Vous avez manqué le délai d'enregistrement auprès du BSI. Et maintenant ?
Environ 18 000 entreprises allemandes ont manqué le délai d'enregistrement prévu au §33 BSIG. Le portail du BSI reste ouvert. Voici ce qui compte maintenant, et ce qui se passe réellement si vous agissez rapidement.
La réponse en bref
Pas de panique. Vous n'êtes pas seul, et il n'est pas trop tard pour corriger la situation. Le BSI a estimé qu'environ 30 000 entités relèvent de NIS2 en Allemagne. Le délai d'enregistrement a expiré le 6 mars 2026, mais un nombre important d'entreprises ne se sont toujours pas enregistrées. Vous êtes loin d'être le seul dans cette situation.
Le portail d'enregistrement prévu au §33 BSIG reste ouvert. Vous pouvez vous enregistrer aujourd'hui. Le BSI a fait savoir qu'il donnerait la priorité à l'action répressive contre les entreprises qui ignorent entièrement leurs obligations, et non contre celles qui se sont enregistrées tardivement mais agissent de bonne foi. Tard vaut mieux que jamais, et « jamais » est la seule option réellement dangereuse.
L'essentiel est d'agir maintenant, de documenter que vous avez commencé et d'entamer le véritable travail de conformité. Un enregistrement tardif assorti de progrès visibles apparaît fondamentalement différent, aux yeux d'un régulateur, d'une absence totale d'enregistrement.
1. Confirmez que vous êtes réellement dans le périmètre
Avant de vous enregistrer, vérifiez que NIS2 s'applique à votre entreprise. Les critères figurent au §28 BSIG : vous devez exercer dans l'un des 18 secteurs listés ET atteindre le seuil de taille (50 salariés ou plus, ou un chiffre d'affaires annuel de 10 M€ ou plus). En cas de doute, consultez les listes sectorielles du BSI à l'Annexe I et à l'Annexe II de la directive NIS2. De nombreuses entreprises supposent être hors périmètre alors qu'elles ne le sont pas, et inversement. Si vous êtes réellement incertain, obtenez un avis juridique avant de vous enregistrer, mais n'utilisez pas l'incertitude comme prétexte pour retarder.
2. Enregistrez-vous immédiatement via le portail du BSI
Rendez-vous sur le portail d'enregistrement NIS2 du BSI et effectuez votre enregistrement au titre du §33 BSIG. Vous aurez besoin : des coordonnées de votre entreprise, de votre classification sectorielle, d'une personne de contact pour les questions de cybersécurité, et des plages d'adresses IP de vos systèmes critiques. L'enregistrement lui-même prend environ 30 minutes si vos informations sont prêtes. Faites-le aujourd'hui : chaque jour d'attente accroît l'écart entre le délai et la date de votre enregistrement.
3. Documentez que vous avez commencé
Créez une trace écrite, même une simple note interne, qui documente la date à laquelle vous avez pris connaissance de vos obligations NIS2, la date de votre enregistrement et les mesures que vous prenez. Cela constitue une trace documentaire qui démontre la bonne foi. Si le BSI vous demande un jour pourquoi vous étiez en retard, « nous avons identifié l'obligation, nous nous sommes enregistrés immédiatement et nous avons entamé le travail de conformité le [date] » est une réponse solide.
4. Commencez le véritable travail de conformité
L'enregistrement n'est que la première étape : le §30 BSIG exige que vous mettiez en œuvre des mesures de gestion des risques de cybersécurité. Commencez par les fondations : inventaire des actifs, méthodologie d'appréciation des risques et procédures de notification des incidents. Vous n'avez pas besoin d'être pleinement conforme du jour au lendemain, mais vous devez visiblement y travailler. Le BSI examinera la trajectoire, pas seulement l'état actuel.
5. Envisagez un conseil juridique si le périmètre est incertain
Si votre entreprise se situe près du seuil (proche de 50 salariés ou de 10 M€ de chiffre d'affaires), exerce dans un secteur susceptible de plusieurs interprétations, ou présente une structure de groupe complexe, consultez un avocat spécialisé en réglementation informatique. Le coût d'un avis juridique (2 000 à 5 000 €) est négligeable comparé au coût de la non-conformité ou d'une conformité inutile. Certaines associations professionnelles (comme Bitkom ou BDI) proposent aussi à leurs membres une orientation sur le périmètre NIS2.
Quels sont les risques réels d'un enregistrement tardif ?
Être honnête sur les risques aide à prendre des décisions proportionnées. Les conséquences sont réelles mais pas catastrophiques, si vous agissez maintenant.
Amendes administratives
Le §65 BSIG prévoit des amendes pouvant atteindre 500 000 € spécifiquement pour les manquements à l'enregistrement. En pratique, le BSI dispose d'une capacité répressive limitée et se concentre sur l'intégration des entreprises dans le système, et non sur la sanction des retardataires. Une entreprise qui s'enregistre tardivement et démontre des efforts de conformité actifs a peu de risques d'encourir la sanction maximale. Une entreprise qui ne s'enregistre jamais est une autre histoire.
Injonctions de mise en conformité
Le BSI peut émettre des injonctions contraignantes de mise en conformité vous imposant de vous enregistrer et de mettre en œuvre des mesures spécifiques dans un délai fixé. Le non-respect d'une telle injonction aggrave nettement la situation juridique. S'enregistrer de manière proactive, même tardivement, évite entièrement cette voie d'escalade.
Responsabilité personnelle de la direction
Le §38 BSIG rend la Geschäftsführung personnellement responsable du respect de la conformité NIS2. Si votre entreprise est dans le périmètre et que vous, en tant que direction, avez sciemment retardé l'enregistrement, cela crée une exposition personnelle. Cette responsabilité ne peut être écartée par une résolution des associés. Documenter que vous avez agi dès que vous en avez eu connaissance constitue une protection importante.
Surveillance accrue lors des audits futurs
Pour les entités essentielles, le BSI mène des audits périodiques. Un enregistrement tardif sera visible dans votre chronologie de conformité. Toutefois, un processus de rattrapage bien documenté, montrant une amélioration systématique, est perçu très différemment d'un schéma de négligence. Les auditeurs évaluent la trajectoire, pas seulement le point de départ.
L'écart d'enregistrement NIS2 ne résulte pas principalement de la négligence. Le processus législatif allemand a été repoussé à plusieurs reprises : le NIS2UmsuCG a été adopté des mois après le délai initial de transposition de l'UE. De nombreuses entreprises ont raisonnablement attendu la finalisation de la loi allemande avant d'agir. D'autres ignoraient qu'elles relevaient du périmètre, car les définitions sectorielles se sont considérablement élargies par rapport à l'ancien régime KRITIS.
Le BSI lui-même a publiquement reconnu l'ampleur de l'écart d'enregistrement. L'agence a adopté une posture pragmatique : la priorité est d'enregistrer l'ensemble des 30 000 entités et de les intégrer au système de conformité, et non de sanctionner la première vague de retardataires. Ce pragmatisme a des limites : il s'applique aux entreprises qui travaillent activement à leur conformité, et non à celles qui se servent de la patience du BSI comme prétexte pour ne rien faire.
Questions fréquentes
Le portail d'enregistrement du BSI est-il toujours ouvert ?
Oui. Le portail d'enregistrement prévu au §33 BSIG reste ouvert. Il n'existe aucune date butoir au-delà de laquelle l'enregistrement deviendrait impossible : l'obligation est continue. Le délai indiquait quand vous auriez dû vous enregistrer, pas quand vous pouviez le faire. Enregistrez-vous maintenant.
Quelle est l'amende pour un enregistrement tardif ?
Le §65 BSIG prévoit des amendes pouvant atteindre 500 000 € pour les manquements à l'enregistrement. Toutefois, les amendes sont évaluées au cas par cas en tenant compte de la gravité, de la durée et de la bonne foi de l'entreprise. Une entreprise qui s'enregistre quelques mois en retard et démontre des efforts de conformité actifs présente un profil de risque très différent de celle qui ignore entièrement l'obligation.
Un enregistrement tardif affecte-t-il mes autres obligations NIS2 ?
Non. Vos obligations au titre du §30 BSIG (mesures de cybersécurité), du §32 (notification des incidents) et du §38 (responsabilité de la direction) existent indépendamment de votre enregistrement. L'enregistrement ne crée pas les obligations : il en remplit une. Les autres obligations s'appliquent dès l'instant où vous remplissez les critères de périmètre, quel que soit le statut de votre enregistrement.
Puis-je m'enregistrer si je ne suis pas sûr d'être dans le périmètre ?
Oui, et le BSI recommande de pécher par excès de prudence et de s'enregistrer en cas de doute. S'enregistrer alors qu'on s'avère hors périmètre n'a aucune conséquence négative : l'enregistrement peut être corrigé. Ne pas s'enregistrer alors qu'on est dans le périmètre comporte un risque juridique réel. Dans le doute, enregistrez-vous.
Que faire si nous nous sommes enregistrés mais n'avons pas commencé le travail de conformité ?
Un enregistrement sans travail de conformité revient à déposer une déclaration fiscale sans payer l'impôt : vous avez rempli une obligation, mais pas les obligations de fond. Commencez dès maintenant les mesures du §30 BSIG : inventaire des actifs, appréciation des risques, procédures de notification des incidents. Le BSI attend des entités enregistrées qu'elles travaillent activement à leur conformité, et non qu'elles se reposent sur un numéro d'enregistrement.
- BSI - statistiques d'enregistrement NIS2 et déclarations publiques sur l'approche répressive (2025)
- G DATA CyberDefense - enquête de sensibilisation NIS2 : 44 % des entreprises de taille intermédiaire ignorent leurs obligations (2024)
- BSIG - §33 (obligation d'enregistrement), §65 (amendes administratives), §38 (responsabilité de la direction)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - documentation parlementaire et orientations sur la mise en œuvre du NIS2UmsuCG