Pour les dirigeants

Feuille de route NIS2 pour les dirigeants

Les étapes priorisées. Votre temps personnel : ~3 heures par an : tout le reste est délégable.

Simon Orzel·Laufend geprüft

Avant de poursuivre la lecture

Êtes-vous réellement dans le champ d'application de NIS2 ? La vérification de 2 minutes est gratuite, sans inscription.

Vérifier l'applicabilité

La feuille de route

1

Vérifier l'applicabilité

délégable

Vérifiez les seuils (employés, chiffre d'affaires, secteur) pour confirmer si votre entité est classée comme « essentielle » ou « importante ».

Base juridique:: §28 BSIG
Responsable:: Dirigeant
Effort:: 2 minutes
Échéance:: maintenant

Vérification en 2 minutes, sans inscription

2

S'enregistrer auprès de votre autorité NIS2 nationale

délégable

Vous vous enregistrez auprès de l'autorité NIS2 de chaque État membre de l'UE dans lequel vous opérez : pas seulement l'Allemagne. « Opérer dans » signifie un établissement physique : votre propre entreprise, une succursale, un bureau ou vos propres employés sur place dans ce pays. Les ventes transfrontalières seules ne comptent pas. Exemple : une GmbH allemande disposant d'un bureau à Vienne s'enregistre auprès du BSI (DE) et de la NIS-Stelle (AT).

Base juridique:: NIS2 art. 27 · §33 BSIG (DE)
Responsable:: Le responsable informatique dépose, le dirigeant signe
Effort:: ~1 heure par pays + mise en place de l'identité nationale (par exemple ELSTER en DE : 5 à 10 jours ouvrés)
Échéance:: Des échéances nationales s'appliquent : DE : 06.03.2026 dépassée ; l'obligation demeure

Voir les autorités par pays

3

Suivre la formation des dirigeants

personnel · non délégable

La seule obligation qui ne peut être déléguée. Démontrer une connaissance suffisante de la gestion des risques de cybersécurité.

Base juridique:: §38(3) BSIG
Responsable:: Le dirigeant, personnellement
Effort:: ~2 heures au départ · remise à niveau annuelle recommandée
Échéance:: avant le premier audit

Commencer le cours gratuit pour dirigeants

4

Inventaire des actifs et registre des risques

délégable

Liste complète des systèmes, applications et données dont dépendent vos opérations : ainsi que les risques pesant sur chacun. Les deux constituent le fondement de toutes les autres obligations NIS2 et la première chose qu'un auditeur demande à voir. Dans la plateforme NISD2, votre responsable informatique et votre CISO constituent et maintiennent l'inventaire et le registre des risques, et le flux de notification des incidents (24 h / 72 h / 1 mois au titre du §32 BSIG) est intégré automatiquement.

Base juridique:: §30(2) BSIG · NIS2 art. 21, par. 2, point a)
Responsable:: Le responsable informatique produit, le dirigeant signe (§38(1) BSIG)
Effort:: ~1 jour pour la première passe · maintenu en continu, validé chaque année
Échéance:: T1

Constituer l'inventaire des actifs et le registre des risques dans la plateforme

5

Inventaire des fournisseurs et gestion des risques fournisseurs

délégable

Inventaire de vos fournisseurs directs, lié à votre registre des actifs (quel fournisseur exploite quel système). Gestion continue des risques de cybersécurité : pas un questionnaire ponctuel : posture de sécurité par fournisseur, notifications d'incidents reçues via leur portail fournisseurs, notation des risques. La plateforme est livrée avec le questionnaire standard ancré sur NIS2 (open source, MIT + CC BY 4.0) et maintient l'inventaire.

Base juridique:: §30(2)(4) BSIG · NIS2 art. 21, par. 2, point d)
Responsable:: Les achats / l'informatique produisent, le dirigeant signe
Effort:: ~½ journée pour la première passe · maintenu en continu
Échéance:: T1-T2

Constituer l'inventaire des fournisseurs dans la plateforme

6

Mettre en œuvre le reste de NIS2

délégable

Les dix domaines de mesures au titre de l'art. 21 NIS2 : traitement des incidents, continuité d'activité (sauvegardes, reprise), formation, contrôle d'accès, cryptographie, gestion des vulnérabilités et des correctifs, sécurité réseau, surveillance, contrats fournisseurs, communications. La plateforme couvre les dix avec des modèles, une capture automatique des preuves et un journal d'audit complet ; vous validez le récapitulatif annuel.

Base juridique:: §30(2) Nr. 1-10 BSIG · NIS2 art. 21
Responsable:: Le responsable informatique / CISO met en œuvre, le dirigeant valide chaque année
Effort:: en continu, parallèlement au travail informatique normal
Échéance:: À partir du T2

Voir les fonctionnalités de la plateforme

Votre minimum personnel

• 1× formation (~2 heures, ponctuelle)
• 5× validations de documents (~40 minutes au total)
• Remise à niveau annuelle recommandée

Total: ~3 heures par an.

Tout le reste est pris en charge par votre responsable informatique ou votre CISO.

Vous préférez un accompagnement humain ?

Vous connaissez désormais les étapes. Si vous préférez ne pas mener la mise en œuvre seul, nous la parcourons avec vous. Un appel de 30 minutes une fois par semaine, point par point, vous gardez le contrôle. Sans lock-in.

Voir la mise en œuvre accompagnée

Cette page constitue une orientation structurée fondée sur NIS2, le BSIG, le CIR 2024/2690 et l'ENISA TIG. Elle ne constitue pas un conseil juridique. Votre responsable informatique ou votre CISO assure le travail opérationnel.

Sources et transparence

Directive NIS2 (UE) 2022/2555 · BSIG (au 06.12.2025) · CIR 2024/2690 · ENISA Technical Implementation Guidance v1.0

Outils open source (MIT + CC BY 4.0) · Hébergé en Allemagne · conforme au GDPR