La loi de transposition NIS2 en Allemagne est entrée en vigueur le 5 décembre 2025. Les délais d'enregistrement auprès du BSI arrivent en mars 2026. Ce guide couvre tout ce que les RSSI, directeurs IT et responsables conformité doivent savoir : qui doit se conformer, quelles sont les obligations, les sanctions encourues et comment construire une feuille de route pratique de conformité.
La Directive NIS2 (Directive (UE) 2022/2555) remplace la Directive NIS originale de 2016, largement considérée comme insuffisante en termes de périmètre et d'application. Elle élargit considérablement la couverture d'environ 10 000 entités sous NIS1 à plus de 160 000 entités dans l'UE.
NIS2 a été conçue pour remédier à trois faiblesses fondamentales : une transposition incohérente entre les États membres, un périmètre limité ne couvrant que des secteurs restreints, et une application faible avec des sanctions trop basses pour impulser le changement.
En Allemagne, le NIS2UmsuCG (loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité) est entré en vigueur le 5 décembre 2025. Le BSI est l'autorité de supervision désignée, et les délais d'enregistrement commencent le 6 mars 2026.
NIS2 est passée d'une approche par désignation à un mécanisme de seuil de taille. Les organisations sont automatiquement concernées si elles remplissent les critères sectoriels et de taille.
| Secteur | Exemples |
|---|---|
| Énergie | Électricité, pétrole, gaz, hydrogène, chauffage urbain |
| Transports | Aérien, ferroviaire, maritime, routier |
| Banque | Établissements de crédit |
| Infrastructures des marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires, pharma, dispositifs médicaux |
| Eau potable | Approvisionnement et distribution |
| Eaux usées | Collecte, élimination, traitement |
| Infrastructure numérique | IXP, DNS, registres TLD, cloud, centres de données, CDN |
| Gestion des services TIC (B2B) | MSP, MSSP |
| Administration publique | Entités de l'administration centrale |
| Espace | Opérateurs d'infrastructures au sol |
| Secteur | Exemples |
|---|---|
| Services postaux et de courrier | Prestataires de services postaux |
| Gestion des déchets | Collecte, transport, traitement |
| Fabrication chimique | Production, distribution |
| Production alimentaire | Transformation, distribution (grande échelle) |
| Fabrication | Dispositifs médicaux, électronique, machines, véhicules |
| Fournisseurs numériques | Places de marché, moteurs de recherche, réseaux sociaux |
| Recherche | Organismes de recherche à impact significatif |
Certaines entités sont concernées quelle que soit leur taille : prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, opérateurs de télécommunications, administration publique et fournisseurs uniques de services essentiels.
| Aspect | Entités essentielles | Entités importantes |
|---|---|---|
| Supervision | Proactive (ex-ante) | Réactive (ex-post) |
| Amende maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Audits | Réguliers, obligatoires | Sur preuve de non-conformité |
| Exigences de sécurité | Identiques | Identiques |
Les obligations de sécurité sont les mêmes pour les deux niveaux. La différence réside uniquement dans l'intensité de la supervision et les plafonds de sanctions.
| Délai | Exigence | Objectif |
|---|---|---|
| 24 heures | Alerte précoce au CSIRT | Signaler qu'un incident significatif s'est produit |
| 72 heures | Notification d'incident avec évaluation | Gravité, impact, indicateurs de compromission |
| 1 mois | Rapport final | Analyse des causes profondes, impact, mesures d'atténuation |
L'article 20 exige que les organes de direction approuvent les mesures de cybersécurité, suivent des formations et assument une responsabilité personnelle. En vertu du NIS2UmsuCG allemand, les dirigeants s'exposent à des amendes personnelles et à une suspension temporaire de leurs fonctions de direction. Cette responsabilité ne peut pas être entièrement déléguée.
Au-delà des amendes, les autorités peuvent émettre des injonctions contraignantes, ordonner la cessation d'activités, exiger la divulgation publique de la non-conformité, suspendre les certifications et — pour les entités essentielles — interdire temporairement les fonctions de direction aux personnes responsables.
Pour une entreprise avec 1 milliard d'euros de chiffre d'affaires, l'amende maximale pour une entité essentielle est de 20 millions d'euros. Les polices d'assurance D&O doivent être revues pour les lacunes de couverture — la responsabilité personnelle ne peut pas être entièrement couverte par une assurance.
| Date | Jalon |
|---|---|
| 27 déc. 2022 | Publication de NIS2 au Journal officiel de l'UE |
| 16 janv. 2023 | Entrée en vigueur de NIS2 |
| 17 oct. 2024 | Date limite de transposition pour tous les États membres |
| 5 déc. 2025 | Allemagne : entrée en vigueur du NIS2UmsuCG |
| 6 mars 2026 | Allemagne : date limite d'enregistrement au BSI |
| 17 oct. 2027 | Revue du fonctionnement de NIS2 par la Commission européenne |
L'enregistrement de mars 2026 approche. Identifiez vos lacunes de conformité avant de vous inscrire.
Lancer le Scan NIS2 Gratuit →ISO 27001 fournit une base solide mais NIS2 ajoute des exigences spécifiques : délais obligatoires de notification d'incident (24h/72h/1 mois), responsabilité personnelle de la direction et obligations détaillées de sécurité de la chaîne d'approvisionnement. La certification seule ne garantit pas la conformité.
KENSAI scanne en continu votre surface d'attaque externe — domaines, sous-domaines, IP, services cloud, API exposées — et cartographie les actifs par rapport à votre périmètre NIS2. Un inventaire en temps réel de ce que vous devez protéger.
Avec 332 000+ CVE, KENSAI identifie les vulnérabilités connues et les corrèle aux exigences NIS2. Chaque découverte est priorisée par score CVSS, pertinence NIS2 et urgence de remédiation basée sur le renseignement sur les menaces.
L'IA cartographie votre posture de sécurité par rapport à toutes les exigences de l'article 21 : score de conformité, rapport d'écarts, remédiation priorisée et documentation de preuves adaptée aux régulateurs et auditeurs.
Scannez l'infrastructure externe de vos fournisseurs pour identifier les services exposés, les vulnérabilités, les problèmes de certificats, les mauvaises configurations DNS et l'historique des violations de données — la visibilité sur la chaîne d'approvisionnement exigée par NIS2.
Starter : 990 €/mois — Moyennes entreprises entrant dans le périmètre NIS2. Professional : 1 490 €/mois — Infrastructure complexe et chaînes d'approvisionnement. Enterprise : 2 490 €/mois — Automatisation complète de la conformité avec support dédié.
La réglementation européenne actualisée en matière de cybersécurité (Directive (UE) 2022/2555) remplaçant la Directive NIS originale. Elle établit des mesures obligatoires de gestion des risques, de notification d'incidents et de sécurité de la chaîne d'approvisionnement dans 18 secteurs critiques.
Les organisations dans 18 secteurs désignés atteignant les seuils de moyenne entreprise (50+ employés ou 10 M€+ de CA) ou de grande entreprise (250+ employés ou 50 M€+ de CA). Certaines entités comme les fournisseurs DNS et les télécoms sont couvertes quelle que soit leur taille.
Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial. Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. Plus des injonctions contraignantes, divulgation publique, suspension des certifications et responsabilité personnelle de la direction.
Trois étapes : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous 1 mois.
L'article 20 exige que les conseils d'administration approuvent les mesures de cybersécurité, suivent des formations et assument une responsabilité personnelle. En vertu de la loi allemande, les dirigeants s'exposent à des amendes personnelles et une suspension temporaire.
Généralement non (moins de 50 employés / 10 M€ de CA sont exclus). Des exceptions existent pour les prestataires de services de confiance, les registres TLD, les fournisseurs DNS et les télécoms.
Chevauchement significatif, mais NIS2 ajoute des délais obligatoires de notification d'incident, la responsabilité personnelle de la direction et des exigences détaillées sur la chaîne d'approvisionnement. La certification ISO 27001 seule ne garantit pas la conformité NIS2.
NIS2 porte sur la sécurité des réseaux/systèmes ; le RGPD sur la protection des données personnelles — les deux peuvent s'appliquer à un incident cyber. DORA prévaut pour les entités financières selon le principe lex specialis.
Ce guide est fourni à titre informatif et ne constitue pas un avis juridique. Consultez des professionnels qualifiés en droit et en cybersécurité pour vos obligations NIS2 spécifiques.
Visualisez vos lacunes de conformité en quelques minutes. Scan alimenté par l'IA avec cartographie NIS2, RGPD et DORA intégrée.
Lancer le Scan Gratuit →La sécurité n'est pas optionnelle.
🗡️ L'équipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →