NIS2UmsuCG : la loi de transposition allemande de NIS 2
NIS 2 est une directive de l'UE. L'article 41 imposait à chaque État membre de l'inscrire dans le droit national au plus tard le 17 octobre 2024. L'Allemagne a manqué cette échéance. Le NIS2UmsuCG a fini par être adopté et a inscrit les obligations dans un BSIG modifié. La directive reste la source.
La version courte
NIS 2 est une directive, pas un règlement. Les directives lient les États membres quant à un résultat. Chaque pays doit rédiger sa propre loi nationale qui atteint ce résultat. NIS 2 fixe une norme unique à l'échelle de l'UE pour les obligations de cybersécurité à travers 27 lois de transposition.
La loi de transposition allemande s'appelle le NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Elle n'existe pas comme un ouvrage autonome. C'est une loi modificative qui réécrit le BSI-Gesetz (BSIG). Lorsque les praticiens allemands disent « BSIG » aujourd'hui, ils entendent le BSIG tel que modifié par le NIS2UmsuCG.
L'Allemagne a manqué l'échéance du 17 octobre 2024 fixée par l'article 41 NIS 2. Le NIS2UmsuCG a été adopté plus tard. À la mi-2026, la loi est en vigueur. Les obligations pesant sur les entités essentielles et importantes figurent dans le BSIG modifié.
Directive NIS 2 (UE) 2022/2555
La présente directive établit des mesures visant à atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union.
NIS 2 est une directive. Elle a été adoptée le 14 décembre 2022 et est entrée en vigueur le 16 janvier 2023. Elle lie chaque État membre à la même norme. La substance de chaque loi nationale NIS 2 dans l'UE provient de ce texte.
Article 41(1) NIS 2
Au plus tard le 17 octobre 2024, les États membres adoptent et publient les mesures nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission. Ils appliquent ces mesures à partir du 18 octobre 2024.
L'article 41 est la clause de transposition. Il fixe deux dates. Les lois nationales devaient être inscrites dans les textes au plus tard le 17 octobre 2024. Les obligations devaient s'appliquer à partir du 18 octobre 2024. L'Allemagne a manqué les deux. La Commission a ouvert des procédures d'infraction contre les États membres en retard de transposition en novembre 2024.
NIS2UmsuCG → BSIG modifié (Allemagne)
Le NIS2UmsuCG modifie le BSI-Gesetz afin de mettre en œuvre la directive (UE) 2022/2555.
Le NIS2UmsuCG est la loi modificative allemande. Il réécrit le BSIG. Le BSIG modifié est ce qu'un auditeur ou le BSI vous opposera en Allemagne. Le libellé suit étroitement la directive, parfois mot pour mot.
Champ d'application et les dix mesures
Le §28 BSIG définit qui est dans le champ d'application : entités « particulièrement importantes » et « importantes », appréciées par secteur (annexes I et II de NIS 2) et par taille (50 effectifs ou plus, ou 10 M€ ou plus de chiffre d'affaires, avec des dérogations). Le §30 BSIG énumère les dix mesures de cybersécurité que chaque entité dans le champ d'application doit mettre en place. Le §30 transpose l'article 21(2) de la directive.
Notification des incidents et enregistrement
Le §32 BSIG fixe la cascade de notification des incidents : 24 heures pour une alerte précoce, 72 heures pour une notification d'incident, un mois pour un rapport final. Il transpose l'article 23. Le §33 BSIG impose l'enregistrement auprès du BSI. L'échéance d'enregistrement était le 6 mars 2026. Le §33 transpose l'article 27.
Organe de direction et amendes
Le §38 BSIG tient l'organe de direction personnellement responsable de la conformité et impose une formation régulière. Il transpose l'article 20. Le §65 BSIG fixe les tranches d'amendes : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités particulièrement importantes, jusqu'à 7 M€ ou 1,4 % pour les entités importantes. Le §65 transpose l'article 34.
NIS 2 est la source ; le BSIG la copie
La substance de chaque obligation provient de la directive. Le NIS2UmsuCG copie l'article 21 dans le §30 BSIG presque mot pour mot. Il en va de même pour les articles 20, 23, 27 et 34. Si vous voulez savoir ce que signifie une obligation, lisez d'abord la directive. Lisez la section du BSIG pour les mécanismes propres à l'Allemagne (quelle autorité, quel portail, quelle tranche d'amendes).
Lorsqu'ils divergent, la directive prévaut
Si le libellé du BSIG s'écarte de la directive et que la différence importe, la directive l'emporte. C'est un principe général du droit de l'UE : un État membre ne peut pas sous-transposer une directive en rédigeant un texte national plus souple. Les juridictions nationales lisent le droit national à la lumière de la directive. Les autorités nationales ne peuvent pas appliquer contre la directive.
NIS2UmsuCG → BSIG, supervisé par le BSI
Le NIS2UmsuCG modifie le BSIG. Le Bundesamt für Sicherheit in der Informationstechnik (BSI) est l'autorité nationale compétente. L'enregistrement passe par le portail du BSI. Le BSI publie également des Infopakete et désigne IT-Grundschutz comme la voie pratique de mise en œuvre.
Suivi de transposition de l'ENISA
L'ENISA, l'agence de cybersécurité de l'UE, publie un aperçu de l'état des transpositions. Il indique quels États membres ont transposé, lesquels sont en retard et lesquels sont encore en procédure législative. Utilisez-le pour vérifier l'état de toute loi nationale NIS 2, pas seulement de l'allemande.
Lois de transposition équivalentes
Pays-Bas : Cyberbeveiligingswet. Autriche : NISG. France : ordonnance n° 2024-1184. Belgique : NIS2-Wet. Chacune transpose la même directive dans sa langue et son style juridique nationaux. Une obligation du §30 BSIG a un équivalent exact dans chacune de ces lois. Le libellé diffère ; l'obligation est la même.
La directive ne me lie pas, seul le BSIG le fait.
Les obligations s'exercent à travers le BSIG, oui. Mais le BSIG se lit à la lumière de la directive. Si une autorité ou une juridiction nationale interprète une clause ambiguë du BSIG, elle se réfère à la directive. Pour les questions à l'échelle de l'UE (contrats fournisseurs transfrontaliers, politique de risque multi-juridictionnelle), la directive est la bonne référence. Le BSIG est la mise en œuvre allemande, pas un code fermé et autosuffisant.
Nous attendons que la loi soit en vigueur avant de nous conformer.
La directive s'appliquait à partir du 18 octobre 2024. Le retard de transposition de l'Allemagne n'a pas reporté votre obligation de fond. Les cyberassureurs, les grands clients et les organismes d'audit ont commencé à demander des preuves NIS 2 en 2025, avant l'adoption du NIS2UmsuCG. Une fois le BSIG modifié, les obligations sont devenues directement applicables. Le retard de transposition a raccourci le délai, il ne l'a pas prolongé.
Le NIS2UmsuCG est une loi allemande unique.
Chaque État membre a une transposition équivalente. Les obligations sont les mêmes. Seuls le libellé, l'agence de supervision et la tranche d'amendes diffèrent. Si vous opérez dans trois pays de l'UE, vous n'avez pas besoin de trois cadres de risque. Vous avez besoin d'un cadre qui satisfait à la directive, et de trois courtes annexes nationales pour les mécanismes locaux (quel portail, quel format d'échéance, quelle autorité).
La plupart des opérateurs du Mittelstand devraient lire les deux. La directive pour la substance. Le BSIG pour les spécificités procédurales. Lisez l'article 21 NIS 2 pour ce que signifie la gestion des risques. Lisez le §30 BSIG pour la façon dont l'Allemagne le formule et quelle orientation du BSI s'applique. Les deux ensemble vous disent ce que vous devez.
Pour les opérations multipays, la directive est le texte de travail. Construisez votre registre des risques, votre plan d'intervention en cas d'incident et vos contrats fournisseurs sur la base de la directive. Puis conservez une courte annexe nationale par pays : auprès de quelle autorité vous vous enregistrez, par quel portail vous déclarez, quelle tranche d'amendes s'applique. Cela maintient un cadre de fond unique avec de fines enveloppes nationales, au lieu de 27 cadres parallèles.
Nous cartographions la directive et le BSIG côte à côte. Chaque exigence de la plateforme indique l'article NIS 2 qu'elle transpose aux côtés de la section §30 / §32 / §33 / §38 BSIG qui l'opérationnalise en Allemagne. Même obligation, deux lectures. Vous lisez le niveau qui correspond à ce que vous faites en ce moment.
Si vous opérez dans plus d'un pays de l'UE, la vue directive reste constante. L'enveloppe nationale (quelle autorité, quel portail, quelle tranche d'amendes) change selon le pays. Nous étendons le même modèle à d'autres États membres (NL, AT, FR) au fur et à mesure que nous ajoutons du contenu national.
- Directive (UE) 2022/2555 (NIS 2), article 41 (transposition) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache et Bundesgesetzblatt
- BSI-Gesetz (BSIG), §§28, 30, 32, 33, 38, 65 tels que modifiés par le NIS2UmsuCG
- Paquet d'infraction de la Commission européenne de novembre 2024, lettres de mise en demeure pour transposition tardive de NIS 2
- Aperçu de l'état de transposition de NIS 2 de l'ENISA