Enregistrement NIS2 : le BSI accorde un délai supplémentaire jusqu'au 31 juillet 2026
Le délai légal d'enregistrement auprès de l'Office fédéral de la sécurité informatique (BSI), prévu par la loi de transposition de la directive NIS 2 (NIS2UmsuCG), a expiré le 6 mars 2026. Sur les quelque 29 500 entreprises concernées en Allemagne, seules environ 11 500 s'étaient déclarées à cette date butoir. Face à ce retard considérable, le BSI a accordé aux associations professionnelles un délai supplémentaire jusqu'au 31 juillet 2026 a été communiqué afin de permettre les inscriptions tardives.
Contexte : un faible taux de déclaration entraîne une prolongation du délai
Depuis l'entrée en vigueur de la loi NIS2UmsuCG le 6 décembre 2025, les entités concernées devaient, conformément à § 33 de la loi allemande sur la sécurité des paiements (BSIG) sont tenus de s'enregistrer auprès du BSI dans un délai de trois mois. Le portail de déclaration prévu à cet effet est opérationnel depuis le 6 janvier 2026. Le faible taux d'enregistrement témoigne d'une grande incertitude quant à l'auto-évaluation et aux nouvelles obligations. Le délai supplémentaire désormais accordé doit être considéré comme une mesure de bonne volonté, mais cela ne change rien au fait que le manquement initial constitue une infraction administrative passible d'une amende.
Qui est concerné par l'obligation d'enregistrement NIS2 ?
Cette obligation concerne les entreprises et les organisations issues de 18 secteurs qui atteignent ou dépassent certains seuils définis. La loi distingue deux catégories principales :
- Établissements particulièrement importants : Les organisations comptant au moins 250 salariés ou dont le chiffre d'affaires annuel est supérieur à 50 millions d'euros et dont le total du bilan est supérieur à 43 millions d'euros.
- Principaux équipements : Les entreprises comptant au moins 50 salariés ou dont le chiffre d'affaires annuel est supérieur à 10 millions d'euros et dont le total du bilan est supérieur à 10 millions d'euros.
Quelle que soit leur taille, certains acteurs, tels que les prestataires de services de confiance qualifiés, les registres de TLD et les prestataires de services DNS, sont toujours classés comme „ particulièrement importants “. Les entreprises issues de secteurs tels que l’énergie, les transports, la finance, la santé et les infrastructures numériques doivent évaluer si elles sont concernées et procéder à leur enregistrement.
Une particularité s'applique aux entreprises financières relevant du champ d'application du règlement DORA : elles sont exemptées des obligations prévues à l'article 30 de la BSIG (gestion des risques), mais l'obligation d'enregistrement prévue à l'article 33 de la BSIG reste pleinement applicable. En outre, les établissements concernés doivent garder à l’esprit que les incidents de sécurité majeurs doivent être signalés, parallèlement à l’obligation de notification prévue par la directive NIS2, dans un délai de 72 heures à l’autorité de contrôle compétente en matière de protection des données, conformément à l’article 33 du RGPD, dans la mesure où des données à caractère personnel sont concernées.
Conséquences juridiques et responsabilité personnelle de la direction
Le non-respect des exigences de la directive NIS2 entraîne des conséquences financières et personnelles considérables. Conformément à § 65 de la loi allemande sur la sécurité intérieure (BSIG) l'enregistrement tardif peut à lui seul entraîner une amende pouvant aller jusqu'à 500 000 euros seront sanctionnées. En cas de manquement aux obligations en matière de gestion des risques et de déclaration, les sanctions sont encore plus sévères :
- Établissements particulièrement importants : Jusqu'à 10 000 000 d'euros ou 2 % du chiffre d'affaires annuel mondial.
- Principaux équipements : Jusqu'à 7 000 000 d'euros ou 1,4 % du chiffre d'affaires annuel mondial.
En outre, il a mis en place § 38 de la loi allemande sur la sécurité intérieure (BSIG) une responsabilité personnelle de la direction. Celle-ci est directement responsable de la mise en œuvre et du contrôle des mesures de cybersécurité et peut être tenue personnellement responsable en cas de manquement à ses obligations.
Recommandations d'action : ce qu'il faut faire maintenant
1. Inscription immédiate : Les entreprises concernées qui n'ont pas encore effectué cette déclaration devraient le faire sans délai via le portail officiel du BSI. Le délai supplémentaire accordé jusqu'au 31 juillet 2026 leur offre la possibilité de se mettre en règle et de réduire le risque de conséquences supplémentaires.
2. Mise en œuvre des mesures de sécurité : L'inscription n'est que la première étape. Conformément à § 30 de la loi allemande sur la sécurité des paiements (BSIG) Les entreprises doivent mettre en œuvre dix mesures clés en matière de gestion des risques. Parmi celles-ci figurent les analyses de risques, les dispositifs de sécurité et les procédures de gestion des incidents. Les établissements particulièrement importants doivent apporter la preuve de la mise en œuvre de ces mesures d'ici décembre 2028.
3. Règle particulière en cas d'incertitude : Les entreprises qui se posent des questions quant à leur implication dans cette affaire peuvent les transmettre de manière groupée au BSI. Une fois la réponse reçue, l'autorité accorde un délai supplémentaire de six semaines pour l'enregistrement.
Comment LocateRisk facilite la mise en conformité avec la directive NIS2
Le respect des exigences de la directive NIS2 nécessite un contrôle continu et vérifiable de la sécurité informatique interne et de la sécurité de la chaîne d'approvisionnement. LocateRisk fournit à cet effet la base de données nécessaire.
La plateforme réalise une analyse détaillée de votre surface d'attaque externe. Les résultats permettent de corriger les vulnérabilités potentielles et de démontrer l'efficacité des mesures de sécurité conformément à l'article 30 de la loi allemande sur la sécurité des systèmes d'information (BSIG). La gestion des risques liés à la chaîne d'approvisionnement constitue un autre aspect central de la réglementation. Grâce à la solution dédiée à la cybersécurité Gestion du risque vendeur LocateRisk permet une évaluation continue du niveau de sécurité informatique des prestataires tiers et vous aide à respecter votre obligation de diligence.
LocateRisk exploite son infrastructure dans des centres de données allemands et se conforme aux normes ISO 27001. Cela vous aide à respecter les exigences du RGPD et de la directive NIS 2 en matière de sécurité technique des données et à fournir les justificatifs nécessaires lors des audits.
Sources et informations complémentaires
Connaissez-vous votre surface d'attaque externe ?
La mise en conformité avec la directive NIS2 commence par une connaissance approfondie de vos systèmes externes et de leurs vulnérabilités potentielles. Assurez la transparence nécessaire à votre mise en conformité.
Demander un contrôle de sécurité gratuit
-
Remarque à titre personnel : Cet article reflète la situation juridique au moment de sa publication. Le droit des technologies de l'information et les exigences en matière de conformité étant extrêmement complexes, ce texte ne constitue qu'un premier guide et ne saurait être considéré comme un avis juridique contraignant. En cas de doute, nous vous recommandons de solliciter un avis juridique pour la mise en œuvre au sein de votre entreprise. Toute responsabilité quant au contenu est exclue.
Questions fréquentes
Sont concernées les entreprises et les organisations qui exercent leurs activités dans l'un des 18 secteurs réglementés et qui dépassent les seuils de taille définis. Est considérée comme une entité importante toute entité employant au moins 50 salariés ou réalisant un chiffre d'affaires annuel supérieur à 10 millions d'euros et dont le total du bilan est supérieur à 10 millions d'euros. Est considérée comme une entité particulièrement importante toute entité employant au moins 250 salariés ou réalisant un chiffre d’affaires annuel supérieur à 50 millions d’euros et dont le total du bilan est supérieur à 43 millions d’euros. Certaines entités, telles que les prestataires de services de confiance qualifiés, les registres de TLD et les prestataires de services DNS, sont toujours classées comme particulièrement importantes, quelle que soit leur taille.
Le délai légal d'enregistrement a déjà expiré le 6 mars 2026. Le non-respect de cette obligation constitue une infraction administrative passible d'une amende pouvant aller jusqu'à 500 000 euros, conformément à l'article 65 de la BSIG. En outre, conformément à l’article 38 de la BSIG, la direction est personnellement responsable du respect des obligations prévues par la directive NIS2. L’enregistrement reste possible et recommandé même après le 31 juillet 2026, car il montre au BSI que l’entreprise prend des mesures actives.
L'enregistrement n'est qu'une première étape. Conformément à l'article 30 de la BSIG, les entités concernées doivent mettre en œuvre dix mesures clés de gestion des risques, parmi lesquelles des analyses de risques, des concepts de sécurité et des processus de gestion des incidents. Les entités jugées particulièrement importantes doivent fournir au BSI la preuve de la mise en œuvre de ces mesures d'ici décembre 2028. En outre, il existe une obligation permanente de signaler les incidents de sécurité majeurs au BSI selon une procédure en trois étapes : une alerte précoce doit être transmise dans les 24 heures, suivie d’un rapport d’incident détaillé dans les 72 heures, puis d’un rapport final au bout d’un mois.
Français 
Deutsch 
English