Glossaire de la terminologie NIS2

Entité essentielle

Besonders wichtige Einrichtung

Entreprises des secteurs hautement critiques (annexe I de NIS2) au-dessus du seuil de taille. En Allemagne, elles sont soumises aux exigences les plus strictes et aux sanctions les plus élevées au titre du §28 BSIG. Pensez : énergie, transport, secteur bancaire, santé, eau, infrastructure numérique. Les entités essentielles font l'objet d'audits proactifs du BSI - le BSI peut vous contrôler sans déclencheur spécifique.

§28(1) BSIG, directive NIS2 art. 3(1)

Entité importante

Wichtige Einrichtung

Entreprises des autres secteurs inclus dans le champ d'application (annexe II de NIS2) au-dessus du seuil de taille. Mêmes obligations fondamentales que les entités essentielles, mais sanctions maximales plus faibles et surveillance réactive plutôt que proactive - le BSI enquête si quelque chose tourne mal, et non selon un calendrier de routine. Pensez : déchets, denrées alimentaires, fabrication, services postaux, produits chimiques, recherche.

§28(2) BSIG, directive NIS2 art. 3(2)

KRITIS (infrastructure critique)

Kritische Infrastrukturen

Les exploitants d'installations critiques qui dépassent les seuils définis dans le règlement BSI-KritisV (généralement 500 000 personnes desservies). Les exploitants KRITIS sont automatiquement classés comme entités essentielles et sont soumis à des obligations supplémentaires au-delà du standard NIS2 : audits de preuves triennaux, systèmes de détection d'attaque obligatoires et délais de notification d'incident plus stricts.

BSI-KritisV, §28 BSIG

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

La loi fédérale allemande régissant le BSI (Office fédéral de la sécurité des technologies de l'information) et les obligations de cybersécurité. Le NIS2UmsuCG a modifié le BSIG pour y inclure toutes les exigences NIS2. Quand on parle de « conformité NIS2 en Allemagne », on entend la conformité au BSIG modifié. C'est la loi qui s'applique à vous - et non la directive NIS2 elle-même.

BSIG tel que modifié par le NIS2UmsuCG

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

La loi de mise en œuvre de NIS-2 et de renforcement de la cybersécurité - la transposition nationale allemande de la directive NIS2. Adoptée le 13 novembre 2025 et en vigueur depuis le 6 décembre 2025. Elle modifie substantiellement le BSIG et inscrit toutes les obligations NIS2 dans le droit allemand. Quand le droit allemand parle de « conformité NIS2 », il entend la conformité au BSIG tel que modifié par le NIS2UmsuCG.

NIS2UmsuCG (BGBl. 2025)

Directive NIS2

La législation au niveau de l'Union (directive 2022/2555) qui a imposé à tous les États membres de mettre en place une réglementation de cybersécurité pour les entités critiques et importantes. Elle fixe les exigences minimales - chaque pays l'a ensuite transposée dans son droit national. En Allemagne, cela est devenu le BSIG modifié. Vous ne vous conformez pas directement à la directive ; vous vous conformez au BSIG.

Directive (UE) 2022/2555

CIR 2024/2690

Le règlement d'exécution de l'Union qui précise les exigences techniques et méthodologiques exactes pour les entités NIS2. Contrairement à la directive, il s'applique directement dans tous les États membres sans transposition. Il détaille ce que signifient réellement les « mesures de cybersécurité appropriées » en pratique - voyez-le comme le règlement technique qui comble les détails que la directive a laissés ouverts.

Règlement d'exécution (UE) 2024/2690 de la Commission

Code NACE

NACE-Code

La nomenclature statistique des activités économiques dans la Communauté européenne (Nomenclature statistique des Activités économiques dans la Communauté Européenne). NIS2 et le BSIG utilisent les codes NACE pour définir quels secteurs et activités économiques relèvent du champ d'application. Le code NACE de votre entreprise est la première chose que le BSI vérifie lorsqu'il apprécie l'applicabilité.

Règlement (CE) 1893/2006

Enregistrement auprès du BSI

BSI-Registrierung

L'enregistrement obligatoire des entités incluses dans le champ d'application auprès du BSI via son portail en ligne. Imposé par le §33 BSIG avec sa propre disposition de sanction. Vous fournissez les coordonnées de votre entreprise, la classification sectorielle, une personne de contact pour la cybersécurité et des plages d'adresses IP. Il s'agit d'une obligation juridique autonome - l'effectuer ne satisfait pas vos autres exigences NIS2, mais ne pas l'effectuer constitue une violation à part entière.

§33 BSIG

MUK (Mein Unternehmenskonto)

Mein Unternehmenskonto

Le compte d'entreprise central de l'Allemagne pour les services de l'administration fédérale, authentifié au moyen de certificats ELSTER. Un prérequis pour l'enregistrement auprès du BSI : les entreprises doivent d'abord créer un compte MUK, puis accéder au portail d'enregistrement du BSI par son intermédiaire. Si vous n'avez pas encore de compte MUK, vous ne pouvez pas vous enregistrer auprès du BSI - c'est la première étape pratique avant tout travail de conformité.

OZG, ELSTER

Incident important

Erheblicher Sicherheitsvorfall

Un événement de cybersécurité qui perturbe effectivement votre service, cause un dommage financier ou pourrait se propager à d'autres. Pas chaque courriel d'hameçonnage - seuls les événements qui franchissent des seuils de gravité spécifiques déclenchent la cascade de notification obligatoire au BSI. Le CIR 2024/2690 définit des seuils concrets : perte financière supérieure à 500 000 EUR ou à 5 % du chiffre d'affaires, exfiltration de secrets d'affaires, ou impact sanitaire.

§32 BSIG, CIR 2024/2690 art. 3

Mesures de gestion des risques

Risikomanagementmaßnahmen

Les dix catégories de mesures de cybersécurité que toutes les entités NIS2 doivent mettre en œuvre au titre du §30 BSIG. Elles vont de l'analyse des risques et du traitement des incidents à la sécurité de la chaîne d'approvisionnement et à la cryptographie. Elles doivent être « appropriées et proportionnées » à votre taille et à votre profil de risque - on n'attend pas d'une entreprise de gestion des déchets de 50 personnes qu'elle mette en œuvre les mêmes mesures que Deutsche Telekom.

§30(2) BSIG

Sécurité de la chaîne d'approvisionnement

Sicherheit der Lieferkette

L'obligation d'évaluer et de gérer les risques de cybersécurité dans votre chaîne d'approvisionnement - en particulier les prestataires de services informatiques, les fournisseurs d'informatique en nuage et tout fournisseur ayant accès à vos systèmes ou à vos données. Vous devez intégrer des exigences de sécurité dans les contrats, évaluer les pratiques des fournisseurs et les surveiller dans la durée. C'est une nouveauté par rapport à l'ancien régime KRITIS.

§30(2)(4) BSIG

Responsabilité des dirigeants

Leitungsverantwortung

La responsabilité personnelle des dirigeants de l'entreprise (Geschäftsführung) en matière de conformité NIS2 au titre du §38 BSIG. Les dirigeants doivent approuver les mesures de cybersécurité, garantir leur mise en œuvre, suivre une formation en cybersécurité et peuvent être tenus personnellement responsables des dommages qui en résultent. Cette responsabilité ne peut pas faire l'objet d'une renonciation - pas même par résolution des associés. C'est la disposition qui fait passer la cybersécurité du service informatique au conseil de direction.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

La méthodologie de cybersécurité propre au BSI - un cadre complet de modules de sécurité (Bausteine) assortis d'orientations de mise en œuvre étape par étape. Le §44(2) BSIG reconnaît explicitement la mise en œuvre de Grundschutz comme preuve de conformité NIS2. Comme le BSI publie à la fois Grundschutz et fait appliquer NIS2, utiliser sa méthodologie signifie que vous êtes audité au regard d'une norme que l'auditeur connaît sur le bout des doigts.

§44(2) BSIG, normes BSI 200-1 à 200-4

Piste d'audit

Un enregistrement chronologique de qui a fait quoi, quand et pourquoi dans votre processus de conformité. NIS2 exige la preuve que les mesures ne sont pas seulement documentées mais effectivement mises en œuvre et maintenues. Une piste d'audit montre à l'auditeur du BSI que vos politiques sont des documents vivants, et non des écrits sans suite - qui a approuvé une mesure, quand elle a été révisée pour la dernière fois, ce qui a changé.

Authentification multifacteur (MFA)

Une authentification qui exige au moins deux facteurs de vérification - généralement quelque chose que vous connaissez (mot de passe) et quelque chose que vous possédez (téléphone, clé matérielle). Le §30(2)(10) BSIG exige la MFA pour l'accès à distance, l'accès administratif et l'accès aux systèmes critiques. Si vous n'utilisez pas déjà la MFA sur votre VPN, vos comptes d'administration et votre messagerie, c'est l'une des exigences techniques les plus concrètes à mettre en œuvre.

§30(2)(10) BSIG

§30 BSIG - Mesures de cybersécurité

La disposition centrale de NIS2 en droit allemand. Énumère dix catégories de mesures de gestion des risques de cybersécurité que toutes les entités incluses dans le champ d'application doivent mettre en œuvre. Couvre l'analyse des risques, le traitement des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, le développement sécurisé, l'évaluation de l'efficacité, la formation, la cryptographie, le contrôle d'accès et l'authentification multifacteur. Les mesures doivent être « appropriées et proportionnées » - pas surdimensionnées, mais réelles.

§30 BSIG

§32 BSIG - Notification des incidents

Meldepflichten

La cascade obligatoire de notification des incidents en trois étapes. Lorsqu'un incident important survient : alerte précoce au BSI dans les 24 heures, notification d'incident détaillée dans les 72 heures, rapport final dans un délai d'un mois. Chaque étape comporte des exigences de contenu spécifiques. Les rapports tardifs ou manquants constituent des violations distinctes assorties de leurs propres dispositions de sanction.

§32 BSIG

§33 BSIG - Obligation d'enregistrement

Registrierungspflicht

L'obligation juridique pour toutes les entités incluses dans le champ d'application de s'enregistrer auprès du BSI. Vous fournissez les informations sur l'entité, la classification sectorielle, les coordonnées de contact pour la cybersécurité et les plages d'adresses IP. Le défaut d'enregistrement constitue une violation autonome passible d'amendes pouvant atteindre 500 000 EUR - distincte de toute sanction pour défaut de mise en œuvre de mesures de sécurité concrètes.

§33 BSIG

§38 BSIG - Responsabilité des dirigeants

Billigung von Risikomanagementmaßnahmen

La disposition qui rend les dirigeants de l'entreprise personnellement responsables de la conformité NIS2. La Geschäftsführung doit approuver les mesures de gestion des risques, superviser leur mise en œuvre et suivre une formation en cybersécurité. Le manquement engendre une responsabilité personnelle pour les dommages - et cette responsabilité ne peut faire l'objet d'aucune renonciation par les associés. C'est le paragraphe qui retient l'attention des gérants.

§38 BSIG

Annexe I de NIS2 - Secteurs hautement critiques

La liste des secteurs dont les entités sont classées comme « essentielles » (entités essentielles) lorsqu'elles atteignent le seuil de taille. Comprend : l'énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain), le transport (aérien, ferroviaire, par voie d'eau, routier), le secteur bancaire, l'infrastructure des marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, la gestion des services TIC, l'administration publique et l'espace.

Directive NIS2 annexe I, §28(1) BSIG

Annexe II de NIS2 - Autres secteurs critiques

La liste des secteurs dont les entités sont classées comme « importantes » (wichtige Einrichtungen) lorsqu'elles atteignent le seuil de taille. Comprend : les services postaux et de messagerie, la gestion des déchets, la fabrication et la distribution de produits chimiques, la production et la distribution de denrées alimentaires, la fabrication (dispositifs médicaux, électronique, machines, véhicules), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux) et les organismes de recherche.

Directive NIS2 annexe II, §28(2) BSIG

CSIRT (Computer Security Incident Response Team)

Computer-Notfallteam

L'équipe nationale chargée de recevoir les notifications d'incidents de cybersécurité et d'y répondre. En Allemagne, le BSI fait office de CSIRT national. Lorsque vous notifiez un incident important au titre du §32 BSIG, le BSI-CSIRT reçoit et traite votre notification. Il peut aussi fournir une assistance technique pendant la réponse à l'incident - ce n'est pas une simple boîte aux lettres, mais une ressource opérationnelle.

Directive NIS2 art. 10, §32 BSIG