NIS2 en Allemagne

1. Aperçu rapide de l'applicabilité pour les PME en Allemagne

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME en Allemagne ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Allemagne et, dans certaines circonstances, aux prestataires numériques étrangers desservant le marché allemand.

Les PME doivent évaluer leur périmètre dans le cadre du régime national de cybersécurité allemand, en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Allemagne

L'Allemagne a achevé la transposition par la NIS2UmsuCG, entrée en vigueur le 6 décembre 2025 sans période transitoire. La loi révise substantiellement la loi BSI (BSIG), étendant le champ d'application d'environ 4 500 à 29 000–30 000 entités.

L'Allemagne présente trois particularités nationales : une exemption pour "activités négligeables" au titre du § 28(3) BSIG, ainsi qu'une sous-catégorie plus stricte d'"opérateurs d'installations critiques" imposant des systèmes de détection d'attaques obligatoires et des preuves de conformité triennales.

Les organes de direction doivent suivre une formation obligatoire en cybersécurité au moins tous les trois ans (recommandation du BSI : environ quatre heures par session).

3. Champ d'application en Allemagne

Le champ sectoriel de l'Allemagne reflète les catégories minimales de la directive, intégrées à son régime établi pour les infrastructures critiques.

4. Seuils de taille et applicabilité aux PME en Allemagne

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d'application. L'Allemagne introduit une exemption pour "activités négligeables" (§ 28(3) BSIG) — les activités relevant de NIS2 qui sont négligeables par rapport à l'activité globale peuvent être ignorées ; "négligeable" n'est pas défini légalement et requiert une auto-évaluation soigneusement documentée.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité du service public.

Les autorités allemandes conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Allemagne

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des audits et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition aux risques justifie une supervision renforcée.

L'Allemagne maintient un modèle de supervision structuré, aligné sur le cadre à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Allemagne

Le régime national de l'Allemagne est aligné sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Allemagne
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Sensibilisation et formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations allemandes en matière de cybersécurité est encouragé.

La surveillance de la chaîne d'approvisionnement inclut la diligence raisonnable vis-à-vis des fournisseurs et des garanties contractuelles en matière de cybersécurité.

7. Responsabilité des dirigeants et gouvernance en Allemagne

Les organes de direction doivent approuver formellement les mesures de gestion des risques cyber et en superviser la mise en œuvre.

Dans le cadre allemand :

• Les conseils sont responsables de la supervision de la conformité.
• La direction doit garantir une compétence suffisante en cybersécurité et suivre une formation obligatoire en cybersécurité au moins tous les trois ans (recommandation du BSI ~4 h par session).
• Des sanctions administratives peuvent traiter les défaillances de gouvernance.
• La responsabilité personnelle directe des organes de direction est ancrée dans le § 38 BSIG — selon le droit des sociétés applicable ou directement en vertu de la loi BSI.

Les attentes en Allemagne relatives à la responsabilité des dirigeants au titre de NIS2 portent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Allemagne

9. Autorités de supervision et modèle d’application en Allemagne

Autorité principale : Office fédéral pour la sécurité des technologies de l’information (BSI).

L’Allemagne applique un modèle de supervision centralisé sous l’égide du BSI, avec le soutien des autorités sectorielles le cas échéant.

Les pouvoirs de supervision comprennent :

• Demandes d’informations et de documents
• Audits de sécurité
• Inspections sur site
• Injonctions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de l’UE en matière de cybersécurité

La structure d’application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Allemagne

L'Allemagne applique des sanctions administratives alignées sur la Directive.

L'application des amendes NIS2 en Allemagne peut également inclure :

• Injonctions contraignantes de remédiation
• Identification publique des entités non conformes
• Suspension de certification ou d'autorisation
• Responsabilité personnelle directe des membres de l'organe de direction au titre du § 38 BSIG

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs NIS2 en Allemagne

Les entités doivent gérer l'exposition à la cybersécurité des tiers au moyen de :

• Évaluations des risques des fournisseurs
• Exigences contractuelles de répercussion des obligations de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de l'Allemagne est alignée sur les attentes de base de la Directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Allemagne

Les entités relevant du champ d'application doivent :

• Auto-évaluer le champ d'application et s'enregistrer auprès du BSI via un processus en deux étapes : créer un compte Mein Unternehmenskonto (MUK) à l'aide d'un certificat ELSTER, puis s'enregistrer via le portail du BSI. La date limite était le 6 mars 2026 — désormais dépassée ; les entités non enregistrées doivent agir immédiatement.
• Fournir les informations d'identification de l'entreprise
• Communiquer la classification sectorielle
• Tenir à jour les contacts de notification ; signaler les changements dans un délai de 14 jours

Le portail du BSI sert à la fois de plateforme d'enregistrement et de centre de notification d'incidents. Tant que l'enregistrement n'est pas finalisé, le formulaire en ligne de notification d'incidents du BSI doit être utilisé.

L'auto-identification est obligatoire — aucune notification individuelle par les autorités ; les entités doivent déterminer et documenter elles-mêmes leur statut.

13. Interaction avec le RGPD et d'autres lois en Allemagne

Le Règlement général sur la protection des données continue de s'appliquer parallèlement.

Les éléments de chevauchement incluent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en matière de cybersécurité et de protection des données
• Législation allemande de cybersécurité sectorielle

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se situe en Allemagne sont supervisées par les autorités allemandes pour les services transfrontaliers.

Les prestataires de services numériques étrangers offrant des services en Allemagne peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché allemand.

15. Calendrier de mise en œuvre en Allemagne

• Adoption de la Directive : 2022
• Modifications législatives nationales : NIS2UmsuCG adoptée par le Bundestag le 13 novembre 2025 ; approuvée par le Bundesrat ; publiée le 5 décembre 2025
• Entrée en vigueur : 6 décembre 2025 (sans période transitoire)
• Notification à la Commission : avis motivé de la CE de mai 2025 (avant promulgation) ; complétude en cours d'examen après le 6 décembre 2025
• Étape de conformité : date limite d'enregistrement BSI 6 mars 2026 (dépassée) ; portail BSI ouvert depuis le 6 janvier 2026 ; formation de la direction tous les 3 ans

L'Allemagne a achevé la transposition le 6 décembre 2025 sans période transitoire. La date limite d'enregistrement BSI du 6 mars 2026 est dépassée — les entités non enregistrées doivent agir immédiatement.

16. Points clés pour les PME en Allemagne

• Les entités de taille moyenne dans les secteurs couverts entrent automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de gouvernance au niveau du conseil est obligatoire, avec responsabilité personnelle directe au titre du § 38 BSIG et formation obligatoire en cybersécurité tous les trois ans.
• La notification d'incidents suit les délais 24h / 72h / 1 mois, soumise via le portail du BSI (ouvert le 6 janvier 2026).
• Les sanctions financières peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est obligatoire.
• La date limite d'enregistrement BSI du 6 mars 2026 est dépassée — les entités non enregistrées doivent agir immédiatement ; l'exemption pour "activités négligeables" (§ 28(3) BSIG) requiert une auto-évaluation soigneusement documentée.

FAQ : Guide NIS2 pour les PME en Allemagne