, et l'Allemagne l'a explicitement mis en œuvre.

Ce que cela signifie pour le reste de l'Europe

L'Allemagne n'est pas un cas isolé. C'est l'indicateur avancé.

La Belgique — y compris la Wallonie — applique sa transposition NIS2 depuis fin 2024, premier pays de l'UE à le faire. L'Italie (ACN) et la Croatie ont leurs cadres en place. La France (ANSSI) a lancé son cadre de référence ReCyF en mars 2026 et construit son infrastructure d'application via le portail MesServicesCyber, qui remplace MonEspaceNIS2. Les Pays-Bas attendent leur Cyberbeveiligingswet (Cbw) au deuxième trimestre 2026, avec le RDI comme superviseur.

La tendance est claire : chaque État membre de l'UE passe de la législation à l'application. Le calendrier de mise en œuvre varie selon les pays, mais la direction est uniforme.

Si l'expérience allemande enseigne quelque chose, c'est ceci : l'écart entre « la loi existe » et « les entreprises sont prêtes » est considérable. Et les régulateurs n'attendent pas que cet écart se comble avant de commencer à agir.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
OuiNon
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
OuiNon
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
OuiNon
La NIS2 ne s'applique pas directement à votre organisation.
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

Ce que vous devez faire cette semaine

Que votre organisation soit en Allemagne ou dans un autre État membre de l'UE, l'échéance du BSI est un signal pour agir.

1. Déterminez si NIS2 vous est applicable. Vérifiez votre effectif, votre chiffre d'affaires et votre classification sectorielle. Les critères sont cohérents dans l'ensemble de l'UE — si vous avez plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires et que vous opérez dans un secteur couvert, vous êtes presque certainement concerné.

2. Enregistrez-vous auprès de votre autorité nationale. Le délai allemand est passé, mais d'autres pays ouvrent encore leurs portails d'enregistrement. Les Pays-Bas (via mijn.ncsc.nl), la France (via MesServicesCyber) et l'Italie (via ACN) ont tous des processus d'enregistrement en place ou à venir.

3. Commencez par l'article 21. L'enregistrement n'est que le point d'entrée. La véritable obligation consiste à mettre en œuvre les dix mesures de cybersécurité prescrites par l'article 21 : analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des réseaux, gestion des vulnérabilités, et plus encore.

4. Informez votre conseil d'administration. NIS2 est une obligation de gouvernance, pas un projet informatique. L'article 20 exige que les organes de direction approuvent les mesures de cybersécurité et suivent des formations. Si votre conseil n'a pas encore abordé NIS2, cette conversation est en retard.

5. Évaluez votre situation actuelle. Vous n'avez pas besoin d'un consultant pour commencer. Un scan de maturité structuré peut vous indiquer en quelques minutes où vous en êtes par rapport aux exigences NIS2 — et vous montrer exactement où se trouvent les lacunes. Démarrez le scan gratuit de maturité NIS2 pour savoir où se situe votre organisation aujourd'hui.

La fenêtre se referme

Les 18 000 entreprises allemandes non enregistrées découvrent maintenant à quoi ressemble l'application de la loi en pratique. Chaque autre État membre de l'UE suit le même chemin — la seule variable est le calendrier.

Les organisations qui agissent maintenant, avant l'arrivée de leur échéance nationale, bénéficieront de l'avantage de la préparation plutôt que de la pression de l'application. Celles qui attendent se retrouveront dans la même situation que le Mittelstand allemand aujourd'hui : face à un régulateur ayant le pouvoir d'auditer, de sanctionner et de tenir les dirigeants personnellement responsables — et un programme de conformité qui aurait dû démarrer il y a des mois.