Young Female Employee Wearing Glasses Uses Tablet in System Control Center. In the Background Her Co

Loi de mise en œuvre du NIS2 - une vue d'ensemble

Markus Jegelka

Expert et auditeur en sécurité de l'information chez DQS
déc. 14 , 2025

Avec sa publication au Journal officiel fédéral le 5 décembre 2025, la loi d'application du NIS2 (NIS2UG) est entrée en vigueur le jour de la Saint-Nicolas, le 6 décembre 2025. Cette entrée en vigueur met fin à une longue période d'incertitude pour les entreprises et les autorités concernées.

Depuis l'entrée en vigueur de la loi, environ 29 500 institutions - au lieu de 4 500 auparavant - entrent dans le champ d'application de la loi. Il n'y a pas de période de transition pour la mise en œuvre des mesures techniques et organisationnelles. Toutefois, il existe une période de transition spécifique pour la notification initiale ("enregistrement") des entreprises concernées par NIS2UG : l'enregistrement doit avoir lieu au plus tard dans les trois mois suivant l'entrée en vigueur de la loi. Nous avons résumé les changements les plus importants dans cet article.

Avec l'adoption de la NIS2UG, de nombreuses questions qui préoccupaient depuis longtemps les exploitants d'infrastructures critiques et les institutions concernées trouvent aujourd'hui une réponse. D'un point de vue juridique, la révision complète de la loi BSI (BSIG) constitue le cœur de la loi qui a été adoptée, de sorte que les juristes renvoient aux références suivantes aux paragraphes (§) de la BSIG. Pour faciliter la lecture, nous attribuons les paragraphes au NIS2UG dans l'article suivant.

Aperçu du NIS2UG (loi de mise en œuvre du NIS-2)

État d'avancement : Décembre 2025

Le 27 décembre 2022, la directive NIS2 ("The Network and Information Security (NIS) Directive") a été publiée au Journal officiel de l'Union européenne. Elle est entrée en vigueur le 16 janvier 2023. La Commission européenne a identifié le risque d'attaques physiques et cybernétiques sur la sécurité des infrastructures critiques comme l'un des quatre principaux risques pour l'économie européenne. Accroître la résilience de l'économie face aux dangers d'attaques criminelles ou étatiques est donc une tâche centrale pour les acteurs de l'État, de l'économie et de la société.

L'entrée en vigueur du NIS2UG en décembre 2025 marque un profond changement de paradigme dans le droit allemand de la sécurité informatique.

Il est désormais possible de répondre de manière contraignante à des questions importantes :

  • Quels sont les secteurs et les institutions concernés ?
  • Quelle est la taille des entreprises concernées ?
  • Dans quelle mesure les exigences en matière de mesures techniques et organisationnelles seront-elles spécifiques ?
  • Qu'en est-il des amendes et de la responsabilité des dirigeants en cas d'incident ?
  • ...

L'Allemagne a largement dépassé le délai de mise en œuvre de la directive NIS2 dans l'ensemble de l'UE. À l'origine, ce délai aurait dû être respecté en octobre 2024.

Cover sheet for English whitepaper NIS2 Directive vs TISAX Mapping with pdf
Un livre blanc gratuit fournit des conseils

NIS2 et ISO 27001

Cartographie des exigences

Ce livre blanc pratique met en évidence l'intersection entre les exigences légales et normatives et montre comment les organisations peuvent répondre efficacement aux exigences légales attendues avec la norme internationale ISO 27001.

Bénéficiez du savoir-faire de nos experts

Té­lé­char­ger gra­tui­te­ment le livre blanc

Qui est concerné par la loi d'application NIS2 ?

Le nouveau régime BSIG élargit considérablement le groupe des entreprises réglementées. À l'avenir, non seulement les opérateurs d'infrastructures critiques (KRITIS) et les entreprises d'intérêt public particulier ainsi que les fournisseurs de services numériques seront couverts, mais aussi les nouvelles catégories d'"institutions particulièrement importantes" et d'"institutions importantes".

  • D'une part, des secteurs "particulièrement importants" et "installations importantes" : Énergie, transports, finances, soins de santé, eau et eaux usées, infrastructures numériques et espace.
  • D'autre part, dans les secteurs des "installations importantes" : Services postaux et de messagerie, gestion des déchets, production, fabrication et commerce de produits chimiques, production, transformation et distribution de denrées alimentaires, fabrication et production de biens, fournisseurs de services numériques et recherche.

Toutefois, les entreprises opérant dans ces secteurs ne sont pas automatiquement concernées.

En fonction du nombre spécifique d'employés et des seuils financiers ("règle du plafond de taille"), la section 28 du NIS2UG établit une distinction entre les entités "particulièrement importantes" et les entités "importantes" :

  • Les entités particulièrement importantes sont les entreprises des secteurs énumérés à l'annexe 1 qui emploient plus de 250 personnes ou qui réalisent un chiffre d'affaires annuel supérieur à 50 millions d'euros et un total de bilan annuel supérieur à 43 millions d'euros. Les prestataires de services de confiance qualifiés, les fournisseurs de domaines de premier niveau, les fournisseurs de DNS, les fournisseurs de télécommunications et les exploitants d'installations critiques sont également soumis à des règles particulières.
  • Les entreprises des secteurs énumérés aux annexes 1 et 2, qui emploient plus de 50 personnes ou dont le chiffre d'affaires et le total du bilan annuel dépassent 10 millions d'euros, sont considérées comme des institutions importantes. Les services fiduciaires et les fournisseurs de télécommunications sont également soumis à des réglementations spéciales.

L'analyse d'impact NIS2 de l'Office fédéral de la sécurité de l'information (BSI) fournit une première orientation en quelques étapes seulement. Cependant, les entreprises des chaînes d'approvisionnement critiques peuvent également être indirectement obligées de mettre en œuvre des mesures relatives au NIS2, quelle que soit leur taille.

 

Quelles sont les obligations des organisations concernées ?

Le NIS2UG prescrit un large éventail de mesures techniques et organisationnelles appropriées, proportionnées et efficaces qui sont étroitement alignées sur les normes internationales telles que l'ISO 27001. Les principales obligations sont les suivantes

  • Gestion systématique des risques liés à la sécurité de l'information
  • Analyse des risques et concepts de sécurité
  • la gestion des incidents
  • la gestion de la continuité des activités et la planification des urgences
  • Solutions de sauvegarde et de cryptage
  • Contrôles de sécurité de la chaîne d'approvisionnement (sécurité de la chaîne d'approvisionnement)
  • Formation et sensibilisation des employés
  • Audits et inspections réguliers

L'objectif de ces mesures techniques et organisationnelles est de prévenir les perturbations de la disponibilité, de l'intégrité et de la confidentialité des systèmes, composants et processus informatiques utilisés par les institutions concernées pour fournir leurs services. En outre, un objectif économique très important est de minimiser l'impact des incidents de sécurité.

Quelles sont les obligations d'information prévues par la loi de mise en œuvre du NIS2 ?

L'article 32 prévoit l'introduction d'un système de notification en trois étapes. En cas d'incident de sécurité important, les entreprises concernées sont tenues de ...

  • de soumettre un rapport initial à un bureau de rapport commun de l'Office fédéral de la sécurité de l'information (BSI) et de l'Office fédéral de la protection de la population et de l'aide en cas de catastrophe (BBK) immédiatement, mais au plus tard dans les 24 heures suivant la prise de connaissance de l'incident.
  • confirmer ou mettre à jour ce rapport dans les 72 heures et le compléter par une première évaluation de la gravité et de l'impact.
  • soumettre un rapport final au plus tard un mois après le signalement de l'incident, en expliquant l'incident en détail et en divulguant les causes.

Si l'incident de sécurité se poursuit pendant plus d'un mois, des rapports d'avancement doivent être présentés.

NOTE SECONDAIRE : Dispositions controversées de la loi de mise en œuvre du NIS2

  • La direction a des obligations explicites d'organisation et de surveillance dans la mise en œuvre et le contrôle des mesures de management des risques conformément à l'article 30. En cas de manquement de la direction à ses obligations, les actions en responsabilité de l'institution sont soumises aux règles applicables du droit des sociétés, conformément à l'article 38, paragraphe 2. Cette responsabilité interne de la direction à l'égard de l'institution constitue une atténuation par rapport aux projets antérieurs.
  • L'intention initiale de ne pas inclure l'administration fédérale a fait l'objet d'une critique importante au cours du processus législatif. Cette lacune a été comblée : Les ministères fédéraux, les autorités et les autres institutions fédérales sont désormais également soumis à la BSIG et doivent répondre aux exigences minimales en matière de sécurité de l'information. À l'avenir, la coordination sera assurée de manière centralisée par le BSI dans son nouveau rôle de "CISO Bund" (Chief Information Security Officer of the Federal Government). Ce responsable soutiendra les départements dans la mise en œuvre des exigences en matière de management de la sécurité de l'information.

 

Comment les dispositions relatives aux amendes sont-elles structurées ?

Toute personne qui, intentionnellement ou par négligence, enfreint les exigences de la NIS2, ne prend pas de mesures ou ne les prend pas correctement, complètement ou à temps, commet une infraction administrative au sens de l'article 65. Les infractions administratives qui y sont énumérées en détail sont passibles d'amendes. Celles-ci sont sanctionnées de la même manière que les violations du règlement général sur la protection des données (RGPD).

Les limites supérieures sont des amendes allant jusqu'à 10 millions d'euros pour les institutions particulièrement importantes ou des amendes allant jusqu'à 2 % du chiffre d'affaires annuel pour les institutions dont le chiffre d'affaires annuel est supérieur à 500 millions d'euros. Comme pour le GDPR, les infractions administratives susmentionnées ne seront certainement pas punies immédiatement lorsque la loi entrera en vigueur. Cependant, toute personne qui violerait intentionnellement ou par négligence la loi dans les années suivant son entrée en vigueur pourrait se voir infliger des amendes.

Que doivent faire les entreprises concernées ?

En vertu de l'article 33, toute obligation d'enregistrement s'applique aux "entités particulièrement importantes", aux "entités importantes" et à certains prestataires de services qui sont tenus de s'enregistrer au plus tard trois mois après l' entrée en vigueur de la nouvelle loi lorsqu'ils sont considérés comme l'une des entités susmentionnées pour la première fois ou à nouveau, ou lorsqu'ils offrent certains services. L'identification précoce en tant qu'entité concernée et l'enregistrement conforme à la loi sont donc une priorité absolue.

 

Comment se mettre en conformité avec le NIS2 ?

Il n'y a pas de méthode unique ! L'approche dépend de la taille de l'entreprise, des ressources disponibles et d'autres considérations. En principe, il est judicieux d'envisager des méthodes de gestion des risques appropriées dans le domaine de la sécurité de l'information. La référence croisée à l'état de l'art et aux normes européennes ou internationales décrit un autre champ d'action que les organisations concernées devraient aborder.

Sur la base de notre expérience, nous pouvons confirmer l'affirmation selon laquelle l'introduction d'un système de management de la sécurité de l'information conforme à la norme internationale ISO 27001 constitue un point de départ fiable pour la mise en œuvre efficace de mesures techniques et organisationnelles conformément à l'article 30, paragraphe 1.

questions-answers-dqs-question mark on wooden dice on table

Vous avez des questions ?

Nous nous ferons un plaisir de vous aider.

Quelles sont les exigences de la certification ISO 27001? Et quels sont les efforts à fournir ? Découvrez-le par vous-même. Sans engagement et gratuitement.

Nous nous ré­jouis­sons de prendre contact avec vous

Le NIS2 nécessite-t-il une certification ISO 27001 ?

Non. Les lignes directrices NIS2 ne requièrent pas de certification et ne constituent pas une preuve de conformité juridiquement contraignante. Il est important de faire une distinction claire entre les exigences légales de la NIS2UmsuCG et les mesures techniques et organisationnelles d'un système de management de la sécurité de l'information. Toutefois, la norme ISO 27001 décrit de nombreuses structures et processus qui sont pertinents pour la mise en œuvre de la NIS2. Cependant, elle ne remplace pas les exigences légales spécifiques. Les entreprises doivent continuer à vérifier et à mettre en œuvre leurs obligations respectives envers les autorités de manière indépendante.

En résumé, la norme ISO 27001 couvre une grande partie des exigences techniques et organisationnelles de NIS2 et, avec son annexe A pratique, fournit une base solide pour répondre aux exigences de conformité. Indépendamment de NIS2UG, les organisations qui démontrent leur conformité à la norme envoient également un signal fort de confiance aux autorités, aux partenaires commerciaux et aux clients.

 

Loi de mise en œuvre du NIS2 - Conclusion

Selon les estimations de la Banque centrale européenne, le coût des cyberattaques dans le monde est de l'ordre de trois milliards de dollars par an, dont une part importante pour l'Europe. La situation en matière de cybermenaces a considérablement évolué et cause des dommages économiques considérables. Avec l'utilisation généralisée des services en nuage, les organisations se trouvent dans une transition technologique difficile.

C'est notamment pour ces raisons que le Parlement et le Conseil de l'Union européenne ont adopté la directive NIS2 afin de réglementer l'ensemble de la cybersécurité dans l'Espace économique européen. L'objectif de la directive NIS2 est de garantir un niveau commun élevé de cybersécurité dans l'Union européenne. Il s'agit de mettre en place une protection économique globale et durable qui comprend non seulement des mesures techniques liées aux technologies de l'information, mais aussi des plans de réduction des risques dans les domaines de l'organisation et du personnel.

L'entrée en vigueur du NIS2UG le 6 décembre 2025 marque une étape importante pour la cybersécurité en Allemagne. L'article 30 du NIS2UG fait référence à des mesures techniques et organisationnelles dont le contenu se recoupe largement avec celui de la norme ISO 27001, reconnue à l'échelle internationale. L'introduction et la mise en œuvre d'un système de management de la sécurité de l'information conforme à la norme ISO bien connue constituent sans aucun doute une base solide et durable pour étayer la preuve de la conformité.

 

Certification

de votre management de la sécurité de l'information

Les systèmes de management sont structurants. Découvrez quels sont les efforts à fournir pour obtenir la certification ISO 27001. Nos experts se feront un plaisir de répondre à vos questions - gratuitement et sans engagement. Prenez contact avec nous contactez-nous maintenant.

En de bonnes mains avec DQS

Nos audits de certification vous apportent de la clarté. La vision externe, holistique et neutre des personnes, des processus, des systèmes et des résultats montre l'efficacité de votre système de management et la manière dont il est mis en œuvre et contrôlé. Il est important pour nous que vous perceviez notre audit non pas comme un examen, mais comme un enrichissement de votre système de management.

Notre approche commence toujours là où les listes de contrôle d'audit s'arrêtent. Nous demandons spécifiquement "pourquoi" parce que nous voulons comprendre les raisons pour lesquelles vous avez choisi une méthode de mise en œuvre particulière. Nous nous concentrons sur le potentiel d'amélioration et encourageons un changement de perspective. De cette manière, vous reconnaissez les possibilités d'action qui vous permettent d'améliorer continuellement votre système de management.

DQS effectue toutes les certifications de manière compétente, objective, neutre et impartiale. Pour preuve, les organismes nationaux d'accréditation effectuent chaque année de nombreux audits d'accréditation et audits de témoins chez DQS. Vous trouverez plus d'informations à ce sujet dans notre philosophie d'audit.

Confiance et expertise

Nos articles et livres blancs sont rédigés exclusivement par nos experts en normalisation ou par des auditeurs de longue date. Si vous avez des questions concernant le contenu du texte ou nos services à l'auteur, veuillez nous envoyer un e-mail : [email protected].

Note : Pour des raisons de lisibilité, nous utilisons le masculin générique. Toutefois, la directive inclut des personnes de toutes les identités de genre lorsque cela est nécessaire pour l'énoncé.

Auteur

Markus Jegelka

Cet ingénieur diplômé travaille pour DQS en tant qu'expert et auditeur en sécurité de l'information au sein du département de management des produits et d'accréditation. Il a plus de trois décennies d'expérience, d'abord en tant qu'expert en radioprotection des installations nucléaires, puis en tant qu'auditeur et directeur adjoint de l'organisme de certification pour les systèmes de management de la sécurité de l'information. Dans cette fonction, il a démontré son expertise en matière de sécurité de l'information (ISO/IEC 27001, catalogue de sécurité informatique conformément au paragraphe 11.1a de la loi allemande sur l'industrie de l'énergie (EnWG), tant auprès de l'organisme d'accréditation allemand DAkkS que lors de nombreux audits de clients.

Articles et événements pertinents

Vous pouvez également être intéressé par ceci
Blog

Communication de crise lors d'une attaque de ransomware : Gérer l'information en cas d'urgence

Lire la suite
Blog

DTNA demande des étiquettes TISAX® aux fournisseurs

Lire la suite
Blog

Déverrouiller une IA de confiance : Ce que vous devez savoir sur la certification ISO/IEC 42001

Lire la suite