Mittelstand / PME

Mise en œuvre de NIS2 pour les entreprises de taille intermédiaire

Une feuille de route pratique de mise en œuvre sur 12 semaines pour les entreprises allemandes de 50 à 250 salariés - sans équipe de sécurité requise.

Simon OrzelSimon Orzel·Laufend geprüft

Vous êtes concerné. Et maintenant ?

On estime à 29 500 le nombre d'entreprises en Allemagne relevant du champ d'application de NIS2. Si vous comptez plus de 50 salariés et opérez dans un secteur couvert - gestion des déchets, production alimentaire, fabrication, énergie, transport, santé, infrastructure numérique - vous en faites presque certainement partie. Le BSIG est entré en vigueur le 6 décembre 2025, et le délai d'enregistrement auprès du BSI était fixé au 6 mars 2026.

Voici ce que la plupart des consultants ne vous diront pas : pour une entreprise de taille intermédiaire dotée d'une informatique de base, la conformité NIS2 est gérable. Ce n'est pas un projet de 6 mois à six chiffres. La plupart des 49 exigences du BSIG sont de la documentation à rédiger une seule fois - politiques, analyses de risques, procédures. Seules quelques-unes requièrent des processus opérationnels continus. La loi exige des mesures « appropriées » proportionnées à votre risque - pas une infrastructure de sécurité de niveau Fortune 500.

Ce guide vous donne le plan pratique : une feuille de route sur 12 semaines, les rôles dont vous avez besoin (tous à temps partiel, tous parmi le personnel existant), les erreurs courantes qui font trébucher les entreprises de votre taille, et l'ordre de priorité pour traiter les 10 mesures obligatoires au titre du § 30 BSIG. Pas de théorie, pas d'alarmisme - juste les étapes.

À qui ce guide s'adresse
Ce guide est rédigé spécifiquement pour les entreprises allemandes de taille intermédiaire qui rencontrent NIS2 pour la première fois.
  • Les entreprises de 50 à 250 salariés dans les secteurs NIS2
  • Un personnel informatique limité - peut-être 2 à 5 personnes, pas une équipe de sécurité
  • Aucun service dédié à la conformité ni expérience GRC
  • Une première confrontation avec NIS2, le BSIG ou l'enregistrement auprès du BSI

Feuille de route de mise en œuvre

Fondations
Semaines 1-2
Établir les fondations organisationnelles : s'enregistrer auprès du BSI, répartir les responsabilités et informer la direction de sa responsabilité personnelle au titre du § 38 BSIG. Cette phase consiste à mobiliser les bonnes personnes et à définir le périmètre.
  • Enregistrement auprès du BSI via Mein Unternehmenskonto + portail du BSI
  • Désigner un responsable de la conformité (rôle à temps partiel, pas un nouveau recrutement)
  • Briefing de la direction sur les obligations du § 38 BSIG et la responsabilité personnelle
  • Mettre en place la plateforme de conformité et inviter les membres de l'équipe
  • Périmètre initial : déterminer quelle catégorie d'entité s'applique (essentielle ou importante)
Analyse de risque
Semaines 3-4
Constituez votre inventaire des actifs et menez l'analyse de risque initiale. C'est la fondation sur laquelle tout le reste repose - § 30(1) BSIG mesure 1. Utilisez la méthodologie d'analyse de risque BSI-200-3 : identifier les actifs, identifier les menaces, évaluer la probabilité et l'impact, décider du traitement.
  • Constituer l'inventaire des actifs - regrouper les actifs identiques (par ex. « 45 ordinateurs portables » = 1 entrée)
  • Identifier et catégoriser les fournisseurs ayant accès à vos systèmes
  • Mener l'analyse de risque initiale : probabilité × impact pour chaque actif
  • Documenter les décisions de traitement du risque : accepter, atténuer, transférer ou éviter
  • Mettre en correspondance les risques avec les mesures du BSIG - quels contrôles traitent quels risques
Contrôles et documentation
Semaines 5-8
Documentez vos contrôles de sécurité et vos procédures. C'est la phase la plus volumineuse, mais la plupart des exigences sont des politiques à rédiger une seule fois. Concentrez-vous sur la documentation de ce que vous faites déjà (la plupart des entreprises ont des processus informels) et sur le comblement des véritables lacunes.
  • Rédiger ou adopter les politiques de sécurité (sécurité de l'information, contrôle d'accès, réponse à incident)
  • Documenter l'usage de la cryptographie et l'approche de gestion des clés
  • Mettre en place le processus de réponse à incident avec la cascade 24 h/72 h/1 mois
  • Examiner le contrôle d'accès : moindre privilège, procédures d'arrivée/départ
  • Documenter les procédures de continuité d'activité et de sauvegarde
  • Mettre en œuvre ou documenter la MFA pour les systèmes critiques
Preuves et préparation à l'audit
Semaines 9-12
Bouclez la boucle : approbations de la direction, achèvement des formations, collecte des preuves et un premier contrôle d'efficacité. Cette phase transforme vos mesures documentées en preuves de conformité auditables.
  • La direction approuve formellement toutes les mesures de cybersécurité (obligation du § 38)
  • Suivre la formation obligatoire de la direction en cybersécurité
  • Téléverser les documents de preuve : captures d'écran, configurations, validations de politiques
  • Mener la première évaluation d'efficacité - les contrôles fonctionnent-ils réellement ?
  • Exporter le rapport de conformité pour examen interne
Les rôles dont vous avez besoin
Vous n'avez besoin de recruter personne. Ce sont des responsabilités à temps partiel confiées au personnel existant.

Responsable de la conformité (4 à 8 heures/semaine)

Pilote le processus, remplit les formulaires d'exigences, se coordonne avec l'informatique et la direction. Généralement le responsable informatique, le responsable qualité ou le responsable des opérations.

Contact informatique (2 à 4 heures/semaine)

Apporte les éléments techniques : détails des actifs, architecture réseau, état du chiffrement, contrôles d'accès. Votre administrateur ou votre responsable informatique.

Sponsor de la direction (1 à 2 heures/semaine)

Examine et approuve les mesures, suit la formation, démontre la supervision. Exigé par le § 38 BSIG - ne peut pas être délégué.

Auditeur externe (facultatif)

Pour les exploitants KRITIS : exigé tous les 3 ans. Pour les entités essentielles et importantes : facultatif mais recommandé pour le premier cycle de conformité afin de valider votre travail.

Erreurs courantes
Ce que nous voyons les entreprises faire de travers - et comment l'éviter.

  • Attendre « les orientations définitives »

    La loi est en vigueur depuis décembre 2025. Le CIR définit les mesures techniques. Aucune orientation ultérieure à venir ne changera ce que vous devez faire. Commencez maintenant.

  • Surdimensionner la solution

    Une entreprise de gestion des déchets de 100 personnes n'a pas besoin d'un SOC ni d'un SIEM. Ajustez vos contrôles à votre profil de risque réel. Le BSIG exige des mesures « appropriées », et non des mesures maximales.

  • Le traiter comme un projet informatique

    Le § 38 BSIG en fait une responsabilité de la direction. Si le dirigeant n'est pas impliqué, vous êtes déjà en non-conformité. Planifiez le briefing de la direction dès la semaine 1.

  • Ignorer la sécurité de la chaîne d'approvisionnement

    NIS2 exige explicitement d'évaluer la cybersécurité de vos fournisseurs. Cela prend de nombreuses entreprises au dépourvu. Commencez tôt à documenter les relations avec les fournisseurs.

  • Une conformité de papier sans mesures réelles

    Rédiger des politiques que personne ne lit ne compte pas. Le BSI peut exiger des preuves que les mesures sont effectivement mises en œuvre et efficaces. Construisez de vrais processus, pas seulement des documents.

Commencez votre mise en œuvre dès aujourd'hui
La plateforme vous guide à travers les 49 exigences du BSIG dans l'ordre où elles devraient être mises en œuvre, avec des formulaires structurés, des téléversements de preuves et des flux de validation par la direction - exactement ce dont une entreprise de taille intermédiaire a besoin pour se mettre en conformité sans recruter de consultant.
Démarrer votre processus de conformité NIS2