BSI

Analyse de l'écart d'enregistrement NIS2

Le BSI a estimé à environ 30 000 le nombre d'entités assujetties à NIS2 en Allemagne. Le délai d'enregistrement a expiré le 6 mars 2026. Une part importante des entreprises concernées ne s'est toujours pas enregistrée - les exposant à une exécution au titre du § 65 BSIG.

Simon OrzelSimon Orzel·Laufend geprüft

Le § 33 BSIG impose à chaque entité relevant de NIS2 - qu'elle soit entité essentielle ou importante - de s'enregistrer auprès du Bundesamt für Sicherheit in der Informationstechnik (BSI). Ce n'est pas facultatif. L'obligation d'enregistrement existe indépendamment du fait que l'entreprise ait mis en œuvre ou non des mesures de cybersécurité. Vous devez d'abord vous enregistrer, puis vous mettre en conformité.

Le portail d'enregistrement du BSI (muk.bsi.bund.de) a été mis en ligne le 6 janvier 2026 - un mois après l'entrée en vigueur du BSIG. Le délai d'enregistrement au titre du § 33 BSIG était fixé au 6 mars 2026 (3 mois après l'entrée en vigueur). Malgré une obligation légale claire et une fenêtre de deux mois, une part importante des 29 000 à 30 000 entités concernées estimées ne s'est pas enregistrée dans le délai. Une enquête de G DATA a révélé que 44 % des entreprises concernées ignoraient entièrement leurs obligations NIS2.

L'écart d'enregistrement est particulièrement préoccupant parce que l'enregistrement est une condition préalable au régime de supervision du BSI. Les entités non enregistrées ne sont pas invisibles - elles sont en non-conformité par défaut. Lorsque le BSI engagera une exécution systématique (qu'il a annoncée pour 2026), les entreprises non enregistrées encourront des sanctions non seulement pour les mesures de cybersécurité manquantes, mais aussi pour la violation de l'obligation d'enregistrement elle-même - une infraction distincte au titre du § 65 BSIG.

L'enregistrement en chiffres
État actuel de l'enregistrement NIS2 en Allemagne d'après les données du BSI et les enquêtes du secteur.

~29 000-30 000

Entités concernées estimées

Estimation propre du BSI des entités assujetties aux obligations NIS2 au titre du NIS2UmsuCG, couvrant les entités essentielles comme importantes.

44 %

Ignorant les obligations NIS2

Enquête G DATA (2024) : 44 % des entreprises allemandes de taille intermédiaire ignoraient que NIS2 s'appliquait à elles - avant même l'entrée en vigueur de la loi.

2 mois

Fenêtre d'enregistrement

Le portail du BSI a été mis en ligne le 6 janvier 2026. Le délai d'enregistrement était fixé au 6 mars 2026 - une fenêtre de deux mois pour l'enregistrement d'environ 30 000 entités.

§ 33 BSIG

Base légale de l'enregistrement

L'enregistrement est requis sans délai (unverzüglich) après avoir déterminé que l'entité relève du champ d'application. Il n'y a pas de délai de grâce - l'obligation est immédiate dès l'entrée en vigueur de la loi.

Pourquoi l'écart existe

Quatre facteurs structurels expliquent pourquoi la majorité des entités NIS2 allemandes ne se sont pas enregistrées.

Manque de sensibilisation

Une enquête G DATA menée en 2024 a révélé que 44 % des entreprises allemandes de taille intermédiaire ignoraient que NIS2 s'appliquait à elles. Les critères de périmètre - plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans 18 secteurs couverts - ne sont pas évidents pour les entreprises qui n'ont jamais eu affaire à une réglementation de sécurité informatique. De nombreuses entreprises dans des secteurs comme la gestion des déchets, la production alimentaire et la fabrication chimique ne se considèrent pas comme des « infrastructures critiques ».

Complexité du périmètre

Déterminer si une entreprise relève de NIS2 requiert de mettre l'activité en regard des annexes I et II de la directive NIS2 (transposées au § 28 BSIG). Les définitions sectorielles renvoient à des codes NACE, des seuils de chiffre d'affaires et des effectifs - mais les cas limites abondent. Les entreprises aux lignes d'activité mixtes, à la couverture sectorielle partielle ou aux structures de groupe sont confrontées à une véritable incertitude quant à leur assujettissement.

Contraintes de ressources

Les entreprises du Mittelstand allemand dans la tranche de 50 à 250 salariés manquent généralement de personnel dédié à la conformité ou à la sécurité de l'information. La personne responsable de « l'informatique » est souvent aussi responsable des bâtiments, des achats et de tout ce qui implique un ordinateur. L'enregistrement NIS2 requiert de comprendre un texte réglementaire, de classer le secteur de l'entreprise et de naviguer dans un portail public - des tâches qui sortent des opérations normales.

Incertitude législative

Le NIS2UmsuCG a connu plusieurs versions et a été reporté à plusieurs reprises avant son adoption finale. De nombreuses entreprises ont adopté une approche attentiste, s'attendant à de nouvelles modifications ou à des délais prolongés. C'était un pari rationnel mais erroné - la loi est passée, l'obligation d'enregistrement est en vigueur, et le BSI n'offre pas de prolongations.

Conséquences du défaut d'enregistrement
L'enregistrement n'est pas qu'une formalité administrative - le défaut d'enregistrement est une violation autonome assortie de ses propres sanctions.

Amendes administratives

Le § 65 BSIG prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les wichtige Einrichtungen. Le défaut d'enregistrement est une violation distincte de la non-conformité aux mesures de sécurité de fond - ce qui signifie que les entreprises peuvent encourir des sanctions pour les deux.

Responsabilité personnelle de la direction

Au titre du § 38 BSIG, la Geschäftsleitung est personnellement responsable de veiller au respect des obligations NIS2 - y compris l'enregistrement. Un dirigeant qui omet d'enregistrer l'entreprise manque personnellement à ses obligations légales, ce qui crée une exposition à des actions en responsabilité personnelle de la part de l'entreprise ou de ses associés.

Priorité d'exécution

Le BSI a indiqué qu'il prioriserait l'exécution à l'encontre des entités non enregistrées, parce que le défaut d'enregistrement signale une non-conformité totale. Une entreprise qui s'est enregistrée mais travaille sur les mesures démontre sa bonne foi. Une entreprise qui ne s'est même pas enregistrée n'a aucun moyen d'invoquer des efforts de mise en œuvre en cours.

Impact réputationnel et commercial

Les exigences NIS2 relatives à la chaîne d'approvisionnement (§ 30(2)(4) BSIG) impliquent que les entreprises concernées doivent évaluer la posture de cybersécurité de leurs fournisseurs. Une entreprise non enregistrée ne peut pas démontrer sa conformité NIS2 à ses clients - risquant de perdre des contrats ou d'être signalée lors d'audits de la chaîne d'approvisionnement. Cette pression commerciale s'accélérera à mesure que davantage d'entreprises mettront en œuvre une diligence raisonnable de la chaîne d'approvisionnement.

Sources
  • BSI - Statistiques d'enregistrement NIS2, déclarations publiques (2025)
  • G DATA CyberDefense - Enquête de sensibilisation NIS2 : 44 % des entreprises de taille intermédiaire ignorant les obligations (2024)
  • G DATA CyberDefense - Enquête de sensibilisation NIS2 auprès des entreprises allemandes de taille intermédiaire (2024)
  • BSIG - § 33 (obligation d'enregistrement), § 65 (amendes administratives), § 38 (responsabilité de la direction)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (loi de transposition de NIS2)
  • BMI - Referentenentwürfe et documentation parlementaire du NIS2UmsuCG
Enregistrez-vous et mettez-vous en conformité - avant que le BSI ne frappe à la porte
La plateforme vous guide à travers les exigences d'enregistrement auprès du BSI et commence immédiatement à constituer votre piste de preuves de conformité - de sorte que vous passez de non enregistré à prêt pour l'audit selon un processus structuré.
Démarrer votre processus de conformité NIS2