Art. 27 NIS 2 + §33 BSIG

Auto-classification au sens de NIS 2: le silence du BSI n'est pas une défense

La plupart des équipes du Mittelstand attendent un courrier qui n'arrivera jamais. NIS 2 met à votre charge l'obligation de déterminer si vous êtes dans le champ d'application, et l'horloge tourne que vous vérifiiez ou non.

Simon OrzelSimon Orzel·

La méprise la plus coûteuse

De nombreuses entités du Mittelstand prennent l'absence de courrier du BSI comme la preuve qu'elles ne relèvent pas de NIS 2. Elles ont tort. La directive et le § 33 BSIG mettent l'obligation d'enregistrement à la charge de l'entité, et non de l'autorité.

Le mécanisme est simple. L'art. 27(1) NIS 2 oblige les États membres à mettre en place un registre des entités essentielles et importantes. Le § 33(1) BSIG transpose ceci : les entités s'enregistrent dans les trois mois suivant le moment où elles remplissent les conditions. Le délai démarre lorsque vous remplissez les critères, pas lorsque quelqu'un vous le dit.

En pratique, cela signifie qu'une entreprise de gestion des déchets de 70 personnes relevant de l'annexe II peut être dans le champ d'application discrètement pendant plus d'un an, accumulant des amendes au titre du § 65 BSIG et une responsabilité personnelle au titre du § 38 BSIG, jusqu'à ce que quelqu'un finisse par consulter l'annexe.

Où se situe l'obligation
Deux articles font le gros du travail. Un dans la directive, un dans la transposition allemande.

Art. 27(1) NIS 2 (obligation de registre)

Member States shall require essential and important entities to submit at least the following information to the competent authorities: name; address; up-to-date contact details; sector and subsector; list of Member States where they provide services.

L'obligation va de l'entité vers l'autorité, pas l'inverse. Aucune disposition de NIS 2 n'impose à l'autorité d'identifier d'abord les entités concernées.

§ 33(1) BSIG (délai de 3 mois)

Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.

Trois mois à compter du moment où l'entité remplit les conditions pour la première fois. Il n'y a pas de période d'attente pour un courrier du BSI. L'horloge tourne sur le calendrier propre de l'entité.

Art. 2 + annexes I/II NIS 2 (secteur + taille)

This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or which exceed the ceilings for medium-sized enterprises.

Deux questions déterminent l'assujettissement : êtes-vous d'un type figurant à l'annexe I ou II, et êtes-vous au moins de taille moyenne (50 salariés ou plus et soit plus de 10 M€ de chiffre d'affaires, soit plus de 10 M€ de total de bilan). Plus les dérogations « quelle que soit la taille » pour les services de confiance, le DNS, les registres TLD, l'administration publique, les fournisseurs uniques dans un État membre.

Comment fonctionne l'auto-classification en pratique
Trois vérifications. La première est sectorielle, la deuxième porte sur la taille, la troisième sur les dérogations.
Schritt 1

Confronter les annexes I et II à votre activité

L'annexe I recense les entités essentielles (énergie, transport, banque, marché financier, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace). L'annexe II recense les entités importantes (services postaux, déchets, produits chimiques, alimentation, fabrication, fournisseurs numériques, recherche). Faites correspondre selon l'activité réelle, pas selon la forme juridique.

Schritt 2

Confronter la taille à la définition européenne des PME

Taille moyenne : 50 à 249 salariés ET (chiffre d'affaires ou total de bilan supérieur à 10 M€). Grande : 250 salariés ou plus OU chiffre d'affaires supérieur à 50 M€ OU total de bilan supérieur à 43 M€. Utilisez la recommandation 2003/361/CE telle quelle, comptabilisez les entreprises liées et partenaires selon les règles de la recommandation.

Schritt 3

Vérifier les dérogations « quelle que soit la taille »

Fournisseur unique d'un service dans un État membre, administrations publiques de l'administration centrale, fournisseurs de services DNS, registres de noms de domaine de premier niveau (TLD), prestataires de services de confiance qualifiés relèvent du champ d'application quelle que soit leur taille. À retenir : si vous êtes dans l'un de ces cas, le seuil de taille ne s'applique pas.

Ce qui se passe lorsque vous êtes découvert tardivement
Deux centres de coûts s'ouvrent en même temps : les amendes administratives et la responsabilité personnelle.

Amende administrative au titre du § 65 BSIG

Jusqu'à 10 millions d'euros ou 2 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, pour les entités essentielles. Jusqu'à 7 millions d'euros ou 1,4 pour cent pour les entités importantes. L'amende s'attache à l'entité. La violation ne se limite pas au retard d'enregistrement ; c'est la non-conformité sous-jacente aux obligations de l'art. 21 et de l'art. 23 qui s'est accumulée pendant la période de silence.

Responsabilité personnelle de l'organe de direction au titre du § 38 BSIG

L'art. 20(1) NIS 2 transposé au § 38 BSIG rend l'organe de direction responsable de l'approbation et de la supervision des mesures de gestion des risques. La découverte tardive n'est pas une défense ; l'organe aurait dû s'assurer que la classification était faite.

Escalade du pouvoir de supervision

L'art. 32 NIS 2 permet à l'autorité compétente d'imposer des obligations, d'exiger des audits et, dans le pire des cas, de suspendre les activités. Les entrants tardifs tendent à attirer davantage de supervision parce que l'autorité a besoin de vérifier le rattrapage.

Ce qu'il faut faire maintenant
Trois étapes. Aucune ne dépend d'une nouvelle du BSI.

Lancez le test d'assujettissement aujourd'hui

Mettez votre activité en correspondance avec l'annexe I ou II, comptez les salariés et le chiffre d'affaires, parcourez les dérogations « quelle que soit la taille ». Documentez le résultat même s'il est négatif. Une analyse écrite « hors champ d'application » est la seule défense dans un litige ultérieur.

Si dans le champ d'application, enregistrez-vous dans les trois mois

Via le portail du BSI au titre du § 33 BSIG. Cela requiert un certificat d'organisation ELSTER qui prend lui-même deux à trois semaines. Lancez d'abord la demande ELSTER si le délai d'enregistrement est serré.

Relancez le test chaque année

Les annexes peuvent être modifiées (revue de l'art. 6 NIS 2). Votre effectif et votre chiffre d'affaires évoluent. Une position « hors champ d'application » devient obsolète. Planifiez une réévaluation annuelle.

Sources
  • Directive (UE) 2022/2555 (NIS 2), art. 2, art. 3, annexe I, annexe II, art. 27, www.eur-lex.europa.eu
  • Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 33, § 38, § 65, www.gesetze-im-internet.de
  • Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises, www.eur-lex.europa.eu
  • NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG)

Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, recommandation européenne sur les PME). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. Pour des cas particuliers, consultez un avocat inscrit. À jour au 2026-06-04.

Découvrez dès aujourd'hui si vous êtes dans le champ d'application
Le test d'assujettissement gratuit parcourt les trois étapes, produit un résultat écrit et vous indique quel est le délai du § 33 BSIG dans votre cas.