BSIG / NIS2UmsuCG

NIS2 en Allemagne

L'Allemagne a transposé la directive NIS2 en droit national par le NIS2UmsuCG, refondant la loi fédérale sur la cybersécurité (BSIG). Toutes les obligations s'appliquent depuis le 6 décembre 2025.

Simon Orzel·Laufend geprüft

Calendrier allemand

Date	Événement
27 déc. 2022	Directive NIS2 publiée au Journal officiel de l'UE L 333 (adoptée le 14 déc. 2022)
16 janv. 2023	NIS2 entre en vigueur au niveau de l'UE
17 oct. 2024	Date limite de transposition de l'UE (l'Allemagne ne l'a pas respectée)
13 nov. 2025	Le Bundestag adopte le NIS2UmsuCG
21 nov. 2025	Le Bundesrat approuve
5 déc. 2025	Publié au Bundesgesetzblatt
6 déc. 2025	La nouvelle BSIG entre en vigueur, toutes les obligations s'appliquent immédiatement
6 janv. 2026	Le portail d'enregistrement du BSI est mis en service
6 mars 2026	Date limite d'enregistrement auprès du BSI
~2028	Exploitants KRITIS : première preuve de conformité exigée

Il n'existe aucune période de transition. Les mesures de gestion des risques, la notification des incidents et la responsabilité de la direction s'appliquent depuis le jour de l'entrée en vigueur de la loi.

Voir le calendrier NIS2 complet→

Catégories d'entités

L'Allemagne utilise une terminologie différente de celle de la directive de l'UE. Environ 29 500 entreprises en Allemagne sont concernées.

Terme UE	Terme allemand	Abréviation
Entité essentielle	Besonders wichtige Einrichtung	bwE
Entité importante	Wichtige Einrichtung	wE
Exploitant d'infrastructure critique	Betreiber kritischer Anlagen	KRITIS

La hiérarchie : KRITIS ⊂ entités essentielles ⊂ toutes les entités NIS2. Les exploitants KRITIS sont automatiquement classés comme entités essentielles.

Sanctions

Par catégorie d'entité

Catégorie	Amende maximale	Alternative fondée sur le chiffre d'affaires
Entités essentielles	10 000 000 EUR	2 % du chiffre d'affaires annuel mondial du groupe
Entités importantes	7 000 000 EUR	1,4 % du chiffre d'affaires annuel mondial du groupe

Par type de violation

Violation	Amende maximale
Défaut de mise en œuvre des mesures de cybersécurité (§30)	10 M€ / 7 M€
Défaut de notification des incidents (§32)	10 M€ / 7 M€
Non-respect des directives du BSI	10 M€ / 7 M€
KRITIS : défaut de notification des composants critiques	5 000 000 EUR
KRITIS : défaut dans les procédures de preuve d'audit	2 000 000 EUR
Violations d'enregistrement, défaut de notification au BSI	500 000 EUR
Obstruction aux inspections du BSI	500 000 EUR
Défauts d'accessibilité du point de contact	100 000 EUR

Responsabilité de la direction (article 38 BSIG)

L'une des dispositions les plus marquantes de la mise en œuvre allemande. Les organes de direction sont personnellement responsables de la conformité en matière de cybersécurité.

Trois obligations fondamentales

Approbation (Billigung)

La direction doit approuver formellement les mesures de gestion des risques de cybersécurité conformément à l'article 30 BSIG.

Surveillance (Überwachung)

Un suivi actif de la mise en œuvre, et non une simple connaissance passive. La direction doit vérifier que les mesures sont effectivement mises en œuvre.

Formation (Schulung)

Participation personnelle obligatoire à une formation en cybersécurité au minimum tous les 3 ans. Cette obligation ne peut être déléguée.

Les dirigeants sont personnellement responsables envers leur propre entreprise lorsqu'ils manquent de manière fautive à ces obligations. La délégation des tâches opérationnelles est autorisée, mais la responsabilité stratégique et la surveillance demeurent à la charge de la direction. La direction ne peut invoquer un manque de connaissances techniques comme moyen de défense.

L'article 38 BSIG interdit expressément les renonciations contractuelles à responsabilité par les associés qui seraient disproportionnées au regard de l'incertitude existante concernant les droits.

Enregistrement auprès du BSI

Toutes les entités classées comme entités essentielles ou importantes doivent s'enregistrer auprès du BSI.

Date limite : 6 mars 2026 (3 mois après l'entrée en vigueur de la BSIG).

L'enregistrement suit un processus en deux étapes : créer d'abord un compte via Mein Unternehmenskonto (MUK/ELSTER), puis s'enregistrer via le portail du BSI (en service depuis le 6 janvier 2026).

L'enregistrement est une obligation d'auto-identification, sans notification de la part du BSI. Les entreprises doivent déterminer elles-mêmes si elles relèvent du champ d'application. Le BSI peut également ordonner à une entreprise de s'enregistrer s'il établit qu'elle relève du champ d'application.

Modèle de surveillance

Aspect	Essentielle	Importante
Surveillance	Proactive (ex ante), le BSI peut auditer à tout moment	Réactive (ex post), uniquement en présence d'indices de non-conformité
Amende maximale	10 M€ ou 2 % du chiffre d'affaires mondial	7 M€ ou 1,4 % du chiffre d'affaires mondial
Exigences d'audit	Contrôles ponctuels fondés sur les risques par le BSI	Uniquement sur soupçon justifié
Cycle d'audit KRITIS	Tous les 3 ans (si exploitant KRITIS)	S.O.