Inscription NIS 2 : les actions urgentes de la direction
5 min de lecture
Le délai légal d’enregistrement NIS-2 auprès du BSI a expiré le 6 mars 2026 – et début avril, seulement environ la moitié des assujettis étaient inscrits au registre. Les personnes concernées qui manquent encore à l’appel, selon les rapports d’experts, n’ont qu’une tolérance administrative jusqu’à fin juillet pour les déclarations tardives. La responsabilité incombe à la direction.
Les points clés en bref
- Délai : L’enregistrement a légalement pris fin le 6 mars 2026. Les déclarations tardives sont tolérées jusqu’au 31 juillet 2026, selon les rapports d’experts – à titre de courtoisie administrative, sans modification de la loi.
- Écart : Environ 29.500 établissements sont considérés comme assujettis. Au 2 avril 2026, 15.477 étaient enregistrés sur le portail BSI.
- Responsabilité : L’enregistrement est passible d’une amende (jusqu’à 500.000 euros). La direction doit mettre en œuvre et surveiller la gestion des risques et est responsable envers sa propre société en cas de violation fautive de ses obligations.
- Cette semaine : Vérifier votre situation, clarifier l’accès ELSTER/MUK, finaliser l’enregistrement sur le portail BSI et documenter la procédure.
Connexes :La supervision de l’IA en Allemagne a désormais une adresse / Interdiction administrative d’un modèle d’IA : la leçon pour les PME
Le délai est expiré, l’obligation demeure
Le 6 décembre 2025, la loi de transposition NIS‑2 est entrée en vigueur. Depuis, l’obligation d’enregistrement pour les entités importantes et particulièrement importantes s’applique via la loi BSI modifiée (BSIG). Pour les entités concernées à compter de cette date, le délai légal de trois mois a expiré le 6 mars 2026.
Le BSI le formule clairement : le délai légal d’enregistrement est écoulé. Toute entité assujettie non encore enregistrée doit se mettre en règle sans tarder sur le portail du BSI. Aucune prorogation légale n’est prévue. Des rapports spécialisés et une lettre de fédérations analysée par Heise Online évoquent une tolérance administrative pour les déclarations tardives jusqu’au 31 juillet 2026 : le BSI s’attend à ce que les enregistrements en souffrance soient achevés d’ici là. Juridiquement, l’obligation reste inchangée depuis le 6 mars – cette tolérance ne modifie pas le caractère passible d’amende.
Pour les dirigeants de PME, c’est le calendrier pratique qui compte : l’enregistrement doit être effectué avant fin juillet 2026. Passé cette date, le risque d’un contrôle sensible augmente. Le dossier est déjà marqué « obligation non respectée » dès lors que l’assujettissement s’applique.
Le fossé est tangible. Sur les quelque 29 500 entités que le BSI désigne comme cercle régulé, seules 15 477 s’étaient enregistrées sur le portail au 2 avril 2026 – dont 9 894 entités importantes et 5 583 entités particulièrement importantes. Heise a rapporté plus tard, en citant le BSI, environ 18 500 enregistrements fin mai. Même à ce niveau, une part considérable fait toujours défaut. Le BSI prévoit la prochaine mise à jour officielle des statistiques pour le 31 juillet 2026.
Cela vous concerne ? L’évaluation dure quelques minutes
Qu’est-ce que NIS-2 ? NIS-2 est une directive européenne sur la cybersécurité, que l’Allemagne a transposée en droit national avec la loi de mise en œuvre NIS-2. Elle oblige les entreprises de certains secteurs, à partir d’une taille définie, à s’enregistrer auprès du BSI, à mettre en œuvre une gestion des risques et à signaler les incidents de sécurité significatifs. La responsabilité en incombe expressément à la direction.
Quiconque attend que le BSI l’appelle de lui-même méconnaît le système : c’est l’entreprise elle-même qui vérifie si elle est concernée. Le BSIG recense les installations importantes et particulièrement importantes dans les secteurs des annexes 1 et 2 – de l’énergie et des transports à la santé, en passant par les services numériques et l’industrie manufacturière. La taille et le secteur sont souvent déterminants. Les installations particulièrement importantes comprennent notamment les exploitants d’installations critiques ainsi que les grandes entreprises des secteurs à haut risque. Les services de domaine et de DNS peuvent être concernés indépendamment de la taille de l’entreprise.
| Question | Ce que vous vérifiez | Prochaine étape |
|---|---|---|
| Secteur | Activité dans l’annexe 1 ou 2 du BSIG ? | Lancer la vérification de conformité du BSI |
| Taille | Particulièrement important : à partir de 250 employés ou plus de 50 millions d’euros de chiffre d’affaires et plus de 43 millions d’euros de total de bilan (annexe 1 uniquement). Important : à partir de 50 employés ou chiffre d’affaires et total de bilan supérieurs chacun à 10 millions d’euros (annexes 1 et 2). |
Utiliser les chiffres du dernier exercice |
| Cas particuliers | KRITIS, DNS, registre de domaines, services numériques | Expertise ou conseil juridique |
| Résultat « oui » | Obligation d’enregistrement selon § 33 BSIG | MUK + portail BSI cette semaine |
Source : seuils de taille selon § 28 al. 1 n° 4 et al. 2 n° 3 BSIG ; obligation d’enregistrement selon § 33 BSIG. Pour les exploitants KRITIS, les services de confiance, les registres TLD et les fournisseurs DNS, les seuils ne s’appliquent pas – ils sont concernés indépendamment de leur taille (§ 28 al. 1 n° 1 et 2). La vérification de conformité en ligne du BSI est non contraignante – l’évaluation juridique incombe à l’entreprise.
En pratique, la vérification de conformité en ligne gratuite du BSI suffit souvent pour commencer. Elle est non contraignante, mais donne en quelques minutes une orientation fiable. Ceux qui obtiennent un « oui » ou un « incertain » devraient préparer l’enregistrement et, en cas de doute, faire appel à un expert-comptable ou à un conseil juridique spécialisé – avant la fin du délai de tolérance.
Enregistrement en deux étapes – et ce qu’il coûte
La procédure se déroule en deux étapes et est numérique. Première étape : accès via « Mein Unternehmenskonto » (MUK) avec certificat d’organisation ELSTER. De nombreuses PME disposent déjà de ce certificat pour l’administration fiscale. S’il est absent, sa demande constitue le goulot d’étranglement – et la raison pour laquelle les enregistrements restent souvent bloqués.
Deuxième étape : enregistrement sur le portail du BSI à l’adresse portal.bsi.bund.de. Il convient d’indiquer, entre autres, le nom et la forme juridique, les coordonnées incluant les plages IP publiques, le secteur ou la branche, les États membres de l’UE où les services sont fournis et les autorités de supervision compétentes. Le portail sert ensuite également de point de notification pour les incidents de sécurité significatifs.
L’enregistrement en soi est gratuit. Les coûts surviennent en interne : temps de l’IT et de la direction générale, clarification du secteur et des seuils, le cas échéant vérification externe. Si le MUK est en place et l’assujettissement clarifié, la simple déclaration sur le portail ne prend souvent que quelques heures. Les mesures de protection techniques font partie de l’ensemble global – pour l’enregistrement, des données de base correctes et l’accès suffisent.
Amende, responsabilité, obligation du dirigeant : ce qui s’applique réellement
L’omission ou l’enregistrement incorrect constitue une infraction. Selon le § 65 al. 2 n° 6 conjointement avec l’al. 5 n° 5 BSIG, l’amende peut s’élever jusqu’à 500.000 Euro. Les plafonds supérieurs allant jusqu’à 10 Millions Euro (installations particulièrement importantes) ou 7 Millions Euro (installations importantes) s’appliquent principalement en cas de violations du management des risques et des obligations de notification. À partir d’un chiffre d’affaires total supérieur à 500 Millions Euro, une limite supérieure indexée sur le chiffre d’affaires s’ajoute.
La responsabilité personnelle désigne dans le BSIG principalement la responsabilité interne de la direction générale : selon le § 38, les directions générales doivent mettre en œuvre et surveiller les mesures de management des risques selon le § 30. Si elles manquent à ces obligations de manière fautive, elles sont responsables vis-à-vis de leur propre installation selon les règles sociétaires de la forme juridique respective. De plus, le § 38 al. 3 BSIG prescrit des formations régulières de la direction générale aux cyberrisiques. La chaîne des obligations s’arrête ainsi au bureau du dirigeant et doit y être documentée.
Pour le directeur général sans département juridique, cela signifie : l’enregistrement et la décision d’assujettissement appartiennent aux dossiers de la direction. Sans vérification traçable, la preuve de décharge est manquante. Si l’enregistrement est absent, le BSI peut, selon le § 33 al. 3, enregistrer l’installation lui-même en accord avec d’autres autorités de supervision – la supervision démarre alors de l’extérieur.
Ce que la direction générale doit accomplir cette semaine
Le contexte de cette information est urgent : jusqu’au 31 juillet 2026, la phase de tolérance décrite dans les cercles spécialisés s’achève. Un plan hebdomadaire réaliste pour les PME se présente ainsi :
- Jour 1 : Effectuer le contrôle d’assujettissement en ligne du BSI. Documenter le résultat et les indicateurs mobilisés (effectif, chiffre d’affaires, bilan, secteur).
- Jour 1 à 2 : Vérifier le certificat d’organisation ELSTER et l’accès MUK. Si l’accès manque, le demander immédiatement – c’est le chemin critique.
- Jour 2 à 3 : Définir le point de contact responsable et la personne de contact. Harmoniser les plages IP et les indications de secteur avec l’IT et le controlling.
- Jour 3 à 4 : Finaliser l’enregistrement sur le portail du BSI. Sauvegarder la confirmation. Informer la direction générale du résultat et des obligations NIS-2 en suspens (notification, management des risques, formation).
- Jour 5 : Liste de tâches interne pour les 90 prochains jours : notification d’incident, analyse des risques, date de formation de la direction générale. Prioriser les mesures techniques, parallèlement à l’enregistrement.
Celui qui laisse passer la tolérance reste dans l’obligation et sous le risque d’amende. Celui qui s’enregistre maintenant offre à l’organisation la base pour les processus de notification et de supervision. Pour les PME sans CISO, c’est l’approche pragmatique : d’abord figurer au registre, puis consolider le contenu – documenté et soutenu par la direction générale.
Foire aux questions
Le délai jusqu’au 31 juillet 2026 a-t-il été prolongé par la loi ?
Le délai légal d’enregistrement expirait le 6 mars 2026 et n’a pas été prolongé dans le texte de loi. Des rapports spécialisés décrivent une tolérance administrative pour les déclarations tardives jusqu’au 31 juillet 2026. Le BSI exige sur ses pages un enregistrement immédiat. L’obligation de l’article 33 BSIG reste inchangée.
Quel est le montant de l’amende pour le seul défaut d’enregistrement ?
Pour les infractions à l’obligation d’enregistrement, l’article 65 BSIG prévoit notamment des amendes pouvant atteindre 500 000 euros. Les plafonds plus élevés (jusqu’à 10 millions d’euros ou 7 millions d’euros) concernent surtout d’autres obligations comme la gestion des risques et les notifications. Savoir si et quand le BSI inflige une amende relève de l’exécution – la base juridique existe.
Le dirigeant est-il personnellement responsable en l’absence d’enregistrement ?
L’article 38 BSIG lie la responsabilité interne personnelle principalement à l’obligation de mettre en œuvre et de surveiller les mesures de gestion des risques. L’enregistrement est une obligation de l’établissement et est passible d’une amende. Son absence documente souvent une défaillance organisationnelle – et la direction doit pouvoir piloter et démontrer la mise en œuvre globale.
Combien coûte l’enregistrement auprès du BSI ?
Le portail du BSI ne facture aucuns frais pour l’enregistrement NIS-2. Des coûts internes surviennent (MUK/ELSTER, clarification des données, éventuellement audit externe). Celui qui laisse la question de son assujettissement en suspens risque des reprises coûteuses et un risque d’amende – les frais de portail sont le moindre des problèmes.
Le test d’assujettissement du BSI suffit-il comme justificatif ?
Il s’agit d’un outil non contraignant et d’un bon point de départ. La qualification juridique et la décision d’enregistrement restent de la responsabilité de l’entreprise. Conservez le résultat, la date et les données d’entreprise utilisées – cela facilite la documentation interne et les échanges avec les conseils.
Recommandations de la rédaction
- Loi d’application du Data Act : ce que les fabricants IoT allemands doivent accomplir d’ici septembre 2026
- Obligation de facture électronique 2028 : 18 mois pour la comptabilité des PME
- Règlement européen sur l’IA : ce que les PME doivent marquer
À lire aussi sur MyBusinessFuture
MyBusinessFutureDu prototype à la prise en charge : le HIP Digital Health Innovation Sprint, moteur de croissance pour les start-up du digital healthMyBusinessFutureVerivox et ThoughtSpot : l’intelligence d’affaires de la prochaine générationMyBusinessFutureInvestissements bloqués : comment l’intelligence artificielle révèle les budgets cachésPlus du réseau MBF Media
cloudmagazinSéparer proprement NIS2 et DORA : clusters de conformité dans KubernetesDigital ChiefsResponsabilité personnelle : protéger les DSI de NIS2 et DORASecurityTodayQu’est-ce que NIS2 ? Définition, obligations et responsabilitéSource de l’image : générée par IA (juillet 2026)

