Foire aux questions NIS2

L'Union européenne va-t-elle encore modifier ou ajuster la directive NIS 2 ?

La directive NIS 2 (UE) 2022/2555 est en vigueur en tant que droit de l'Union depuis janvier 2023 et fixe le cadre contraignant. Une modification ne serait possible que par une nouvelle procédure législative de l'UE et n'est pas prévue à ce jour. Les précisions arrivent plutôt par des actes d'exécution tels que le CIR (UE) 2024/2690, qui détaille les mesures techniques minimales au titre de l'article 21 pour certaines entités, et non par une refonte de la directive elle-même. Pour les entreprises, cela signifie : le contenu est établi, n'attendez pas de modifications, mais mettez en œuvre les obligations prévues par le droit applicable.

Y aura-t-il un financement fédéral pour soutenir la mise en œuvre de NIS 2 dans les entreprises ?

Une subvention fédérale dédiée spécifiquement à la mise en œuvre de NIS 2 n'est pas prévue à ce jour. Les obligations au titre de l'article 21 de la directive NIS 2 sont fondées sur le risque et proportionnées : l'effort s'adapte à la taille, à l'exposition au risque et à la probabilité de survenance, de sorte qu'une entreprise de taille moyenne n'a pas besoin d'une solution de groupe. Des subventions générales à la numérisation et au conseil de l'État fédéral et des Länder peuvent cofinancer certaines mesures selon le programme, ce qu'il vaut mieux vérifier auprès de votre service de financement compétent ou de votre chambre de commerce et d'industrie (IHK). Planifiez donc la mise en œuvre par vos propres moyens, le financement n'est pas garanti.

Quel est l'état actuel du BSIG et quand la loi de transposition de NIS 2 entre-t-elle en vigueur ?

La loi de transposition de NIS 2 est déjà en vigueur : le Bundestag l'a adoptée le 13 novembre 2025, le Bundesrat l'a approuvée le 21 novembre 2025, la promulgation au Journal officiel fédéral a eu lieu le 5 décembre 2025, et la loi s'applique depuis le 6 décembre 2025. Cela met en vigueur la loi sur le BSI fondamentalement révisée (BSIG nouvelle version), qui transpose la directive NIS 2 en droit allemand. Le délai d'enregistrement de trois mois suivant l'entrée en vigueur a expiré le 6 mars 2026. Quiconque est concerné et ne s'est pas encore enregistré doit le faire sans délai (voir ../anwendungsbereich/nis2-registrierung).

Où puis-je trouver le BSIG / la loi de transposition de NIS 2 ?

Vous trouverez la directive NIS 2 (UE) 2022/2555 en texte intégral sur EUR-Lex (Journal officiel L 333 du 27 décembre 2022), ainsi que le règlement d'exécution associé sous la référence CIR (UE) 2024/2690. La transposition allemande, c'est-à-dire la loi sur le BSI applicable dans sa nouvelle version, vous la lisez actuellement sur gesetze-im-internet.de (BSIG). Le texte de promulgation de la loi de transposition de NIS 2 (une loi omnibus) figure au Journal officiel fédéral du 5 décembre 2025. Pour la pratique courante, la version consolidée du BSIG sur gesetze-im-internet.de est la source la plus simple.

En quoi la loi de transposition de NIS 2 diffère-t-elle du BSIG ?

Le BSIG est la loi de fond : une loi individuelle autonome qui régit de façon permanente les missions du BSI ainsi que les obligations des entités essentielles et importantes. La loi de transposition de NIS 2, en revanche, est une loi omnibus, c'est-à-dire l'enveloppe législative qui refond le BSIG et modifie en même temps d'autres lois sectorielles (par exemple en droit des télécommunications, de l'énergie et de l'assurance sociale) afin de transposer pleinement la directive NIS 2 en droit allemand. En bref : la loi de transposition de NIS 2 a accompli sa tâche dès son entrée en vigueur et a injecté ses modifications dans les lois en vigueur. Ce qui régit vos obligations au quotidien est donc le BSIG dans sa nouvelle version, et non l'enveloppe.

Une entreprise peut-elle également être réglementée si les services concernés ne sont pas fournis en Allemagne ?

Oui. Ce qui compte n'est pas le lieu où un service est fourni, mais le lieu où l'entité est établie (article 26 de la directive NIS 2, transposé en Allemagne par les §59 et §60 BSIG). Quiconque est établi en Allemagne ou y a désigné un représentant peut être soumis à la supervision allemande, même si les clients sont situés à l'étranger. Une règle spéciale s'applique aux fournisseurs DNS, cloud, centre de données et similaires ainsi qu'aux fournisseurs de réseaux et de services de communications électroniques accessibles au public : pour eux, c'est l'établissement principal dans l'UE qui est déterminant, c'est-à-dire l'État membre dans lequel les décisions relatives aux mesures de gestion des risques sont prises de manière prépondérante. Quel établissement compte dans chaque cas est exposé sur la page wiki relative à un siège situé hors de l'UE.

Qu'entend-on exactement par le terme « négligeable » dans le contexte de l'article 28, paragraphe 3, BSIG, et selon quels critères cette classification est-elle effectuée ?

Négligeable désigne une activité dont l'ampleur, dans l'ensemble de l'entreprise, est si faible qu'elle ne pèse pas pour la classification comme entité importante ou essentielle. Les indicateurs sont le nombre de personnes qui y sont employées, le chiffre d'affaires généré par cette activité et la part de bilan associée, chacun rapporté à l'ensemble de l'activité. Aucun chiffre isolé ne décide à lui seul : ce qui compte est l'appréciation globale. En outre, si l'activité apparaît également dans l'objet social (statuts, contrat de société), cela plaide contre le caractère négligeable. En cas de doute, l'activité doit être documentée et traitée de manière conservatrice comme non négligeable.

Les régies municipales (Eigenbetriebe) sont-elles concernées par NIS 2 ?

Pas automatiquement. L'activité purement administrative au niveau municipal relève en principe du droit du Land (Landesrecht) et non du BSIG ; le Conseil de planification informatique (IT-Planungsrat) a expressément exclu le niveau municipal sur ce point. Une régie municipale ne devient concernée que lorsqu'elle relève elle-même de l'un des secteurs couverts (tels que l'énergie, l'eau, les eaux usées, les déchets) et qu'elle exploite soit une installation critique, soit atteint les seuils de taille des entités importantes ou essentielles. Ce qui est déterminant est donc l'activité concrète de la régie individuelle, et non la forme juridique d'une régie (Eigenbetrieb). Pour les services publics et les exploitants d'élimination des déchets, les tests du wiki aident, par exemple service public municipal ou exploitant d'élimination des eaux usées.

Mon entreprise relève-t-elle du champ d'application du BSIG / de la loi de transposition de NIS 2 ?

Cela dépend de trois questions : secteur, taille et cas particuliers. Premièrement, votre activité doit relever de l'un des secteurs nommés à l'annexe I ou II de la directive NIS 2 (en Allemagne, annexes 1 et 2 du BSIG). Deuxièmement, vous devez en règle générale compter au moins 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires annuel et de total de bilan annuel (entreprise de taille moyenne au sens de la recommandation 2003/361/CE) ; les entreprises plus petites ne sont couvertes que dans des cas exceptionnels désignés. Troisièmement, il existe des constellations qui s'appliquent indépendamment de la taille, par exemple les exploitants d'installations critiques ou certains fournisseurs du secteur de l'infrastructure numérique. La classification est une auto-classification ; le BSI n'envoie pas de notifications. Le test complet est fourni sur la page wiki Qui est concerné.

Comment classer les notions d'entité essentielle, importante et particulièrement importante ?

La directive NIS 2 connaît deux classes : les entités essentielles (annexe I) et les entités importantes (annexe II), article 3 de la directive NIS 2. Le BSIG allemand reprend cela, mais appelle la classe supérieure entité particulièrement importante (§28, paragraphe 1, BSIG) et l'autre entité importante (§28, paragraphe 2, BSIG) ; essentielle et particulièrement importante désignent donc le même niveau. La différence ne réside pas dans les obligations de sécurité, qui sont pour l'essentiel les mêmes, mais dans la supervision : les entités particulièrement importantes sont soumises à une supervision proactive, les entités importantes seulement à une supervision ex post déclenchée par un fait précis. Votre appartenance à la classe supérieure ou inférieure découle du secteur, de la taille et du statut d'exploitant d'une installation critique.

Comment l'assujettissement des entités au titre de l'article 28, paragraphe 1, point 4, BSIG est-il apprécié ?

L'article 28, paragraphe 1, point 4, BSIG couvre les entités des types de l'annexe 1 qui offrent des biens ou des services à une autre personne contre rémunération et qui réalisent un chiffre d'affaires annuel supérieur à 50 millions d'euros et, en même temps, un total de bilan annuel supérieur à 43 millions d'euros (transposition de l'article 3, paragraphe 1, de la directive NIS 2). L'appréciation se fait donc en deux étapes : votre activité appartient-elle à un secteur de l'annexe 1, et dépassez-vous cumulativement les deux seuils financiers ? Dans le calcul, les entreprises liées et partenaires au sens de la recommandation 2003/361/CE doivent être prises en compte. Si les deux seuils sont dépassés, vous comptez parmi les entités particulièrement importantes, sans que le nombre de salariés n'entre en ligne de compte.

Sur quelle base reposent les seuils de nombre de salariés, de chiffre d'affaires annuel et de total de bilan annuel utilisés pour classer les catégories d'entreprises à l'article 2, paragraphe 1, de la directive NIS 2, en particulier au regard du renvoi à l'article 2 de l'annexe de la recommandation 2003/361/CE ?

La directive NIS 2 ne définit pas elle-même les catégories de taille, mais renvoie à la définition de l'UE des petites et moyennes entreprises à l'article 2 de l'annexe de la recommandation 2003/361/CE. Selon celle-ci : une entreprise de taille moyenne compte moins de 250 salariés et soit au plus 50 millions d'euros de chiffre d'affaires annuel, soit au plus 43 millions d'euros de total de bilan annuel ; une petite entreprise est en deçà de 50 salariés et au plus à 10 millions d'euros pour les deux valeurs. NIS 2 couvre en principe les entreprises à partir de la taille moyenne, c'est-à-dire à partir de 50 salariés ou de plus de 10 millions d'euros de chiffre d'affaires et de total de bilan. Dans le calcul, les règles de liaison et de partenariat de la recommandation s'appliquent, à l'exception de l'article 3, paragraphe 4, de son annexe.

Le nombre de salariés et le niveau du chiffre d'affaires se rapportent-ils à un seul établissement (succursale) ou, le cas échéant, à l'ensemble de l'entreprise ?

Ce qui compte est l'ensemble de l'entreprise, et non la succursale ou l'établissement individuel. Le nombre de salariés, le chiffre d'affaires et le total de bilan sont déterminés au niveau de la personne morale, y compris les entreprises partenaires et liées à prendre en compte au titre de la recommandation 2003/361/CE (§28, paragraphe 4, BSIG). Une succursale ne doit donc pas être considérée isolément, mais comme partie du tout. Il ne peut en aller autrement que si une partie de l'exploitation fonctionne de manière démontrable de façon pleinement autonome quant aux systèmes informatiques, aux composants et aux processus.

Les entreprises liées qui ne sont pas actives en Allemagne ou pas dans l'UE doivent-elles être incluses dans le calcul des seuils de taille ?

Oui. Dans le calcul des seuils, les entreprises partenaires et liées au titre de la recommandation 2003/361/CE doivent être intégralement incluses, qu'elles soient situées en Allemagne, dans un autre État membre de l'UE ou hors de l'UE (§28, paragraphe 4, BSIG en liaison avec la recommandation). Les salariés, le chiffre d'affaires et le total de bilan des entreprises liées s'ajoutent donc proportionnellement ou intégralement à l'échelle mondiale. La localisation géographique d'une société mère ou sœur ne change rien à son inclusion. La question de savoir si votre entreprise est ensuite effectivement soumise à la supervision allemande est tranchée séparément par la question de l'établissement (article 26 de la directive NIS 2).

Si une société mère et une filiale ayant une informatique partagée doivent chacune être rattachées à l'un des types d'entités couverts et atteignent (conjointement) la règle de seuil de taille, les deux sociétés sont-elles alors couvertes, ou suffit-il que les conditions soient remplies par le groupe parent ?

Les deux sont couvertes. NIS 2 s'attache à la personne morale individuelle : si la société mère et la filiale doivent chacune être rattachées à un secteur couvert et atteignent les seuils, chacune est de plein droit une entité ayant ses propres obligations au titre des §30 et suivants BSIG. Une informatique utilisée conjointement n'y change rien et n'exonère pas la filiale. En pratique, la gestion des risques, la notification et les preuves peuvent être organisées et partagées de manière centralisée, mais la responsabilité juridique reste distincte pour chaque entité. L'enregistrement et la conformité doivent donc être assurés indépendamment pour chaque entreprise concernée.

À qui peut-on s'adresser si, malgré le test d'assujettissement du BSI, des questions sur l'assujettissement dans le cas individuel concret subsistent ?

Le BSI publie un auto-test en ligne (test d'assujettissement) pour la classification de base, mais ne fournit pas de conseil juridiquement contraignant sur les cas individuels et ne délivre pas d'avis déclaratoires. Si des doutes subsistent après l'auto-test, un examen juridique du cas individuel concret est la voie nette, par exemple par des avocats ou des consultants spécialisés en NIS 2. Documentez votre classification et les chiffres sous-jacents de manière compréhensible, car en cas de doute vous devez pouvoir justifier vous-même l'auto-classification. La page wiki relative à l'auto-classification montre comment consigner proprement cette classification.

Je souhaite demander une exemption de NIS 2. Est-ce possible ?

Non. Il n'existe pas de procédure sur demande par laquelle une entité pourrait se faire exempter de NIS 2. Les rares exceptions sont fixées dans la loi elle-même (§37 BSIG, fondé sur l'article 2 de la directive NIS 2) et relèvent exclusivement de l'initiative des autorités fédérales qui y sont nommées, par exemple pour certaines activités dans le domaine de la sécurité nationale, de la défense ou de la répression pénale. Le BSI ne peut ni demander ni accorder de telles exceptions. Si vous estimez ne pas être concerné, la voie correcte n'est donc pas une demande, mais une auto-classification nette et documentée qui prouve que les seuils de secteur ou de taille ne sont pas atteints.

Les entités essentielles et importantes doivent, entre autres, communiquer leurs plages d'adresses IP publiques au titre de la loi de transposition de NIS 2. Quelles informations doivent être fournies ici ?

Lors de l'enregistrement, l'article 27 de la directive NIS 2 (transposé en Allemagne au §33 BSIG) exige le nom et la forme juridique, l'adresse, les coordonnées à jour, le secteur concerné, une liste des États membres dans lesquels des services sont fournis, et précisément les plages d'adresses IP publiques. Cela vise uniquement les plages d'adresses statiques, routées publiquement, sous lesquelles votre entité est joignable de l'extérieur ou exploite des systèmes critiques. Les adresses dynamiques et les plages IP que vous attribuez à vos clients finaux ne sont pas incluses. En pratique, vous indiquez donc vos propres réseaux enregistrés (souvent en notation CIDR), et non chaque adresse individuelle. La procédure et les délais sont expliqués sur /wiki/anwendungsbereich/nis2-registrierung.

Comment les services numériques sont-ils définis ?

La directive NIS 2 n'introduit pas un terme générique unique « service numérique », mais nomme trois types spécifiques à l'article 6 : place de marché en ligne, moteur de recherche en ligne et plateforme de services de réseaux sociaux. Chacun de ceux-ci est un service au sens de la directive (UE) 2015/1535, c'est-à-dire un service normalement fourni contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire. Ces trois fournisseurs appartiennent au secteur des services numériques à l'annexe I de la directive. L'informatique en nuage, les centres de données, le CDN et les services comparables sont des catégories distinctes d'infrastructure numérique, et non une partie de cette définition. Vérifiez votre cas précis via /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Quelles stratégies sont nécessaires pour intégrer des exigences juridiques éventuellement divergentes pour la mise en œuvre de NIS 2, telles qu'elles existent en Allemagne et ailleurs en Europe, dans un système unique de management de la sécurité de l'information (ISMS) de manière conforme à la loi et pour l'assurer en continu ?

Bâtissez votre ISMS sur le socle commun de l'UE : les obligations de l'article 21 de la directive NIS 2 et les exigences techniques minimales du règlement d'exécution CIR 2024/2690 s'appliquent à l'identique dans tous les États membres et constituent le noyau. Au-dessus de ce noyau, vous ajoutez, sous forme de couche, les spécificités nationales des pays dans lesquels vous opérez, par exemple des règles de notification différentes ou des obligations supplémentaires. En pratique, cela signifie : un seul ensemble de mesures et de preuves, plus un registre qui documente pour chaque pays l'écart et l'autorité compétente. Là où les pays sont d'une sévérité différente, vous atteignez le niveau le plus élevé à l'échelle du groupe, alors vous êtes conforme partout. Des normes reconnues telles qu'ISO 27001 ou l'IT-Grundschutz du BSI fournissent le cadre commun pour cela.

Que signifie « état de l'art » ? En existe-t-il une définition ?

Il n'existe pas de définition juridique fixe, et c'est intentionnel : l'état de l'art décrit ce qui est actuellement établi et éprouvé dans la pratique comme mesures de sécurité efficaces, et il évolue dans le temps. L'article 21, paragraphe 1, de la directive NIS 2 (en Allemagne §30 BSIG) exige que vous le preniez en compte et que vous vous appuyiez à cet effet sur les normes européennes et internationales pertinentes. La référence est donc constituée d'ouvrages reconnus tels qu'ISO/IEC 27001, l'IT-Grundschutz du BSI ou les lignes directrices de l'ENISA, et non ce qu'il y a de plus récent sur le marché. Les mesures doivent en outre être proportionnées : la situation de risque, la taille de l'entité et les coûts de mise en œuvre sont pris en compte. Vous vous orientez sur les normes actuelles et documentez pourquoi votre choix correspond au risque.

Questions sur la classification des sociétés d'un groupe et des services informatiques qu'elles fournissent en lien avec la classification comme fournisseur de services gérés (MSP)

Un service géré existe au sens de l'article 6, point 39, de la directive NIS 2 lorsqu'un fournisseur installe, exploite, gère ou maintient des systèmes informatiques ou des applications pour autrui et en assume la responsabilité opérationnelle. Ce qui est déterminant est cette responsabilité opérationnelle, et non l'appartenance à un groupe. Une société informatique centrale qui administre activement des systèmes pour des sociétés sœurs peut donc se qualifier elle-même comme MSP et relever indépendamment du champ d'application. Une pure société holding qui ne s'occupe que du pilotage des activités, sans exploiter opérationnellement les systèmes d'un tiers, n'est en revanche pas un MSP. Vérifiez séparément pour chaque société du groupe qui exploite réellement quels services : /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Les entreprises qui exploitent des installations critiques sous l'ancien cadre juridique (BSIG avant le 6 décembre 2025 en combinaison avec la BSI-KritisV) et dont le siège est à l'étranger sont-elles encore des exploitants KRITIS après l'entrée en vigueur du BSIG (nouvelle version) ?

Oui. Pour les exploitants KRITIS, ce qui compte est le lieu où se trouve l'installation critique et où elle fournit des services d'approvisionnement en Allemagne, et non le lieu du siège du groupe. Quiconque exploite une installation qui atteint les seuils du règlement KRITIS en Allemagne reste donc également un exploitant KRITIS sous le nouveau BSIG, indépendamment d'un siège à l'étranger. La situation ne diffère que pour certains services transfrontaliers (tels que des parties de l'infrastructure numérique), pour lesquels l'article 26 de la directive NIS 2 prévoit sa propre règle de compétence. Plus sur la question du siège sur /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

J'exploite un serveur DNS à titre privé. Dois-je m'enregistrer dans le portail du BSI et soumettre des notifications ?

Non. La directive NIS 2 s'adresse aux entités qui offrent un service couvert à titre commercial, et non aux exploitants amateurs privés. Sont réglementés dans le secteur de l'infrastructure numérique les fournisseurs de services DNS et les registres de noms TLD qui fournissent ces services en tant qu'organisation pour des tiers (article 3 et annexe I de la directive). Un serveur DNS exploité à titre privé sans fourniture commerciale de service n'est pas couvert, il n'y a donc pas d'enregistrement et il n'y a pas d'obligations de notification. Dès que cela devient un service offert à des tiers, la classification change.

Une entreprise en principe soumise à NIS 2 mais en cours de liquidation à court terme et n'exerçant plus d'activité commerciale significative doit-elle encore être classée comme entité importante ou essentielle ?

Tant que l'entreprise existe juridiquement et fournit encore le service couvert, elle reste une entité importante ou essentielle, y compris pendant la liquidation. La classification au titre de l'article 3 de la directive NIS 2 s'attache à l'activité effective, et non à l'intention de cesser. Si l'entité interrompt définitivement l'activité commerciale couverte, la condition cesse de s'appliquer et avec elle l'assujettissement ; jusque-là, les obligations continuent de s'appliquer. Une simple cessation d'activité annoncée mais pas encore achevée ne suffit pas. Tant que les systèmes dignes de protection fonctionnent, l'enregistrement et la gestion des risques restent dus.

Les services SaaS offerts de manière autonome doivent-ils être classés comme services d'informatique en nuage au sens du BSIG s'ils s'exécutent sur l'infrastructure de fournisseurs cloud externes et que le fournisseur SaaS n'exploite pas lui-même les ressources informatiques ?

Ce qui est déterminant est la définition d'un service d'informatique en nuage à l'article 6, point 30, de la directive NIS 2 : un service qui permet une administration à la demande et un accès distant large à un ensemble partageable de ressources informatiques modulables et élastiques. Ce qui compte est ce que vous offrez vers l'extérieur, et non si le matériel sous-jacent vous appartient. Une offre SaaS peut satisfaire à ces caractéristiques même si elle s'exécute sur une infrastructure tierce. Si, en revanche, votre SaaS offre une application spécialisée clairement définie sans ces caractéristiques de cloud, ce n'est pas un service d'informatique en nuage au sens de la directive. Vérifiez les caractéristiques précises sur /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

La distinction entre responsabilité commerciale et responsabilité opérationnelle, déterminante pour les MSP, est-elle aussi transposable à d'autres services du secteur de l'infrastructure numérique (ou à d'autres secteurs du BSIG) ?

La distinction entre responsabilité commerciale et responsabilité opérationnelle est une idée de test utile, mais elle ne remplace pas la définition juridique respective. Pour chaque type de service, c'est d'abord le libellé de l'article 6 de la directive NIS 2 qui s'applique, par exemple pour le service d'informatique en nuage, le service de centre de données ou le fournisseur de services DNS. Pour nombre de ces services, la classification revient à celui qui fournit et exploite effectivement le service, c'est-à-dire qui en assume la responsabilité opérationnelle. Une simple responsabilité commerciale ou contractuelle sans exploitation propre n'établit généralement pas le rôle d'entité. Appliquez donc le critère par type de service sur la base de la définition qui s'y rapporte, et non comme une règle générale.

Est-ce que je relève de la définition d'un prestataire de services de confiance ?

Les prestataires de services de confiance sont définis à l'article 3 du règlement eIDAS (UE) n° 910/2014 : fournisseurs de services de confiance électroniques tels que les signatures et cachets électroniques, les horodatages, les services d'envoi recommandé électronique ou les certificats d'authentification de site internet. Si vous offrez un tel service à titre commercial, vous relevez de cette définition et donc du champ d'application de NIS 2. Les prestataires de services de confiance qualifiés comptent à cet égard comme entités essentielles, indépendamment de leur taille. Quiconque n'utilise des signatures ou des certificats qu'en interne, sans les offrir comme un service, n'est pas un prestataire de services de confiance. Une vérification détaillée se trouve sur /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

Dans le secteur « production, fabrication et commerce de substances chimiques », s'agissant du « commerce de substances chimiques », tout commerce de produits finis composés de substances chimiques relève-t-il du champ d'application ?

Non, pas tout commerce de produits contenant des substances chimiques. L'annexe II de la directive NIS 2 couvre la fabrication et le commerce de substances chimiques et de mélanges ainsi que la production d'articles à partir de ces substances, chacun au sens du règlement REACH (CE) n° 1907/2006. Ce qui est visé, ce sont donc les substances et les mélanges en tant que tels, et non chaque produit fini qui a, à un moment donné, été fabriqué à partir de substances chimiques. Quiconque fait le commerce d'articles finis (tels que des meubles ou de l'électronique) ne fait pas le commerce de substances chimiques en ce sens. En outre, les critères de taille doivent être remplis pour que l'assujettissement naisse.

Comment déterminer le code NACE de mon entreprise ?

Vous déterminez le code NACE (transposé en Allemagne sous la forme du code WZ, actuellement WZ 2025) selon votre activité économique principale, c'est-à-dire l'activité avec laquelle vous générez la plus grande part de valeur ajoutée ou de chiffre d'affaires. Les points de repère sont votre inscription au registre du commerce et le code tenu par l'Office fédéral de la statistique ou votre IHK. Si votre entreprise exerce plusieurs activités, rattachez chacune à la classe appropriée et vérifiez chacune individuellement pour l'assujettissement. Vous pouvez aussi trouver le code via la base de données de classification de l'Office fédéral de la statistique. Ce qui est déterminant pour NIS 2 est ce que vous faites réellement, et non le seul code enregistré.

Quel rôle jouent les codes NACE pour déterminer si une entité relève du champ d'application ?

Les codes NACE sont une aide d'orientation, mais pas le critère juridique. Le fait que vous releviez du champ d'application est régi par les secteurs et les types d'entités des annexes I et II de la directive NIS 2 conjointement avec les seuils de taille, et non par la simple attribution d'un code. Le code NACE ou WZ vous aide à rattacher votre activité à l'un de ces secteurs, mais ne remplace pas l'appréciation de fond. Il peut arriver qu'un code corresponde grosso modo mais que l'activité ne relève pas de la définition juridique, et inversement. Ce qui reste déterminant est votre activité effective mesurée à l'aune de la définition : vous trouverez le test complet sur /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Les entreprises doivent-elles mettre en place une cellule de crise pour gérer les incidents ?

Non, une cellule de crise formelle n'est pas exigée par la loi. L'article 21, paragraphe 2, point c), de la directive NIS 2 (transposé au §30 BSIG) exige des mesures de continuité d'activité et de gestion de crise, mais laisse ouverte la manière dont vous l'organisez. Ce qui compte est que les responsabilités, la disponibilité et les procédures en cas d'urgence soient définies et exercées. Dans une exploitation à deux personnes, cela peut être un bref jeu d'instructions, dans des organisations plus grandes une équipe désignée. La référence est la proportionnalité au titre de l'article 21, paragraphe 1.

L'analyse de risque exigée par la loi de transposition de NIS 2 porte-t-elle sur l'ensemble de l'entreprise ou spécifiquement sur les cybermenaces et leur incidence sur les systèmes informatiques ?

Elle porte sur les risques pesant sur vos réseaux et systèmes d'information, et non sur une analyse de risque d'entreprise générale. L'article 21, paragraphe 2, point a), de la directive NIS 2 (§30 BSIG) nomme expressément les politiques relatives à l'analyse de risque et à la sécurité des systèmes d'information. Cela vise les systèmes avec lesquels vous traitez, stockez ou transmettez des informations, et les menaces qui mettent en danger leur disponibilité, leur intégrité et leur confidentialité. Le périmètre n'est pas rigide : il suit le risque effectif et l'importance des systèmes pour vos activités (article 21, paragraphe 1).

Mon entreprise remplit les critères pour se qualifier comme entité essentielle ou exploitant KRITIS, ou comme entité importante. Quelles obligations doivent être remplies ?

Trois ensembles d'obligations s'appliquent de manière identique aux deux catégories. Premièrement, l'enregistrement auprès du BSI, coordonnées comprises (article 27, §33 BSIG). Deuxièmement, les mesures de gestion des risques du catalogue de l'article 21, paragraphe 2 (§30 BSIG), allant de l'analyse de risque à la cryptographie et au contrôle d'accès en passant par le traitement des incidents et la chaîne d'approvisionnement. Troisièmement, la notification échelonnée des incidents de sécurité importants au titre de l'article 23 (§32 BSIG) : alerte précoce dans les 24 heures, confirmation dans les 72 heures, rapport final après un mois. La différence réside dans la supervision : les entités essentielles sont supervisées de manière proactive, les entités importantes sur une base ex post. Vous trouverez le test de classification complet sur Wer ist betroffen.

À partir de quand les obligations du BSIG / de la loi de transposition de NIS 2 s'appliquent-elles ?

Les obligations s'appliquent directement dès l'entrée en vigueur de la transposition allemande. La loi de transposition de NIS 2 a été promulguée le 5 décembre 2025 et est entrée en vigueur le 6 décembre 2025. Les obligations de gestion des risques et de notification s'appliquent donc à compter de ce moment ; une période de grâce distincte pour les mesures de fond n'est pas prévue. Seul l'enregistrement a son propre délai (§33 BSIG), voir Registrierung.

Y aura-t-il une période transitoire ?

Pour les obligations de sécurité de fond, il n'y a pas de période transitoire générale. Quiconque relève du champ d'application doit satisfaire aux mesures de l'article 21 (§30 BSIG) dès le moment où elles s'appliquent. Seul l'enregistrement est échelonné dans le temps : il doit être effectué dans un délai de trois mois à compter du moment où vous vous qualifiez comme entité (§33 BSIG). Les exploitants KRITIS dont le délai de preuve existant tombait au cours des douze premiers mois suivant l'entrée en vigueur peuvent, à leur choix, utiliser leur date d'origine.

Quelles exigences sont posées quant à la joignabilité des entités importantes et essentielles ?

Vous devez donner au BSI un point de contact joignable, en règle générale un numéro de téléphone et une adresse e-mail, et tenir ces coordonnées à jour (article 27, §33 BSIG). Par ce canal, le BSI transmet les notifications d'incidents, les avertissements et les demandes de suivi. La loi ne prescrit aucune qualification particulière pour les personnes derrière. Ce qui compte est uniquement que le point de contact soit effectivement joignable et que les notifications puissent être traitées rapidement, afin que l'alerte précoce de 24 heures au titre de l'article 23 fonctionne. Pour les exploitants KRITIS, des exigences de joignabilité plus strictes s'appliquent en outre.

Nous avons entièrement externalisé notre informatique à des prestataires externes. Quelles obligations devons-nous alors encore, en tant qu'entité importante, remplir tout court ?

Vous pouvez externaliser l'exploitation, mais pas la responsabilité. Les obligations du §30 BSIG restent adressées à votre entité, et non au prestataire. Concrètement, cela signifie : vous devez gérer la sécurité de la chaîne d'approvisionnement (article 21, paragraphe 2, point d), c'est-à-dire assurer contractuellement que votre prestataire met en œuvre des mesures appropriées et vous signale les incidents. L'enregistrement, la notification des incidents importants au titre de l'article 23, ainsi que l'approbation et la supervision des mesures par la direction (article 20, §38 BSIG) restent à votre charge. Plus à ce sujet sous Bin ich MSP-Kunde.

À partir de quand l'installation photovoltaïque sur le toit de l'entreprise compte-t-elle comme infrastructure critique ?

Une installation de toiture pour l'autoconsommation n'est en règle générale pas une infrastructure critique. Le statut KRITIS ne naît que lorsqu'une installation de production d'électricité atteint le seuil de la BSI-KritisV, actuellement 104 mégawatts de puissance nominale nette installée (annexe 1, secteur de l'énergie). Ce qui est déterminant est l'injection dans l'approvisionnement général, et non l'autoconsommation. La classification comme installation critique ne prend en outre effet que le 1er avril de l'année suivant la première atteinte du seuil. Une installation de toiture typique se situe à des ordres de grandeur en dessous de cela.

Les entreprises doivent-elles démontrer le respect des exigences ?

Oui, vous devez pouvoir prouver la mise en œuvre, mais la forme de la preuve diffère selon la catégorie. Les entités essentielles et importantes sont soumises à la supervision du BSI (articles 32 et 33, §61 et suivants BSIG) : le BSI peut demander des informations, des documents et des inspections, mais une certification obligatoire régulière n'est pas prescrite pour elles. Vous devez donc documenter les politiques, les mesures et le traitement des incidents de telle sorte que vous puissiez les présenter sur demande. Une obligation de preuve périodique au sens étroit ne s'applique qu'aux exploitants KRITIS.

Je suis un exploitant KRITIS. Quand dois-je soumettre mes documents de preuve conformément au BSIG / à la loi de transposition de NIS 2 ?

Les exploitants KRITIS démontrent au BSI le respect des exigences tous les trois ans (§39 BSIG) ; le cycle d'audit a été prolongé de deux à trois ans. Le BSI a individuellement notifié aux exploitants enregistrés leurs nouvelles dates de soumission. Si votre date antérieure tombait au cours des douze premiers mois suivant l'entrée en vigueur, vous pouvez, à votre choix, utiliser la date d'origine. Ce qui est déterminant est toujours la date qui vous a été spécifiquement indiquée, et non une date butoir générale.

Comment puis-je démontrer que mon entreprise met en œuvre les mesures requises ?

Vous apportez la preuve par votre propre documentation : votre gestion des risques, les mesures techniques et organisationnelles que vous avez prises, et la preuve qu'elles sont efficaces (politiques, configurations, rapports d'audit, registres de formation). La disposition régissante est l'article 21 de la directive NIS 2 (UE) 2022/2555, transposé en Allemagne au § 30 BSIG ; le CIR (UE) 2024/2690 détaille les mesures pour certains types d'entités. Un certificat délivré par un organisme externe peut étayer cette documentation, mais ne la remplace pas : ce qui compte est que vos enregistrements couvrent les exigences juridiques spécifiques. Une obligation de soumettre des preuves au BSI ne naît qu'une fois que le BSI ordonne une inspection (§ 61 BSIG) ou que vous relevez de l'obligation de preuve régulière en tant qu'exploitant d'installations critiques (§ 39 BSIG).

L'IT-Grundschutz du BSI est-il obligatoire pour toutes les entités couvertes par NIS 2 ?

Non. L'article 21 de la directive NIS 2 et le § 30 BSIG ne prescrivent aucune procédure particulière, mais exigent des mesures appropriées, proportionnées et efficaces conformes à l'état de l'art. L'IT-Grundschutz est la méthodologie publiée par le BSI avec laquelle ces exigences peuvent être satisfaites proprement, et les organismes d'évaluation l'acceptent. Vous pouvez remplir les obligations tout aussi bien par ISO 27001 ou par un autre ISMS reconnu, tant que les mesures couvrent vos risques spécifiques. Ce qui compte n'est pas le nom de la norme, mais que les points énumérés au § 30 soient effectivement mis en œuvre et documentés.

Outre ISO 27001 et le Grundschutz du BSI, une certification d'entreprise selon VdS 10000 suffit-elle également à satisfaire aux exigences de la loi de transposition de NIS 2 ?

VdS 10000 peut être un point de départ judicieux, mais à elle seule elle ne couvre pas automatiquement toutes les exigences du § 30 BSIG et de l'article 21 de la directive NIS 2. Aucun certificat, pas même ISO 27001 ou l'IT-Grundschutz, n'est une preuve générale de conformité : ce qui reste déterminant est de savoir si vos mesures couvrent les domaines exigés par la loi de manière complète et proportionnée au risque. Utilisez donc VdS 10000 comme un élément de votre gestion des risques et confrontez-la spécifiquement aux exigences du § 30 afin de combler d'éventuelles lacunes (par exemple dans la chaîne d'approvisionnement ou la notification).

Si une certification ISO 27001 ne suffit pas à satisfaire aux exigences du BSIG, comment les clients peuvent-ils être assurés que mon entreprise est conforme à NIS 2 ? L'ensemble de l'ISMS doit-il être divulgué à cet effet ?

Non, vous n'avez pas à divulguer l'intégralité de votre ISMS. Vis-à-vis des clients, vous démontrez généralement le respect de l'article 21 de la directive NIS 2 et du § 30 BSIG par des preuves ciblées : un certificat ISO 27001 accompagné d'une déclaration d'applicabilité correspondante, une déclaration de conformité NIS 2, des questionnaires fournisseurs remplis ou des synthèses d'audit individuelles. Ce qui compte est que ces preuves reflètent les mesures pertinentes pour la relation d'affaires, et non l'ensemble de votre corpus de règles interne. Une obligation formelle de preuve vis-à-vis du BSI n'existe que pour les exploitants d'installations critiques (§ 39 BSIG) ou sur injonction (§ 61 BSIG) ; vis-à-vis des clients, c'est ce que vous convenez contractuellement qui s'applique.

Existe-t-il des exigences de certification obligatoires pour le conseil aux entreprises et aux entités dans le contexte de NIS 2, et comment cela s'applique-t-il lors de la réalisation d'inspections pour produire des preuves ?

Pour le travail de conseil lui-même, ni la directive NIS 2 ni le BSIG ne nomment de certification obligatoire : quiconque peut conseiller, et une accréditation des conseillers n'est pas exigée par la loi. Il en va différemment pour les inspections formelles de preuve des exploitants d'installations critiques au titre du § 39 BSIG : celles-ci sont réalisées par des audits de sécurité, des examens ou des certifications tous les trois ans, et le BSI fixe les exigences pour les organismes qui les réalisent. Si le BSI ordonne une inspection chez d'autres entités essentielles (§ 61 BSIG), ses exigences s'appliquent en conséquence. Prêtez donc attention à la qualification de l'organisme inspectant là où la loi exige une inspection formelle, et pas déjà dans le cas d'un simple conseil.

L'exigence de l'article 30, paragraphe 2, point 4, BSIG relative à la sécurité de la chaîne d'approvisionnement peut-elle être satisfaite en exigeant des certificats (ISO 27001, TISAX, etc.) des fournisseurs ou prestataires directs ?

Non, un certificat à lui seul ne satisfait pas à l'exigence. L'article 21, paragraphe 2, point d), de la directive NIS 2, transposé en Allemagne à l'article 30, paragraphe 2, point 4, BSIG, exige votre propre concept de sécurité de la chaîne d'approvisionnement : vous devez évaluer les risques de chaque fournisseur direct, définir des critères de sélection et surveiller l'ensemble sur toute la durée du contrat. Un certificat ISO 27001 ou TISAX est ici un élément utile et peut faciliter l'évaluation, mais il ne remplace pas votre propre évaluation fondée sur le risque, car le périmètre d'un certificat ne couvre souvent que des parties du fournisseur. Vérifiez donc exactement ce qui est certifié, et documentez pourquoi le certificat est suffisant pour le service que vous vous procurez.

Que conseillez-vous aux entreprises concernées par le BSIG d'exiger des éditeurs de logiciels et des prestataires ?

Définissez des exigences de sécurité concrètes et vérifiables et inscrivez-les dans les contrats, au lieu de vous fier à des assurances générales. Des éléments judicieux sont : des preuves vérifiables de l'éditeur sur la sécurité du produit (telles que stratégie de correctifs, traitement des vulnérabilités, durée de support), une obligation pour le prestataire de signaler les incidents de sécurité qui préserve votre propre délai de 24 heures au titre de l'article 23 de NIS 2 (§32 BSIG), ainsi qu'un questionnaire fournisseur standardisé et rempli. Pour des catalogues de questions et des exigences minimales harmonisés à l'échelle d'un secteur, le BSI renvoie aux travaux menés dans le cadre de l'UP KRITIS. Pour les prestataires fortement interconnectés tels que les fournisseurs de services gérés, des attentes supplémentaires s'appliquent (voir ./bin-ich-msp-managed-service-provider).

Quand l'enregistrement au titre de l'article 33, paragraphe 1, BSIG est-il possible dans le portail du BSI, comment l'enregistrement est-il effectué, et comment fonctionne le processus de notification au titre de l'article 32 BSIG ?

L'enregistrement est possible dès que vous vous qualifiez comme entité concernée, et il doit avoir lieu dans un délai de trois mois après que vous relevez du champ d'application pour la première fois ou de nouveau (article 27 de NIS 2, en Allemagne article 33, paragraphe 1, BSIG). Le processus comporte deux étapes : vous créez d'abord un compte avec Mein Unternehmenskonto (MUK) à l'aide du certificat d'organisation ELSTER, puis vous enregistrez l'entité dans le portail du BSI. Vous notifiez ensuite les incidents de sécurité par le portail du BSI également, en suivant la procédure en trois temps : alerte précoce, rapport de suivi et rapport final (article 23 de NIS 2, en Allemagne article 32 BSIG). Vous trouverez un guide étape par étape sous Enregistrement.

Que fait le BSI pour soutenir les entreprises concernant les enregistrements NIS 2 en suspens ?

Le BSI fournit un test d'applicabilité, une rubrique FAQ, des paquets d'information et des webinaires afin que les entités puissent évaluer et remplir elles-mêmes leur obligation d'enregistrement (base : article 27 de NIS 2, §33 BSIG). Le fait de savoir si vous êtes concerné tout court est quelque chose que vous clarifiez d'abord en fonction du secteur et de la taille. Vous trouverez l'auto-test complet sous Qui est concerné.

Comment une entreprise peut-elle enregistrer des composants critiques ?

Les composants critiques ne concernent que les exploitants d'installations critiques (l'ancienne logique KRITIS), et non chaque entité NIS 2, et ils sont déclarés de manière sectorielle. Le secteur de l'énergie utilise pour cela des modèles Excel chiffrés, le secteur des télécommunications utilise ses propres modèles avec chiffrement PGP. Si vous n'êtes pas exploitant d'une installation critique, cette étape n'est pas pertinente pour vous ; ce qui compte alors est uniquement l'enregistrement de l'entité au titre du §33 BSIG.

L'enregistrement dans le portail du BSI peut-il être effectué pour une entité qui n'a pas de numéro fiscal allemand ?

Oui. Mein Unternehmenskonto exige certes un numéro fiscal allemand, mais les entités étrangères peuvent en demander un auprès du centre des impôts de Neubrandenburg (Referat RAB). Vous envoyez le formulaire de demande à l'adresse qui y est indiquée et recevez le numéro fiscal par voie postale ; lors de la création du compte, vous sélectionnez le Mecklenburg-Vorpommern comme Land. Si votre siège est situé hors de l'UE, vous devriez en outre vérifier l'obligation de désigner un représentant dans l'UE sous Siège hors de l'UE.

Lors de l'enregistrement dans le portail du BSI, vous devez indiquer les États membres de l'UE dans lesquels vous fournissez un « service ». Qu'entend-on par là ?

On entend l'activité qui fait relever votre entité du champ d'application en premier lieu, c'est-à-dire votre service principal dans le secteur respectif, et non chaque service accessoire ni chaque lieu où sont simplement utilisés vos produits. Vous devez indiquer les États membres dans lesquels vous fournissez effectivement ce service (en lien avec l'article 26 de NIS 2 sur la compétence). Si vous êtes actif dans plusieurs pays, la classification sous Auto-classification vous aide.

Les entreprises actives à l'international peuvent-elles effectuer leur enregistrement et la notification des incidents de sécurité de manière centralisée auprès du BSI et ainsi, en même temps, remplir leurs obligations au titre de la loi de transposition de NIS 2 pour tous les États membres de l'UE ?

Le principe d'une compétence unique au siège ne s'applique qu'à un groupe étroitement limité de services numériques : les services DNS, les registres TLD, les fournisseurs cloud et de centres de données, les fournisseurs de services gérés, les réseaux de diffusion de contenu et les plateformes en ligne s'enregistrent de manière centralisée auprès de l'autorité de leur siège (articles 26 et 27 de NIS 2, en Allemagne §60 BSIG). Toutes les autres entités sont soumises à la supervision de chaque État membre dans lequel elles sont actives et doivent s'enregistrer et notifier séparément dans chacun de ces États. Un enregistrement unique auprès du BSI ne couvre donc généralement pas vos obligations dans les autres pays.

J'ai des questions sur le portail du BSI et l'enregistrement. Le BSI fournit-il aussi des informations à ce sujet ?

Oui. Le BSI tient sa propre rubrique FAQ spécifiquement sur le portail du BSI et la procédure d'enregistrement et y fournit des guides et de l'assistance. Pour les questions techniques sur Mein Unternehmenskonto, contactez son support ; pour les questions de contenu sur l'enregistrement NIS 2, utilisez les canaux de contact du BSI. Nous résumons le processus d'enregistrement sous Enregistrement.

En tant qu'entité réglementée par DORA, dois-je m'enregistrer auprès du BSI ?

Oui, l'obligation d'enregistrement au titre du §33 BSIG demeure même si vous relevez de DORA en tant qu'entreprise financière. DORA est lex specialis pour les obligations de fond de sécurité et de notification : en tant qu'entreprise réglementée par DORA, vous êtes exempté des §30, §31, §32, §35, §36, §38 et §39 BSIG et vous notifiez les incidents qui concernent exclusivement des entités DORA selon les règles de DORA au lieu du §32 BSIG (base : article 4 de NIS 2). Vous devez néanmoins effectuer l'inscription dans le portail du BSI.

Quel objectif le BSI poursuit-il avec l'obligation de notification ? La notification la plus rapide possible avec le risque qu'un incident survenu n'ait pas conduit à une menace réelle, ou bien réellement la seule notification d'incidents pertinents où une menace s'est matérialisée ? Comment les notions de prise de connaissance (Kenntniserlangung) et d'incident de sécurité sont-elles définies concrètement pour l'obligation de notification ?

L'objectif est la rapidité plutôt que l'exhaustivité : l'art. 23 de la directive NIS 2 (transposé au §32 BSIG) exige une alerte précoce dans les 24 heures, une notification dans les 72 heures, et un rapport final au plus tard après un mois. Le délai court de 24 heures vise à donner à l'autorité une image situationnelle précoce afin que d'autres entités puissent être averties. Il vaut mieux notifier trop tôt et avec incertitude que trop tard. La prise de connaissance désigne le moment à partir duquel votre entité peut, avec une certitude raisonnable, apprécier l'incident comme important (non seulement après une analyse complète de la cause profonde), et le délai de 24 heures court à compter de ce moment. Un incident de sécurité est important au titre de l'art. 23, paragraphe 3, de la directive NIS 2 s'il a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière, ou s'il a affecté ou est susceptible d'affecter d'autres personnes en causant un dommage matériel ou moral considérable.

Sera-t-il possible de faire des notifications volontaires concernant des incidents de sécurité ?

Oui. L'art. 30 de la directive NIS 2 (transposé au §35 BSIG) prévoit expressément des notifications volontaires, y compris pour des entités qui ne relèvent pas du tout de NIS 2, et pour des incidents sous le seuil d'importance. Les notifications volontaires sont traitées de la même manière que les notifications obligatoires, mais avec une priorité moindre : les notifications obligatoires priment. Une notification volontaire ne fait naître aucune obligation supplémentaire, et elle ne peut pas être interprétée au désavantage de l'entité notifiante.

Les notifications d'incidents peuvent-elles être soumises en anglais ?

La langue de procédure de l'autorité est l'allemand, les notifications devraient donc être faites en allemand. Toutefois, en raison du délai court de 24 heures au titre de l'art. 23 de la directive NIS 2, ce qui suit s'applique : une alerte précoce rapide en anglais vaut mieux qu'une tardive en allemand. Si nécessaire, soumettez donc d'abord en anglais et ajoutez les détails en langue allemande dans les notifications de suivi.

Comment procéder en cas d'incident de sécurité pertinent au regard de NIS 2 avec des effets potentiels sur des sites d'exploitation dans plusieurs États membres de l'UE, lorsque l'établissement principal de l'entreprise concernée est situé en Allemagne ? Outre le BSI, les autorités compétentes des autres États affectés doivent-elles aussi être informées ?

Le principe du pays d'origine au titre de l'art. 26 de la directive NIS 2 s'applique : si votre établissement principal est en Allemagne, vous êtes en principe supervisé, aux fins de compétence, en Allemagne seulement et vous notifiez l'incident une seule fois au BSI. Vous n'avez pas à informer vous-même les autorités des autres États membres affectés. Le partage transfrontalier est assuré par les autorités entre elles via le réseau des CSIRT et le groupe de coopération. Une notification multiple dans chaque pays affecté n'est donc pas requise. Une exception s'applique aux fournisseurs DNS, cloud, centre de données et services numériques similaires, dont la compétence est déterminée par le lieu de leur établissement principal dans l'UE.

Si des parties de mon entreprise sont concernées par DORA et d'autres parties par NIS 2, mon prestataire informatique doit-il notifier deux fois les incidents de sécurité ?

Non, il n'est pas nécessaire de notifier deux fois. DORA est la règle plus spécifique par rapport à NIS 2 (art. 4 DORA, art. 1, paragraphe 2, de la directive NIS 2 et §1, paragraphe 6, BSIG) : dans la mesure où un incident concerne le domaine de DORA, les canaux et délais de notification de DORA priment et écartent l'obligation de notification NIS 2 dans cette mesure. Ce qui compte est de savoir quelle règle couvre le service affecté, et non l'entreprise dans son ensemble. Clarifiez contractuellement à l'avance avec votre prestataire informatique selon quelle règle il notifie quel incident à quelle autorité.

Une solution européenne pour l'enregistrement et la notification est-elle prévue à l'avenir ?

Certains fournisseurs de services numériques (par exemple les fournisseurs de services DNS, les fournisseurs cloud, les centres de données, les places de marché en ligne) sont déjà recensés dans un registre à l'échelle de l'UE via l'ENISA au titre de l'art. 27 de la directive NIS 2. Pour toutes les autres entités, l'enregistrement et la notification restent nationaux, c'est-à-dire en Allemagne via le portail du BSI. Une plateforme européenne pleinement unifiée pour toutes les entités allant au-delà de cela n'a pas été décidée à ce jour. Pour l'instant, le canal de notification national reste déterminant.

Comment est-il garanti que les données d'enregistrement et d'entreprise collectées au titre des règles NIS 2 / KRITIS soient traitées de manière confidentielle et protégées contre tout accès non autorisé ?

La confidentialité est garantie par la loi : l'art. 23, paragraphe 9, de la directive NIS 2 oblige les autorités à protéger l'intérêt de l'entité notifiante à la confidentialité, et le BSIG contient à cet effet ses propres règles de confidentialité et de limitation des finalités. Les données ne sont utilisées qu'aux fins prévues par la loi, par exemple l'appréciation situationnelle et la prévention des menaces, et ne sont pas publiées. L'accès est limité aux organes compétents ; la divulgation à d'autres autorités n'a lieu que dans le cadre légalement permis et tout en préservant la confidentialité.

Que se passe-t-il si une entreprise assujettie notifie tardivement ou pas du tout un incident à l'autorité compétente ? Qui vérifie si les incidents notifiables ont été correctement notifiés ?

L'obligation de notification découle de l'article 23 de la directive NIS 2 : une alerte précoce dans les 24 heures, une notification dans les 72 heures, et un rapport final dans un délai d'un mois à compter de l'incident important (transposé en Allemagne au §32 BSIG). Une notification tardive, ou l'absence de notification, est un manquement à une obligation que l'autorité compétente (le BSI pour la plupart des entités) peut sanctionner au titre des règles de supervision et d'exécution des articles 31 à 34 (§§61 et suivants et §65 BSIG). Les mesures possibles comprennent des instructions, des injonctions contraignantes et des amendes dont le niveau dépend du type d'entité : pour les entités essentielles, l'article 34 fixe un plafond d'au moins 10 millions d'euros ou 2 pour cent du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu), et pour les entités importantes d'au moins 7 millions d'euros ou 1,4 pour cent. L'autorité apprécie si une notification a été faite correctement sur la base du rapport soumis et peut le vérifier au moyen de ses pouvoirs de supervision au titre des articles 32 et 33 (tels que demandes d'information, audits, inspections sur place). Une notification ponctuelle et complète dans le format prescrit est donc la voie la plus sûre. Vous trouverez un guide étape par étape de l'obligation et de l'autorité sous Enregistrement et obligation de notification.

Quelles obligations la direction a-t-elle au titre de NIS 2 ?

La direction doit approuver les mesures de gestion des risques, superviser leur mise en œuvre et suivre une formation en cybersécurité (art. 20 de la directive NIS 2, transposé au §38 BSIG). L'approbation signifie examiner et consentir activement par écrit, et non se contenter de signer pour la forme. La supervision signifie vérifier régulièrement si les mesures sont mises en œuvre et efficaces. La mise en œuvre opérationnelle peut être déléguée, mais la responsabilité de la direction reste à la direction. Le fait de savoir si vous relevez du champ d'application tout court est quelque chose que vous devriez clarifier d'abord avec le test complet.

Que signifient l'obligation d'approbation et de supervision de la direction ?

Approbation signifie : la direction examine les mesures de gestion des risques prévues, les comprend sur le fond, et les approuve de manière documentée (art. 20, paragraphe 1, de la directive NIS 2, en Allemagne §38, paragraphe 1, BSIG). Supervision signifie : une mesure approuvée une fois et jamais réexaminée ne remplit pas l'obligation. Des rapports d'état fixes, des indicateurs clés et un chemin d'escalade clair sont judicieux afin que la direction puisse démontrer à tout moment l'état actuel. Cette obligation incombe à la direction elle-même, elle ne peut la remettre à personne.

La direction doit-elle suivre une formation ?

Oui. La direction des entités essentielles et importantes doit régulièrement suivre une formation en cybersécurité (art. 20, paragraphe 2, de la directive NIS 2, en Allemagne §38, paragraphe 3, BSIG). Le but est que la direction soit en mesure d'identifier les risques, d'apprécier les mesures de gestion des risques et de jauger leur incidence sur les services. La directive ne nomme aucun nombre minimal d'heures ni d'intervalle fixe ; dans ses orientations, le BSI recommande un rafraîchissement annuel et donne environ quatre heures comme valeur d'orientation pour l'ampleur. Cette obligation s'applique à chaque personne nommée pour diriger l'entité par la loi, les statuts ou le contrat de société, et elle ne peut pas être déléguée.

La direction peut-elle déléguer son obligation de formation ?

Non. L'obligation de formation incombe personnellement aux organes de direction et ne peut être remise à des employés ou à des prestataires externes (art. 20, paragraphe 2, de la directive NIS 2, en Allemagne §38, paragraphe 3, BSIG). Vous pouvez nommer un délégué à la protection des données ou un responsable de la sécurité et répartir la mise en œuvre opérationnelle, mais suivre vous-même la formation reste votre tâche. Documentez qui a participé, pendant combien de temps et avec quel contenu, afin de pouvoir le présenter à l'autorité sur demande.

La direction est-elle personnellement responsable des manquements ?

Si un membre de la direction manque à son obligation d'approbation, de supervision ou de formation, il est responsable envers sa propre entité du dommage causé par sa faute selon les règles de droit des sociétés de la forme juridique respective (art. 20 de la directive NIS 2, en Allemagne §38 BSIG). Cette action appartient à la société, et non à des tiers, et une renonciation totale à la responsabilité par le contrat de société ou les statuts est exclue. En pratique, vous réduisez le risque en documentant proprement les approbations, les contrôles et les registres de formation. La meilleure protection n'est pas la renonciation, mais l'ensemble des obligations rempli de manière démontrable.

Les webinaires seront-ils enregistrés ?

Non. Les webinaires du BSI sur NIS 2 ne sont pas enregistrés, vous y participez donc en direct ou pas du tout. Important : les webinaires sont une offre d'information volontaire, et non une partie obligatoire de votre mise en œuvre. Ce qui compte pour vos obligations, ce sont les mesures de gestion des risques au titre de l'article 21 de la directive NIS 2 (transposé en Allemagne au §30 BSIG), et non la participation à un webinaire.

Comment recevoir les supports de chaque webinaire ?

Tous les participants inscrits reçoivent ensuite la présentation par e-mail. La condition est donc l'inscription au webinaire respectif : quiconque n'est pas inscrit ne reçoit pas automatiquement les supports. Après la session, vérifiez aussi votre dossier de courrier indésirable si l'e-mail avec la pièce jointe n'arrive pas.

Le BSI peut-il soutenir les entités dans la mise en œuvre de NIS 2 ?

Oui, mais seulement de manière générale, pas pour votre cas individuel. Le BSI fournit des FAQ, des paquets d'information, un paquet de démarrage et des séminaires de lancement, mais dans le cadre de son mandat légal (§3 BSIG, qui transpose les missions issues de la directive NIS 2) il ne fournit expressément ni conseil de cas individuel ni conseil juridique. Pour la mise en œuvre concrète dans votre entreprise, vous avez donc besoin soit de votre propre savoir-faire, soit d'un prestataire qualifié ou d'un conseil juridique. Là où vous pouvez commencer vous-même est montré par le test d'applicabilité complet sur Wer ist betroffen.

Existe-t-il déjà des informations ou des orientations du BSI sur les mesures à mettre en œuvre par les entités essentielles et importantes au titre de NIS 2 ?

Oui. Sur sa page web centrale NIS 2, le BSI publie des orientations concrètes sur les obligations et mesures individuelles. Sur le fond, celles-ci correspondent aux mesures de gestion des risques de l'article 21 de la directive NIS 2 et du règlement d'exécution (UE) 2024/2690 (transposé en Allemagne au §30 BSIG). Comme le « comment » méthodologique, le BSI nomme l'IT-Grundschutz : si vous l'appliquez, les mesures du §30 BSIG sont généralement réputées remplies, ce qui constitue l'orientation la plus pratique actuellement disponible.

Le secteur des prestataires de soins de santé couvre-t-il aussi les établissements de soins de longue durée ?

Non. Le type d'entité « prestataire de soins de santé » s'arrime à la définition de l'article 3, point g), de la directive 2011/24/UE, à laquelle NIS 2 (annexe I, secteur de la santé de la directive (UE) 2022/2555) renvoie. Les soins de longue durée purs ne relèvent pas de cette définition et ne sont donc pas couverts en tant que tels. Important : si un établissement de soins fournit en outre des services de soins de santé au sens de la définition (tels que traitement médical ou infirmier), cette partie peut être couverte, à condition que les seuils de taille du §28 BSIG soient atteints. Vérifiez étape par étape : Qui est concerné.

Le type d'entité « prestataire de soins de santé » couvre-t-il aussi la distribution ou la fourniture de dispositifs médicaux ?

Non. La simple distribution ou fourniture de dispositifs médicaux ne satisfait pas à la définition d'un service de soins de santé au titre de l'article 3, point g), de la directive 2011/24/UE, à laquelle NIS 2 renvoie pour le secteur de la santé (annexe I). Vous n'êtes donc pas concerné par ce type d'entité. D'autres points de rattachement peuvent toutefois s'appliquer : les fabricants de dispositifs médicaux critiques appartiennent au secteur de la santé, les fabricants de dispositifs médicaux et de dispositifs de diagnostic in vitro appartiennent au secteur de la fabrication (annexe II). Vérifiez en outre si vous êtes couvert comme installation critique au titre de la KritisV.

Comment cela est-il traité lorsqu'une exploitation compte parmi les installations critiques (point de délivrance de dispositifs médicaux), et constitue ainsi une infrastructure critique au titre de la BSI-KritisV, mais que le seuil de chiffre d'affaires spécifié pour les entités essentielles n'est pas atteint ?

Les exploitants d'une installation critique sont, au titre de l'article 28, paragraphe 1, BSIG, une entité essentielle indépendamment de la taille et du chiffre d'affaires. Les seuils de taille et de chiffre d'affaires du critère de taille général ne jouent donc ici aucun rôle : quiconque dépasse le seuil de la KritisV pour l'installation est couvert, même si l'entreprise en deçà est une petite exploitation. Le seul facteur déterminant est le seuil quantitatif de la catégorie d'installation respective dans la KritisV (§2, point 22, BSIG). Vous pouvez atteindre le seuil de la KritisV sans atteindre le seuil de salariés ou de chiffre d'affaires du critère de taille général, et êtes alors néanmoins pleinement concerné.

Les établissements d'aide à l'intégration (Eingliederungshilfe) sont-ils concernés par NIS 2 ?

L'aide à l'intégration en tant que telle n'est pas un type d'entité propre au titre de NIS 2 et ne relève pas de la définition d'un service de soins de santé au titre de l'article 3, point g), de la directive 2011/24/UE. Vous n'êtes donc pas concerné au seul titre de l'aide à l'intégration. Cela dépend des activités concrètes exercées : si l'établissement fournit en outre des services de soins de santé au sens de la définition et atteint les seuils du §28 BSIG, cette partie peut être concernée. Pour être sûr, vous devriez en outre vérifier si un autre secteur NIS 2 ou une installation critique au titre de la KritisV s'applique.

Les services médicaux d'urgence sont-ils concernés par NIS 2 ?

Cela dépend de l'activité exercée, et non du label « service médical d'urgence ». Dans la mesure où un service médical d'urgence fournit des services de soins de santé au sens de l'article 3, point g), de la directive 2011/24/UE (tels que les soins médicaux d'urgence), il peut être couvert par le secteur de la santé (annexe I) si les seuils du §28 BSIG sont atteints. Le simple transport de patients sans traitement médical n'en relève généralement pas. Si le service médical d'urgence est sous propriété publique, vérifiez en outre les règles relatives à l'administration publique.

Les services de conseil en sécurité informatique relèvent-ils du secteur de l'infrastructure numérique, par exemple du type d'entité Managed Security Service Provider (MSSP) ?

Non. Le pur conseil en sécurité informatique n'est pas un service de sécurité géré. Au titre de NIS 2 (article 6, point 40, de la directive (UE) 2022/2555), un MSSP est un MSP qui fournit ou gère opérationnellement un soutien aux activités de gestion des risques de cybersécurité, c'est-à-dire qui prend en charge l'exploitation continue de fonctions de sécurité pour des clients. Quiconque conseille, audite ou forme exclusivement, sans exploiter ou gérer en continu les systèmes des clients, ne relève pas du MSP ou du MSSP (le secteur de la gestion des services TIC appartient à l'annexe I, et non à l'infrastructure numérique). Toutefois, dès que vous gérez réellement les services de sécurité des clients (tels qu'exploitation de SOC, surveillance, gestion des correctifs), la classification comme MSSP peut s'appliquer.

Les filiales dans lesquelles est organisée l'exploitation informatique centrale d'un groupe d'entreprises doivent-elles être considérées comme des Managed Services Providers (MSP) ou des Managed Security Service Providers (MSSP) ?

Le facteur déterminant est de savoir si le service informatique est fourni à l'extérieur, sur le marché. Les MSP et MSSP au titre de NIS 2 (article 6, points 39 et 40, de la directive (UE) 2022/2555) fournissent des services pour d'autres entreprises, et non pour elles-mêmes. Une filiale informatique intra-groupe qui ne sert exclusivement que son propre groupe n'est donc généralement pas un MSP ou un MSSP par ce type d'entité. Cela ne signifie pas nécessairement « non concerné » : si la filiale sert aussi des tiers en dehors du groupe, la classification MSP ou MSSP peut s'appliquer, et indépendamment de cela, les salariés et le chiffre d'affaires des entreprises affiliées sont agrégés pour le seuil de taille (entreprises affiliées au sens de la définition PME 2003/361/CE).

L'hébergement web relève-t-il de l'un des types d'entités ? (Tels que fournisseur cloud ou MSP)

L'hébergement web classique en lui-même n'est ni un service d'informatique en nuage ni un MSP. Un service d'informatique en nuage au titre de NIS 2 (article 6, point 30, de la directive (UE) 2022/2555) exige des ressources informatiques modulables, fournies de manière élastique et partageables avec une administration à la demande, ce que le pur hébergement sur des ressources fixes ne satisfait généralement pas. Un MSP exige la gestion continue des systèmes informatiques du client, et non la seule fourniture de stockage et d'espace web. Le facteur déterminant est toujours la configuration concrète : si le fournisseur offre en outre des ressources cloud élastiques ou gère activement les systèmes des clients, une classification peut s'appliquer. Plus à ce sujet : Suis-je fournisseur cloud.

Les entrepreneurs individuels qui exploitent un DNS faisant autorité pour des clients d'hébergement web sont-ils aussi concernés par les obligations de mise en œuvre de la cybersécurité ?

Oui, cela peut s'appliquer. Les fournisseurs de services DNS sont, au titre de NIS 2 (annexe I, infrastructure numérique, terme à l'article 6, point 20, de la directive (UE) 2022/2555), une entité essentielle indépendamment de leur taille. Le seuil habituel de salariés ou de chiffre d'affaires ne s'applique donc pas ici, de sorte que les entrepreneurs individuels aussi peuvent être couverts (§28, paragraphe 1, BSIG). Le facteur déterminant est de savoir si vous exploitez réellement une résolution DNS faisant autorité comme votre propre service (et non la simple détention de votre propre domaine). Si cela s'applique, les obligations relatives à la gestion des risques, à la notification et à l'enregistrement s'appliquent pleinement.

Toutes les entreprises relèvent-elles du champ d'application de la transposition nationale de la directive NIS 2 si elles sont un « fournisseur de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public » ?

Pas automatiquement chaque entreprise, mais le seuil est bas. Les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public appartiennent à l'infrastructure numérique (annexe I de la directive (UE) 2022/2555) et sont, au titre du §28 BSIG, couverts dès que le seuil des entreprises de taille moyenne est atteint (à partir de 50 salariés, ou plus de 10 millions d'EUR de chiffre d'affaires avec un total de bilan de plus de 10 millions d'EUR). Les termes sont régis par la directive (UE) 2018/1972 (code des communications électroniques européen), et non par la compréhension propre d'une entreprise du « service de communications ». Note : dans la mesure où le TKG contient des exigences sectorielles pertinentes pour ces services, les obligations correspondantes du BSIG ne s'appliquent que dans la mesure où le TKG ne prime pas (§28 BSIG).

Un service d'informatique en nuage qui n'est pas auto-modulable, ce qui est un critère de cloud au titre de NIST [norme de cybersécurité américaine NIST SP 800], relève-t-il des règles de la loi de transposition de NIS 2 ?

Le facteur déterminant n'est pas la norme NIST mais la définition du service d'informatique en nuage dans NIS 2 (article 6, point 30, de la directive (UE) 2022/2555). Selon celle-ci, le service doit fournir des ressources informatiques partageables, modulables et élastiques, c'est-à-dire modulables à la hausse et à la baisse à la demande, via un réseau. Si cette modularité et cette élasticité sont entièrement absentes, alors, au titre de la définition de NIS 2, il n'y a généralement pas de service d'informatique en nuage, et le type d'entité fournisseur cloud ne s'applique pas. Toutefois, cela ne signifie pas nécessairement « non concerné du tout » : vérifiez si un autre type d'entité s'applique (tel que service de centre de données ou MSP) ou si vous êtes couvert par un autre secteur. Détails : Suis-je fournisseur cloud.

Les entités financières soumises à DORA sont-elles confrontées à des obligations de double enregistrement, de double notification des incidents de sécurité, de double supervision, de double preuve, etc. du fait de la loi de transposition de NIS 2 et de DORA ?

Non, une véritable double réglementation n'est pas voulue. Pour les entités financières, DORA (règlement (UE) 2022/2554) est la règle plus spécifique. Au titre de l'article 4 de la directive NIS 2, les exigences de DORA relatives à la gestion des risques, à la notification des incidents et à la supervision priment donc, et les obligations NIS 2 correspondantes s'effacent. Ce qui demeure est uniquement l'enregistrement : l'article 27 de la directive NIS 2 (reflété en droit allemand via l'obligation d'enregistrement BSIG pertinente) couvre aussi les entités DORA, de sorte que les autorités puissent tenir un registre complet. Vous continuez à notifier les incidents au titre de DORA et vous enregistrez en outre, sans que cela ne crée une seconde chaîne de notification ou une seconde couche de supervision.

En quoi les exigences de NIS 2 diffèrent-elles des exigences de sécurité spécifiques pour la passerelle de compteur intelligent (smart meter gateway) ?

Les deux ensembles de règles opèrent à des niveaux différents et ne s'excluent pas l'un l'autre. NIS 2 (article 21 de la directive, en droit allemand article 30 BSIG) exige que l'organisation dans son ensemble maintienne une gestion des risques : processus, responsabilités, chaîne d'approvisionnement, planification de continuité. Les exigences pour la passerelle de compteur intelligent, en revanche, proviennent de la loi sur l'exploitation des points de mesure et des lignes directrices techniques du BSI (par exemple TR-03109) et concernent la sécurité technique d'un appareil spécifique, certification comprise. En bref : NIS 2 régit comment vous sécurisez votre entreprise, les exigences relatives au compteur intelligent régissent comment un appareil unique doit être conçu. Les deux s'appliquent en parallèle.

Comment le changement de dénomination en « Digital Energy Services » est-il survenu ?

L'ancienne catégorie d'installation du point d'agrégation (Buendelstelle) a été renommée « Digital Energy Services » parce que le terme reflète mieux le rôle croissant des systèmes informatiques et des processus numériques dans le secteur de l'énergie que l'ancien nom, qui était étroitement lié à l'agrégation des relevés de compteurs. Plus important que le nom est la conséquence : pour cette catégorie, la réglementation de la sécurité de l'information ne relève plus du BSIG, mais des articles 5c et suivants EnWG, et la Bundesnetzagentur est compétente.

Que signifie le changement législatif pour mon point d'agrégation (BueStel) ?

Votre point d'agrégation est retiré de la réglementation du BSIG en tant que « Digital Energy Service ». Les exigences de sécurité de l'information seront à l'avenir régies par les articles 5c et suivants EnWG, et l'autorité de supervision compétente est la Bundesnetzagentur, et non plus le BSI. Pour l'installation concernée de la catégorie 1.1.2, vous n'avez plus à fournir de preuves au BSI au titre de l'article 8a BSIG. Votre point de contact et vos exigences techniques changent donc ; vérifiez sans tarder les exigences de la Bundesnetzagentur.

Quelles obligations envers le BSI subsistent après le changement législatif ?

Envers le BSI subsistent pour l'essentiel l'enregistrement et la tenue à jour de vos données de base dans le portail du BSI, tant que le rattachement y est encore conservé. La supervision de fond et les preuves pour les installations classées comme « Digital Energy Services » passent à la Bundesnetzagentur au titre des articles 5c et suivants EnWG. Si vous avez aussi d'autres installations enregistrées auprès du BSI, les obligations du BSIG continuent de s'appliquer à celles-ci sans changement ; seuls les services d'énergie numériques sont retirés.

Quelle base d'audit puis-je utiliser pour la preuve ?

Pour la preuve envers le BSI, la base établie reste déterminante : une norme d'audit reconnue telle qu'une norme de sécurité sectorielle (B3S) au titre de l'article 8a, paragraphe 2, BSIG ou une norme équivalente qui couvre les exigences pour votre installation. Pour les installations retirées en tant que « Digital Energy Services », en revanche, la base d'audit est régie par les exigences de la Bundesnetzagentur sur le fondement des articles 5c et suivants EnWG. Ce qui est déterminant est donc de savoir sous quel régime votre installation est conservée après le changement ; clarifiez cela d'abord avant de sélectionner une norme d'audit.

Comment puis-je savoir pour quand je dois fournir la preuve ?

Le délai découle de votre catégorie d'installation et du cycle de preuve qui vous est applicable, et non d'une date butoir uniforme unique. Pour les installations qui restent dans le monde du BSIG, le cycle de preuve régulier familier au titre de l'article 8a BSIG s'applique ; le BSI communique la date spécifique dans le cadre de votre enregistrement ou par avis officiel. Pour les installations qui sont passées à la Bundesnetzagentur en tant que « Digital Energy Services », celle-ci fixe les dates de preuve au titre des articles 5c et suivants EnWG. En cas de doute, l'avis écrit de l'autorité compétente respective est déterminant ; ne vous fiez pas à une indication d'année générale.

Quel impact la loi de transposition de NIS 2 a-t-elle sur les autres installations de mon entreprise enregistrées auprès du BSI ?

Le retrait ne concerne que les installations classées comme « Digital Energy Services » (ancienne catégorie 1.1.2). Toutes les autres installations de votre entreprise enregistrées auprès du BSI restent dans le régime du BSIG : les obligations d'enregistrement, de gestion des risques et de preuve s'y poursuivent sans changement. Aucune lacune ne naît et il n'y a pas de caducité automatique ; vous continuez d'exploiter les installations non concernées exactement comme auparavant et conservez le BSI comme autorité compétente.

L'audit en cours pour la fourniture de preuve au titre de l'article 8a BSIG pour une installation de la catégorie d'installation 1.1.2 doit-il être achevé ?

Non. Pour les installations de la catégorie 1.1.2 qui sortent du BSIG en tant que « Digital Energy Services », aucune preuve au titre de l'article 8a BSIG ne doit plus être fournie au BSI, de sorte qu'un audit en cours à cette fin n'a plus à être achevé pour le BSI. Toutefois, observez les futures exigences de la Bundesnetzagentur au titre des articles 5c et suivants EnWG ; les travaux d'audit déjà réalisés peuvent continuer d'y être utilisables. Clarifiez la transition exacte directement avec l'autorité compétente avant d'interrompre un audit.

Les exploitants d'un réseau d'approvisionnement en énergie au titre de l'article 5d, paragraphe 4, EnWG doivent-ils s'enregistrer dans le portail du BSI ?

Oui. Les exploitants d'un réseau d'approvisionnement en énergie au titre de l'article 5d, paragraphe 4, EnWG sont tenus de s'enregistrer dans le portail du BSI, même s'ils ne sont pas en même temps classés comme entité essentielle ou importante au titre de l'article 28 BSIG. L'obligation d'enregistrement s'attache ici à l'exploitation du réseau et existe indépendamment du seuil de taille général de NIS 2. Saisissez vos données de base dans le portail du BSI dans le délai. Plus sur la procédure : nis2-registrierung.

Les restaurants d'hôtel, les restaurants ou les établissements de restauration comptent-ils comme « entités importantes » ?

En règle générale, non. Le secteur alimentaire de l'annexe 2 ne couvre que les entreprises du commerce de gros ainsi que de la production et de la transformation industrielles de denrées alimentaires, et non la restauration classique. Un restaurant d'hôtel, un restaurant ou un établissement de restauration ne relève donc pas de NIS 2 du seul fait de la préparation de repas. Ce qui reste également déterminant est de savoir si les seuils de taille sont atteints ; vérifiez votre classification de manière systématique : wer-ist-betroffen-vollstaendiger-test.

« sowie » (ainsi que) est-il équivalent à « ou » ?

Oui. Dans le libellé relatif à l'alimentation de l'annexe 2, « sowie » relie les activités nommées de manière énumérative, et non cumulative. Une entreprise est donc déjà couverte si elle est active dans le commerce de gros ou dans la production industrielle ou dans la transformation ; elle n'a pas à exercer les trois activités en même temps. Ce qui est alors en outre déterminant pour être couvert est de savoir si les seuils de taille pertinents sont atteints.

Tous les participants à une chaîne d'approvisionnement sécurisée dans le domaine de la sûreté de l'aviation relèvent-ils de KRITIS, même s'ils sont de petites entreprises en deçà des seuils d'applicabilité de NIS 2 ?

Non. La participation à la chaîne d'approvisionnement sécurisée au titre du §9a LuftSiG ne fait pas automatiquement d'une entreprise une infrastructure critique et n'en fait pas automatiquement une entité NIS 2. Deux seuils distincts sont déterminants : vous ne devenez exploitant KRITIS que si vous dépassez les seuils de volume de la BSI-KritisV pour un service critique (généralement dans les secteurs de l'aviation ou de la logistique). L'applicabilité de NIS 2 au titre de l'annexe I ou II de la directive NIS 2 (UE) 2022/2555, quant à elle, exige que vous soyez actif dans un secteur couvert et que vous remplissiez les critères de taille (en règle générale à partir de 50 salariés ou plus de 10 millions d'EUR de chiffre d'affaires annuel ; le BSIG transpose cela au §28). Quiconque se situe en deçà des deux seuils n'est couvert ni par KRITIS ni par NIS 2 du fait de la seule participation à la chaîne d'approvisionnement. Vous trouverez le test complet sous Qui est concerné.

Quelles formes juridiques relèvent du secteur financier et du sous-secteur bancaire selon NIS 2 ?

La classification ne repose pas sur la forme juridique (GmbH, AG, eG ou autre), mais sur l'activité. Dans la banque, l'annexe I de la directive NIS 2 (UE) 2022/2555 couvre les établissements de crédit au sens de l'article 4, paragraphe 1, point 1), du règlement (UE) n° 575/2013, c'est-à-dire les entreprises dont l'activité consiste à recevoir du public des dépôts ou d'autres fonds remboursables et à octroyer des crédits pour leur propre compte. Aucune forme juridique spécifique n'est prescrite pour cela ; ce qui compte est uniquement que vous soyez agréé comme établissement de crédit et exerciez cette activité. Important : pour les établissements de crédit, DORA (règlement (UE) 2022/2554) s'applique en priorité en tant que lex specialis depuis le 17 janvier 2025, de sorte que les obligations opérationnelles de gestion des risques et de notification sont à remplir au titre de DORA au lieu de NIS 2. Vous pouvez vérifier si vous êtes concerné en tant que banque sous Suis-je une banque au sens de NIS 2.