Transposition NIS2 : ce que les PME doivent encore faire
6 min de lecture
La loi de transposition NIS2 est en vigueur depuis le 6 décembre 2025 – sans période de transition. Environ 29 500 entreprises dans 18 secteurs sont concernées, dont pour la première fois des milliers de PME dans la construction mécanique, les services informatiques et la logistique. Le délai d’inscription auprès du BSI a expiré le 6 mars 2026. Ceux qui ne se sont pas encore inscrits risquent des amendes allant jusqu’à 10 millions d’euros et la responsabilité personnelle de la direction. Ce n’est pas un scénario futur – c’est le droit en vigueur.
L’essentiel en bref
- 29 500 entreprises dans 18 secteurs sont soumises à NIS2 – nettement plus que sous l’ancienne directive NIS (BSI, 2025).
- Pas de période de transition : le NIS2UmsuCG est en vigueur depuis le 6 décembre 2025. Mesures de sécurité et obligations de signalement sont contraignantes immédiatement.
- Responsabilité personnelle : le §38 BSIG rend les dirigeants personnellement responsables. Les violations graves peuvent entraîner une interdiction d’exercer.
- Amendes jusqu’à 10 millions d’euros ou 2 pour cent du chiffre d’affaires mondial pour les entités essentielles (§60 BSIG).
- Inscription BSI expirée : la date limite était le 6 mars 2026. L’inscription tardive est possible, mais chaque jour de retard augmente le risque d’amende.
NIS2 en Allemagne : ce qui est en vigueur depuis décembre 2025
La directive européenne NIS2 aurait dû être transposée en droit national avant octobre 2024. L’Allemagne a manqué ce délai – la loi de transposition NIS2 (NIS2UmsuCG) n’a été adoptée par le Bundestag que le 13 novembre 2025, confirmée par le Bundesrat le 20 novembre et est entrée en vigueur le 6 décembre 2025.
Ce que beaucoup de dirigeants sous-estiment : la loi ne prévoit aucun délai de grâce. Dès le jour de son entrée en vigueur, les mesures de sécurité selon le §30 BSIG et les obligations renforcées de signalement sont contraignantes pour toutes les entreprises concernées. Quiconque n’est pas encore conforme enfreint déjà le droit en vigueur. Et le BSI contrôle activement depuis début 2026 – pas seulement en cas d’incident.
Facteur aggravant : selon les données du BSI, seuls environ 38,5 pour cent des quelque 29 500 entreprises concernées s’étaient inscrites en mars 2026. Plus de 18 000 entreprises se trouvent ainsi dans une zone grise juridique – concernées mais ni inscrites ni conformes.
Qui est concerné ? Les 18 secteurs en un coup d’oeil
NIS2 concerne les entreprises de 50 employés ou plus, ou réalisant un chiffre d’affaires de 10 millions d’euros dans 18 secteurs. La loi distingue deux catégories : les entités essentielles (obligations plus élevées, amendes plus sévères) et les entités importantes.
Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, les services TIC en B2B, l’administration publique et l’espace. Les entités importantes comprennent les services postaux et de messagerie, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière (construction mécanique, automobile, électrotechnique), les fournisseurs de services numériques et les établissements de recherche.
Pour les PME, la deuxième catégorie est déterminante : un constructeur de machines avec 80 employés et 15 millions d’euros de chiffre d’affaires tombe sous NIS2 – même s’il ne s’est jamais occupé de réglementation en matière de sécurité informatique. Il en va de même pour les prestataires informatiques, les entreprises de logistique et les sous-traitants de l’industrie automobile. Le seuil d’application est volontairement bas.
NIS2 exige que la direction ne se contente pas de tolérer mais pilote activement la mise en place et le maintien d’un niveau de sécurité adéquat. Approuver les concepts de sécurité, fournir les ressources et évaluer régulièrement les risques – c’est une obligation personnelle de la direction.
Résumé des obligations selon le §38 BSIG
Amendes et responsabilité personnelle selon le §38 BSIG
Les sanctions sous NIS2 sont plus sévères que tout ce que les entreprises allemandes ont connu en matière de sécurité informatique. Les entités essentielles risquent des amendes allant jusqu’à 10 millions d’euros ou 2 pour cent du chiffre d’affaires mondial annuel – selon le montant le plus élevé. Pour les entités importantes, les limites sont de 7 millions d’euros ou 1,4 pour cent du chiffre d’affaires.
L’aspect véritablement explosif est le §38 BSIG : la responsabilité personnelle de la direction. Les dirigeants doivent approuver la mise en oeuvre des mesures de sécurité et en surveiller l’exécution. Ils sont tenus de participer régulièrement à des formations pour comprendre les risques informatiques, les fondamentaux techniques et les exigences légales. En cas de négligence grave ou d’intention, le dirigeant est personnellement responsable.
Dans les cas extrêmes, le BSI peut prononcer une interdiction temporaire d’exercer contre les dirigeants qui enfreignent NIS2 de manière répétée ou grave. C’est une nouvelle dimension : la sécurité informatique ne peut plus être déléguée – c’est une responsabilité de la direction avec des conséquences personnelles. Ceux qui s’intéressent à la cyber-assurance constatent vite que de nombreuses polices exigent la conformité NIS2 comme condition préalable à la couverture.
Un exemple concret : le directeur d’un prestataire informatique de taille moyenne avec 120 employés avait manqué l’inscription NIS2. En février 2026, une attaque par rançongiciel a frappé l’entreprise. Le délai de signalement de 24 heures n’a pas été respecté car aucun plan de réponse aux incidents n’existait. La conséquence : outre les dommages économiques de l’attaque, des amendes sont en suspens pour inscription manquante, signalement tardif et mesures de sécurité insuffisantes. Le directeur est personnellement responsable car il ne peut prouver ni sa participation à des formations ni son approbation des mesures. Ce cas n’est pas isolé – le BSI contrôle activement depuis début 2026.
Que doivent concrètement mettre en oeuvre les entreprises concernées ?
Le §30 BSIG définit dix domaines dans lesquels les entreprises doivent prendre des mesures. L’étendue dépend de la taille de l’entreprise, de l’exposition aux risques et de l’importance sociétale. Pour les PME, les points suivants sont particulièrement pertinents :
Gestion des risques : analyses de risques régulières pour tous les systèmes informatiques et processus métier. Pas comme un exercice annuel de conformité, mais comme un processus continu.
Réponse aux incidents : un plan documenté pour la gestion des incidents de sécurité. Un signalement initial doit être déposé auprès du BSI dans les 24 heures. Un rapport qualifié évaluant la gravité suit dans les 72 heures. Un rapport final est dû après un mois.
Continuité d’activité : stratégies de sauvegarde, plans de reprise et gestion de crise. L’entreprise doit démontrer qu’elle peut survivre à un incident informatique grave.
Sécurité de la chaîne d’approvisionnement : évaluer et sécuriser l’ensemble de la chaîne d’approvisionnement. Cela concerne particulièrement les entreprises qui sont fournisseurs d’infrastructures critiques – et il y en a beaucoup parmi les PME. Ceux qui n’ont pas encore vérifié leur stratégie cloud en termes de souveraineté devraient le faire dans le cadre de la mise en oeuvre de NIS2.
Obligation de formation de la direction : le §38 BSIG exige des formations documentées. Les dirigeants doivent connaître les fondamentaux de la sécurité informatique, les menaces actuelles et les exigences légales. La formation doit être documentée – c’est une preuve centrale de décharge en cas d’audit.
Contrôle d’accès et cryptographie : l’authentification multifacteur, la communication chiffrée et une gestion structurée des autorisations ne sont plus des recommandations optionnelles mais des obligations légales. Surtout dans les PME où les mots de passe simples et les comptes administrateur partagés sont encore la norme, cela représente un effort considérable.
5 étapes vers la conformité NIS2
Vérifier si vous êtes concerné
Votre entreprise fait-elle partie de l’un des 18 secteurs ? Avez-vous plus de 50 employés ou plus de 10 millions d’euros de chiffre d’affaires annuel ? Alors vous êtes très probablement concerné. Le BSI met à disposition un outil de vérification sur son site web.
Effectuer l’inscription BSI
La date limite officielle était le 6 mars 2026. Si vous l’avez manquée : effectuez-la immédiatement. L’inscription se fait via le portail de signalement et d’information du BSI. Chaque jour de retard augmente le risque d’amende.
Réaliser une analyse des écarts
Comparez votre posture actuelle de sécurité informatique avec les exigences du §30 BSIG. Où avez-vous déjà des mesures en place, où sont les lacunes ? Un auditeur externe ou un consultant spécialisé peut réaliser cette analyse en deux à quatre semaines.
Mettre en place un plan de réponse aux incidents
Définissez des canaux de signalement clairs, des responsabilités et des niveaux d’escalade. Exercez le scénario d’urgence au moins une fois par an avec un exercice sur table. Le délai de signalement de 24 heures au BSI nécessite des processus documentés qui s’activent immédiatement en cas de crise.
Former la direction et documenter
Le §38 BSIG exige des formations vérifiables de la direction. Ce n’est pas optionnel. Réservez des formations NIS2 certifiées et documentez la participation. Ces preuves sont décisives pour la décharge en cas d’audit.
En complément de la conformité NIS2, les entreprises devraient surveiller le Cyber Resilience Act qui impose des exigences supplémentaires aux fabricants de produits numériques. Et ceux qui veulent garder une vue d’ensemble réglementaire trouveront le deuxième grand bloc de conformité pour 2026 dans l’article sur l’EU AI Act.
Questions fréquentes
NIS2 s’applique-t-il aux entreprises de moins de 50 employés ?
En principe non. Le seuil est de 50 employés ou 10 millions d’euros de chiffre d’affaires annuel. Des exceptions s’appliquent aux entreprises dans des domaines particulièrement critiques comme les services DNS, les fournisseurs de services de confiance ou les opérateurs de domaines de premier niveau – ceux-ci tombent sous NIS2 indépendamment de leur taille.
Puis-je encore effectuer l’inscription BSI ?
Oui. La date limite du 6 mars 2026 est passée, mais l’inscription via le portail BSI reste possible. Les entreprises devraient effectuer l’inscription tardive immédiatement. L’inscription tardive elle-même est passible d’amende, mais le risque augmente chaque jour de retard.
Que se passe-t-il lors d’un incident de sécurité sous NIS2 ?
Les entreprises concernées doivent déposer un signalement initial auprès du BSI dans les 24 heures. Un rapport qualifié évaluant la gravité, l’étendue et les impacts transfrontaliers potentiels suit dans les 72 heures. Un rapport final est dû dans un délai d’un mois au plus tard.
Le dirigeant est-il personnellement responsable en cas de violation NIS2 ?
Oui. Le §38 BSIG prévoit une responsabilité personnelle de la direction. Les dirigeants doivent approuver les mesures de sécurité, en surveiller la mise en oeuvre et participer régulièrement à des formations. En cas de négligence grave ou d’intention, la responsabilité personnelle s’applique. Dans les cas graves, le BSI peut prononcer une interdiction temporaire d’exercer.
Combien coûte la mise en conformité NIS2 pour une PME ?
Cela dépend du niveau de sécurité actuel. Les entreprises disposant d’un SMSI existant selon ISO 27001 ont le moins d’efforts – elles doivent principalement ajouter les obligations de signalement et la formation de la direction. Les entreprises sans gestion structurée de la sécurité informatique doivent compter avec un investissement initial de 50 000 à 200 000 euros répartis sur six à douze mois.
Une certification ISO 27001 suffit-elle pour la conformité NIS2 ?
Une certification ISO 27001 couvre de nombreuses exigences NIS2 mais ne suffit pas à elle seule. NIS2 exige en plus l’inscription BSI, des obligations de signalement spécifiques dans les 24 heures, des formations vérifiables de la direction et la sécurisation de la chaîne d’approvisionnement. ISO 27001 est une excellente base mais doit être complétée par les obligations spécifiques NIS2.
À lire aussi
Source image titre : Pexels / Tima Miroshnichenko (px:5380596)
