La nouvelle obligation de sécurité informatique pour les entreprises allemandes
Si vous avez cherché « IT Sicherheitspflicht », vous cherchez NIS2. Depuis décembre 2025, le BSIG révisé fait de la cybersécurité une obligation légale pour environ 29 500 entreprises allemandes.
NIS2 est l'obligation de sécurité informatique dont vous avez entendu parler
Il n'existe pas de « loi sur l'obligation de sécurité informatique » autonome en Allemagne. Ce qui existe, c'est la directive NIS2 (UE 2022/2555), transposée en droit allemand par le NIS2UmsuCG, qui a refondu la loi fédérale sur la cybersécurité (BSIG). C'est cette loi qui crée des obligations contraignantes de sécurité informatique pour les entreprises de 18 secteurs critiques.
Le BSIG est entré en vigueur le 6 décembre 2025. Il impose aux entreprises concernées de mettre en œuvre 10 mesures spécifiques de gestion des risques de cybersécurité (article 30 BSIG), de s'enregistrer auprès du BSI, de déclarer les incidents importants dans des délais stricts et de sécuriser leur chaîne d'approvisionnement. La direction est personnellement responsable au titre de l'article 38 BSIG de veiller à la conformité.
Si votre entreprise compte 50 salariés ou plus, ou dépasse 10 millions d'euros de chiffre d'affaires annuel, et opère dans l'un des 18 secteurs NIS2, ces obligations s'appliquent à vous dès à présent. Le délai d'enregistrement était fixé au 6 mars 2026. La mise en œuvre de toutes les mesures est requise pour le 17 octobre 2026.
Secteur
Votre entreprise opère dans l'un des 18 secteurs : énergie, transport, banque, santé, eau, infrastructure numérique, services TIC, administration publique, espace, services postaux, gestion des déchets, produits chimiques, production alimentaire, fabrication ou fournisseurs numériques.
Effectif
Vous comptez 50 salariés ou plus. Cela suit la définition européenne des PME et inclut tous les salariés du groupe, pas seulement l'entité allemande. Les salariés à temps partiel comptent au prorata.
Chiffre d'affaires annuel
Votre chiffre d'affaires annuel dépasse 10 millions d'euros ET votre total de bilan dépasse 10 millions d'euros. Si vous dépassez le seuil d'effectif OU le seuil financier, vous êtes dans le champ d'application.
Services critiques
Certains types d'entités sont dans le champ d'application quelle que soit leur taille : fournisseurs DNS, registres TLD, prestataires de services de confiance qualifiés, exploitants KRITIS et fournisseurs uniques de services essentiels dans une région.
S'enregistrer auprès du BSI
Effectuez votre enregistrement via le portail du BSI (muk.bsi.bund.de). C'est une obligation légale au titre de l'article 33 BSIG, assortie de sa propre sanction pouvant atteindre 500 000 euros. Le portail est en ligne depuis janvier 2026, et le délai était fixé au 6 mars 2026. Si vous l'avez manqué, enregistrez-vous immédiatement.
Mener une analyse de risque
Identifiez vos actifs informatiques critiques, évaluez les risques pesant sur chacun et documentez les décisions de traitement. L'article 30 BSIG exige des mesures de gestion des risques proportionnées à l'exposition au risque. Vous avez besoin d'un inventaire des actifs et d'une analyse de risque structurée avant de pouvoir mettre en œuvre des mesures.
Mettre en œuvre 10 mesures de sécurité
L'article 30 BSIG définit 10 domaines obligatoires : politiques de gestion des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, gestion des vulnérabilités, hygiène de cybersécurité, cryptographie, contrôle d'accès et authentification multifacteur. Chaque domaine requiert des politiques documentées et des preuves de mise en œuvre.
Mettre en place la déclaration d'incidents
Les incidents de cybersécurité importants doivent être déclarés au BSI dans les 24 heures (alerte précoce initiale), 72 heures (notification complète) et 1 mois (rapport final). Définissez ce qu'un incident important signifie pour votre entreprise et établissez une chaîne de déclaration claire avant qu'un événement ne survienne.
Maintenir une conformité continue
NIS2 n'est pas un projet ponctuel. Vous avez besoin de revues annuelles de l'analyse de risque, de formations régulières pour la direction (l'article 38 BSIG exige une participation personnelle), de réévaluations des fournisseurs et d'une surveillance continue des incidents. La plateforme suit toutes les échéances et escalade automatiquement.
Le cadre de sanctions est modelé sur le GDPR. Les entités essentielles encourent des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les entités importantes encourent jusqu'à 7 millions d'euros ou 1,4 %. Les violations de l'obligation d'enregistrement à elles seules sont passibles d'amendes pouvant atteindre 500 000 euros. Le BSI dispose de pouvoirs d'exécution et peut ordonner la mise en conformité ou restreindre les activités.
Au-delà des amendes, l'article 38 BSIG crée une responsabilité personnelle pour la direction. Les dirigeants doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre et suivre une formation. Ils sont responsables envers leur propre entreprise des violations fautives. Cette responsabilité ne peut être écartée par contrat. Invoquer le fait de ne pas avoir compris la cybersécurité n'est explicitement pas un moyen de défense.
Questions fréquentes
NIS2 est-il la même chose que l'obligation de sécurité informatique dont j'entends parler ?
Oui. Il n'existe pas de loi distincte sur l'« IT Sicherheitspflicht ». NIS2 est la directive de l'UE qui a été transposée en droit allemand sous la forme du BSIG révisé via le NIS2UmsuCG. Lorsqu'on parle de nouvelles obligations de sécurité informatique pour les entreprises allemandes, on désigne cette loi. Elle est en vigueur depuis le 6 décembre 2025.
Nous sommes une entreprise de fabrication de 60 personnes. Cela s'applique-t-il vraiment à nous ?
Très probablement oui. La fabrication figure à l'annexe II de NIS2 (couvrant la fabrication de dispositifs médicaux, d'électronique, d'équipements électriques, de machines, de véhicules à moteur et d'autres équipements de transport). Avec 60 salariés, vous dépassez le seuil de 50 salariés. Vous seriez classé comme « entité importante » au titre de l'article 28(2) BSIG, et toutes les obligations NIS2 s'appliquent.
Le délai d'enregistrement est passé. Que devons-nous faire ?
Enregistrez-vous immédiatement. Le portail du BSI à muk.bsi.bund.de accepte toujours les enregistrements. Un enregistrement tardif vaut mieux qu'aucun enregistrement. L'amende pour défaut d'enregistrement peut atteindre 500 000 euros, mais le BSI apprécie la bonne foi. Une entreprise qui s'enregistre avec quelques semaines de retard et peut montrer qu'elle travaillait activement à sa mise en conformité est dans une bien meilleure position que celle qui n'a rien fait.
Notre prestataire informatique externe peut-il gérer la conformité NIS2 pour nous ?
Il peut aider à mettre en œuvre les mesures techniques, mais l'obligation légale reste sur votre entreprise. L'article 30 BSIG énonce explicitement que vous pouvez externaliser les opérations mais pas la responsabilité. Votre direction reste personnellement responsable au titre de l'article 38 BSIG. Vous devez documenter ce que fait votre prestataire informatique, vérifier ses mesures de sécurité et l'inclure dans votre processus de gestion des fournisseurs.
Combien coûte la conformité NIS2 pour une entreprise de taille intermédiaire ?
Pour une entreprise de 50 à 250 salariés, prévoyez de dépenser entre 20 000 et 80 000 euros la première année, selon votre maturité de sécurité actuelle. Cela comprend l'analyse de risque, la documentation des politiques, les améliorations techniques et la formation. Les entreprises qui disposent déjà de mesures de base de sécurité informatique se situent dans le bas de la fourchette. Le coût annuel récurrent baisse fortement après la première année, car l'essentiel du travail est de la mise en place, pas de la maintenance.