CloudSoul
Ressources · Blog · NIS2

NIS2 en Allemagne : comment la nouvelle BSI-Gesetz transpose la directive européenne

L'Allemagne a transposé NIS2 par la NIS2UmsuCG du 5 décembre 2025, remplaçant intégralement la BSI-Gesetz. Champ d'application, autorité du BSI, règles KRITIS, notification d'incidents, amendes et ce qu'il faut faire ce trimestre.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 4 Jun 2026 · 35 min de lecture
NIS2
NIS2 en Allemagne : comment la nouvelle BSI-Gesetz transpose la directive européenne

Qui devrait lire ceci : responsables de la conformité, DSI, RSSI, juristes d’entreprise, responsables des risques et responsables des opérations dans les organisations actives en Allemagne.

Après plus de deux ans de préparation, deux tentatives législatives infructueuses lors de précédentes législatures du Bundestag, et une conception omnibus d’une portée inhabituellement large, l’Allemagne a transposé la directive NIS2 (directive (UE) 2022/2555) en droit national. La Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, connue pendant la procédure sous le nom de NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), a été publiée au Journal officiel fédéral (Bundesgesetzblatt, BGBl.) 2025 I Nr. 301 le 5 décembre 2025 et est entrée en vigueur le 6 décembre 2025. Son Art. 1 promulgue une BSI-Gesetz (BSIG) entièrement nouvelle qui remplace la précédente BSI-Gesetz du 14 août 2009 (BGBl. I S. 2821), abrogée par l’Art. 29. Les Articles 2 à 28 modifient vingt-sept lois et règlements adjacents, y compris l’Energiewirtschaftsgesetz (EnWG), la Telekommunikationsgesetz (TKG), plusieurs livres du SGB et des règlements relatifs aux services numériques. La citation complète est NIS-2-Richtlinie-Umsetzungsgesetz (NIS2-RLUG), et le nom de travail dans la pratique reste NIS2UmsuCG.

Pour les organisations opérant en Allemagne, la posture juridique a évolué de trois manières concrètes depuis le 6 décembre 2025. Premièrement, le champ des entités régulées est considérablement plus large qu’auparavant sous la précédente BSIG : l’IT-Sicherheitsgesetz 2.0 couvrait environ 4 500 exploitants KRITIS ; le nouveau régime couvre une estimation de 29 000 à 30 000 entités, y compris la plupart des moyennes et grandes entreprises dans les quatorze secteurs des Anlage 1 et Anlage 2. Deuxièmement, l’architecture institutionnelle concentre un pouvoir significatif à l’Office fédéral de la sécurité des technologies de l’information (BSI, Bundesamt für Sicherheit in der Informationstechnik), qui sert d’autorité compétente, de point de contact unique, de CSIRT, de point de notification central et (au titre du § 60) d’autorité compétente à l’échelle de l’UE pour les entités d’infrastructure numérique ayant leur principal établissement dans l’UE en Allemagne. Troisièmement, le pouvoir d’exécution est réel : les amendes administratives (Bußgelder) atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial du groupe pour les entités particulièrement importantes (besonders wichtige Einrichtungen), avec des astreintes (Zwangsgeld) pouvant atteindre 100 000 euros par manquement constaté en sus.

Cet article est un guide pratique destiné au lecteur d’affaires sur ce qu’exige la nouvelle BSIG des équipes de direction qui sont désormais à environ six mois de mise en œuvre. Il fait correspondre chaque obligation à son équivalent dans la directive européenne, identifie quelle autorité allemande gère chaque interaction, et renvoie aux articles sources qui approfondissent le sujet sous-jacent. Ce n’est pas un avis juridique ; pour cela, consultez un conseil. Mais cela devrait suffire à une équipe de direction pour planifier, budgétiser et désigner des responsables.

Pour le contexte général sur la directive elle-même, consultez notre guide de conformité NIS2.

Le parcours législatif : de l’IT-SiG au NIS2UmsuCG

NIS1 a été transposée en droit allemand en 2017 via la BSI-Gesetz telle que modifiée par la première IT-Sicherheitsgesetz (IT-SiG, 2015) et la seconde IT-Sicherheitsgesetz (IT-SiG 2.0, 2021). Ce cadre réglementait environ 4 500 exploitants KRITIS identifiés par la BSI-Kritisverordnung (BSI-KritisV), plus des fournisseurs de services numériques dans un ensemble restreint de catégories. Il a introduit, parmi d’autres obligations, le déploiement obligatoire de systèmes de détection d’attaques (Systeme zur Angriffserkennung) pour les exploitants KRITIS, une obligation désormais reprise au § 31 Abs. 2 de la nouvelle BSIG.

Le chemin vers la transposition n’a pas été sans heurts. Deux projets antérieurs, lors de la 20e législature du Bundestag, n’ont pas atteint le vote avant la dissolution de l’assemblée. La 21e législature actuelle du Bundestag a adopté la NIS2UmsuCG le 13 novembre 2025, le Bundesrat a donné son consentement le 21 novembre 2025, le Bundespräsident a signé le 2 décembre 2025, la publication au BGBl. a suivi le 5 décembre 2025, et l’Art. 30 a fixé l’entrée en vigueur au lendemain de la publication, soit le 6 décembre 2025. La date limite de transposition prévue par la directive avait expiré le 17 octobre 2024, ce qui avait entraîné une procédure d’infraction de la part de la Commission européenne ; cette procédure a désormais été clôturée à la suite de l’entrée en vigueur.

La conception omnibus (loi omnibus, Mantelgesetz) est le choix structurel qui distingue l’Allemagne de la plupart des autres États membres. L’Art. 1 promulgue la nouvelle BSIG. Les Arts. 2 à 28 introduisent les obligations NIS2 dans 27 lois et règlements adjacents, allant de l’EnWG à la TKG, en passant par le SGB V et SGB XI, la DiGAV (règlement sur les applications numériques de santé), l’AWV (règlement sur le commerce extérieur, pour le filtrage des investissements), la Hinweisgeberschutzgesetz (protection des lanceurs d’alerte) et la VDG (loi sur les services de confiance). L’Art. 29 abroge intégralement l’ancienne BSIG. L’Art. 30 régit l’entrée en vigueur. La nouvelle BSIG consolidée est publiée sur gesetze-im-internet.de/bsig_2025 ; l’entrée au BGBl. se trouve à recht.bund.de/bgbl/1/2025/301/VO.html sous le permalien ELI recht.bund.de/eli/bund/bgbl-1/2025/301.

Si votre organisation était déjà couverte en tant qu’exploitant KRITIS sous l’ancienne BSIG, vous ne repartez pas d’une page blanche. Votre désignation se reporte, avec un seul pont de grâce au titre du § 39 Abs. 3 : la prochaine preuve de conformité (Nachweis) au titre du nouveau cycle d’audit peut être déposée dans les trois ans suivant votre dernier audit au titre de l’ancien § 8a Abs. 3 BSIG. Les nouvelles obligations s’appliquent autrement immédiatement. Pour un rappel de ce qui a changé entre les deux régimes, consultez NIS1 vs NIS2 : les différences clés.

Champ d’application

Le § 28 de la nouvelle BSIG met en œuvre la logique de cadrage en deux étapes de la directive et introduit la taxonomie allemande.

Deux niveaux régulés. La loi distingue les entités particulièrement importantes (besonders wichtige Einrichtungen), qui correspondent aux « entités essentielles » de la directive, des entités importantes (wichtige Einrichtungen), qui correspondent aux « entités importantes » de la directive. Le § 28 Abs. 1 énumère qui compte comme besonders wichtig : (i) les exploitants d’installations critiques (Betreiber kritischer Anlagen, exploitants KRITIS) quelle que soit leur taille ; (ii) les prestataires qualifiés de services de confiance, les registres de noms de domaine de premier niveau et les fournisseurs de services DNS quelle que soit leur taille ; (iii) les fournisseurs de services publics de télécommunications dépassant 50 employés ou 10 millions d’euros de chiffre d’affaires et les seuils de bilan ; et (iv) les autres entités de l’Anlage 1 ayant au moins 250 employés ou plus de 50 millions d’euros de chiffre d’affaires et plus de 43 millions d’euros de total de bilan. Le § 28 Abs. 2 capture le niveau wichtige : prestataires de services de confiance en deçà du seuil qualifié, petits fournisseurs de télécommunications, et autres entités de l’Anlage 1 ou de l’Anlage 2 qui atteignent le seuil de moyenne entreprise d’au moins 50 employés ou de plus de 10 millions d’euros de chiffre d’affaires et de bilan. Les critères de taille suivent la recommandation 2003/361/CE de la Commission, conformément au § 28 Abs. 4. Pour une lecture plus approfondie de ce modèle à deux niveaux, consultez Entités essentielles vs importantes sous NIS2.

Anlage 1 : sept secteurs de haute criticité. Energie (Strom, Fernwärme, Kraftstoff, Gas), Transport und Verkehr (Luft, Schiene, Schifffahrt, Straße), Finanzwesen (Bankwesen, Finanzmarktinfrastrukturen), Gesundheit, Wasser (Trinkwasser, Abwasser), Digitale Infrastruktur (IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Vertrauensdienste, Telekom, MSP, MSSP), et Weltraum (espace).

Anlage 2 : sept autres secteurs critiques. Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe (dispositifs médicaux, informatique/électronique, électrique, construction de machines, automobile, autre construction de véhicules), Anbieter digitaler Dienste (places de marché en ligne, moteurs de recherche en ligne, réseaux sociaux), et Forschung. Les lecteurs du secteur manufacturier voudront associer cela à NIS2 dans le secteur manufacturier, qui détaille l’intégration du verarbeitendes Gewerbe.

Exploitants KRITIS. Le § 28 Abs. 1 Nr. 1 classe automatiquement les exploitants d’installations critiques comme besonders wichtige, quelle que soit leur taille. Ce qui compte comme kritische Anlage est défini par la BSI-Kritisverordnung (BSI-KritisV) révisée au titre du § 56 Abs. 4, modifiée par l’Art. 8 du Mantelgesetz. Le périmètre KRITIS reste le cœur du régime de haute criticité de l’Allemagne et se superpose à un ensemble plus strict de devoirs au titre du § 31, abordé ci-dessous.

L’administration fédérale. Le § 29 BSIG inclut l’administration fédérale (Bundesverwaltung) dans le champ : les organismes fédéraux, les prestataires de services informatiques de droit public du Bund et entités similaires sont traités comme besonders wichtige avec des exclusions. Plus précisément, les §§ 38, 40 Abs. 3, 61 et 65 ne leur sont pas applicables, de sorte que les régimes relatifs à l’organe de direction, aux sanctions et à la supervision directe sont remplacés par une structure interne de gouvernance de la sécurité de l’information (un Koordinator für Informationssicherheit au titre du § 48, des Ressort-ISBs au titre du § 46, et des ISBs par Einrichtung au titre du § 45). L’Auswärtiges Amt, le BMVg, le Service fédéral de renseignement (BND, Bundesnachrichtendienst) et l’Office fédéral de protection de la Constitution (BfV, Bundesamt für Verfassungsschutz) sont exclus par le § 29 Abs. 3 ; l’informatique de la Bundeswehr est exonérée de l’inspection du BSI sauf aux interfaces (§ 7 Abs. 7) ; et le § 37 envisage un Ausnahmebescheid lorsque la sécurité nationale l’exige.

L’écart des Länder. Il s’agit d’une caractéristique typiquement allemande que les équipes de conformité doivent intégrer. La nouvelle BSIG ne couvre pas les Länder, les Kommunen ou les Sozialversicherungsträger. Conformément à l’Art. 2(2)(f)(ii) NIS2, chaque Land doit légiférer son propre régime NIS2 régional pour capturer son administration et les entités qu’il supervise (le § 28 Abs. 9 exclut expressément les organismes entièrement détenus par un Land et couverts par une loi parallèle du Land ; le § 40 Abs. 2 impose la coordination du BSI avec les superviseurs des Länder désignés). Plusieurs Länder ont publié des projets de Landes-NIS2-Gesetze, d’autres sont en consultation, et une mosaïque de régimes régionaux émerge. Les entités multi-Länder doivent suivre séparément le dossier législatif de chaque Land concerné.

Si vous n’êtes pas sûr que la nouvelle BSIG s’applique à votre organisation, le contrôle initial le plus rapide est notre vérificateur de périmètre NIS2, qui passe en revue secteur et taille en trois clics. Pour une lecture plus approfondie de la logique de cadrage dans la directive elle-même, consultez Le champ d’application et l’applicabilité de NIS2.

Exclusions sectorielles. Le § 28 Abs. 6 Nr. 1 exclut les entités financières relevant du champ d’application du règlement (UE) 2022/2554 (DORA) des §§ 30, 31, 32, 35, 36, 38 et 39 BSIG. Là où DORA s’applique, il s’applique à la place de NIS2 pour les mêmes faits. Le § 28 Abs. 5 établit un principe analogue pour les télécommunications publiques et les entités énergétiques réglementées par l’EnWG : la loi sectorielle s’applique pour l’activité réglementée, mais la BSIG continue de s’appliquer à toutes les kritische Anlagen supplémentaires qu’elles exploitent. La frontière DORA est décortiquée dans NIS2 et le secteur financier : comment DORA recoupe la banque et dans NIS2, DORA et CER : règlementations qui se chevauchent.

L’architecture institutionnelle allemande

La nouvelle BSIG concentre l’essentiel de la supervision en cybersécurité au sein d’un seul organisme fédéral, le BSI, et superpose des superviseurs sectoriels pour les secteurs régulés. Cette concentration est un choix délibéré et un contraste significatif avec le modèle luxembourgeois. Pour la perspective européenne, notre article de référence sur l’architecture institutionnelle de NIS2 : autorités, CSIRT et points de contact en présente le schéma.

Office fédéral de la sécurité des technologies de l’information (BSI, Bundesamt für Sicherheit in der Informationstechnik). Le BSI est l’autorité nationale compétente, le point de contact unique (zentrale Verbindungsstelle), le CSIRT national et le point de notification central (zentrale Melde- und Anlaufstelle) pour les entités besonders wichtige et wichtige au titre des §§ 3 Abs. 1 Nr. 3 et 24, 5 Abs. 3 Nr. 5 et 40 Abs. 1. Le même organisme qui rédige les normes techniques, certifie les produits, conseille les ministères et opère le CERT fédéral inspecte désormais aussi, audite, instruit et sanctionne les entités dans le champ. Implication pratique : le BSI est l’organisme qui inspectera, auditera, demandera des informations, émettra des instructions contraignantes et (sous réserve d’une règle de codécision sectorielle) imposera des amendes à la plupart des entités non financières.

Compétence centrale à l’échelle de l’UE au titre du § 60. Il s’agit de la disposition allemande la plus stratégiquement significative. Pour les fournisseurs transfrontaliers d’infrastructure numérique et de services numériques dont le principal établissement dans l’UE est en Allemagne (fournisseurs cloud, centres de données, opérateurs CDN, MSP, MSSP, fournisseurs DNS, registres TLD, places de marché en ligne, moteurs de recherche et réseaux sociaux), le BSI est compétent pour l’ensemble de l’empreinte UE, et non seulement pour la partie allemande. Combiné à la taille du marché allemand, cela signifie que le BSI peut finir par être le superviseur NIS2 de fait de plusieurs hyperscalers majeurs et entreprises de services numériques pour le compte de l’Union entière. Le § 34 impose un régime d’enregistrement parallèle pour ces entités, avec des données transmises à l’ENISA.

Agence fédérale des réseaux (BNetzA, Bundesnetzagentur). La BNetzA conserve la primauté sectorielle dans les télécommunications et l’énergie. Pour les télécommunications, le régime substantiel se trouve dans la TKG §§ 165 à 168 telle que modifiée par l’Art. 25 du Mantelgesetz, le § 168 réécrit acheminant les notifications d’incidents à la fois à la BNetzA et au Meldestelle du BSI. Pour l’énergie, l’EnWG §§ 5c à 5e (Art. 17) impose à la BNetzA d’émettre l’IT-Sicherheitskatalog im Einvernehmen avec le BSI ; le catalogue des composants critiques (kritische Komponenten) doit suivre d’ici le 6 janvier 2026.

Autorité fédérale de surveillance des services financiers (BaFin, Bundesanstalt für Finanzdienstleistungsaufsicht). La plupart des entités financières relèvent de DORA plutôt que de la nouvelle BSIG, la BaFin étant l’autorité de supervision. Là où NIS2 a encore un ancrage, le mandat de coopération BSI/BaFin au § 3 Abs. 1 Nr. 29 régit l’échange d’informations et l’action commune.

Office fédéral de la protection des populations et de l’aide en cas de catastrophe (BBK, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe). Le BBK ne réglemente pas, mais il copère le portail conjoint de notification et d’enregistrement avec le BSI au titre des §§ 32 Abs. 1 et 33 Abs. 1. Sur le plan opérationnel, cela signifie une porte d’entrée unique : les entités dans le champ s’enregistrent, modifient leurs données de contact et notifient les incidents via une plateforme unique qui dessert les deux organismes.

Ministère fédéral de l’Intérieur (BMI, Bundesministerium des Innern). Au titre du § 41, le BMI (im Benehmen avec le ministère sectoriel) peut interdire à un exploitant KRITIS de déployer un composant critique (kritische Komponente) d’un fournisseur spécifique. La disposition est le successeur de l’ancien § 9b BSIG et des débats politiquement chargés sur la 5G et Huawei. Le § 41 Abs. 2 permet d’étendre une interdiction à tous les exploitants et à de futurs déploiements, pas seulement à celui en question.

Commissaire fédéral à la protection des données et à la liberté d’information (BfDI, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Le BfDI n’est pas une autorité NIS2, mais il se trouve à la croisée de deux interfaces importantes : les §§ 7 Abs. 8 et 61 Abs. 11 imposent au BSI d’informer le superviseur RGPD des violations de données à caractère personnel rencontrées lors des inspections, et le § 65 Abs. 11 codifie une règle non-bis-in-idem empêchant les doubles amendes lorsque le BfDI ou une autorité de protection des données d’un Land a déjà sanctionné les mêmes faits au titre du RGPD.

Les autorités des Länder. Comme indiqué plus haut, les Länder doivent désigner leurs propres superviseurs NIS2 régionaux conformément au § 2 Nr. 2b ; le BSI les coordonne via le § 40 Abs. 2. Les entités multi-Länder traitent donc avec le BSI au niveau fédéral et avec le superviseur du Land concerné pour toute activité détenue ou supervisée par un Land.

L’Allemagne n’a pas créé de nouvelle structure fédérale de crise cyber au titre de NIS2 : le rôle CSIRT existant du BSI au titre des § 3, § 5 et § 40 continue, et la représentation EU-CyCLONe passe par le BSI.

Stratégie nationale et posture de crise

La NIS2UmsuCG ne promulgue pas un document unique nouveau de stratégie statutaire de cybersécurité comme le fait la loi luxembourgeoise. L’Allemagne publie depuis longtemps une Cybersicherheitsstrategie für Deutschland (la plus récente datant de 2021) et une Konzeption Zivile Verteidigung (2016), et le BMI prépare une stratégie de successeur au titre de l’Art. 7 de la directive. Pour le socle UE de ce qu’une stratégie nationale de cybersécurité doit couvrir, consultez La stratégie nationale de cybersécurité : ce qu’exige l’article 7. Pour le rôle de l’Allemagne dans l’architecture de coordination de l’UE, y compris EU-CyCLONe et le réseau des CSIRT, consultez Le groupe de coopération, EU-CyCLONe et le réseau des CSIRT.

Les dix mesures de gestion des risques de cybersécurité (§ 30)

Le § 30 de la nouvelle BSIG est le cœur opérationnel pour la population régulée générale. Il impose aux entités besonders wichtige et wichtige de prendre des mesures techniques et organisationnelles « geeignete, verhältnismäßige und wirksame », en appliquant une approche tous risques et en reflétant l’état de l’art (Stand der Technik) au titre du § 30 Abs. 2 Satz 1. Le test de Verhältnismäßigkeit (proportionnalité) au § 30 Abs. 1 pèse l’exposition au risque, la taille de l’entité, le coût de mise en œuvre, la probabilité et la gravité des incidents, et l’impact sociétal et économique. Le traitement approfondi de la façon dont ce test de proportionnalité se déploie selon les types d’entités se trouve dans Proportionnalité et conformité NIS2.

Le § 30 Abs. 2 énumère verbatim les dix catégories de mesures à partir de l’Art. 21(2) de la directive :

  • politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
  • gestion des incidents ;
  • continuité des activités, y compris gestion des sauvegardes, reprise après sinistre et gestion de crise ;
  • sécurité de la chaîne d’approvisionnement, y compris les aspects de sécurité concernant les relations avec les fournisseurs directs et les prestataires de services ;
  • sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
  • politiques et procédures permettant d’évaluer l’efficacité des mesures de gestion des risques de cybersécurité ;
  • pratiques de cyberhygiène de base et formation à la cybersécurité ;
  • politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
  • sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs ;
  • authentification multifacteur ou solutions d’authentification continue, communications vocales, vidéo et textuelles sécurisées, et systèmes de communications d’urgence sécurisés au sein de l’entité, selon le cas.

Pour l’analyse approfondie de ce que recouvre chacune d’elles en pratique, consultez Les 10 mesures de cybersécurité de l’article 21 de NIS2. Le principe tous risques est décortiqué dans L’approche tous risques : sécurité physique sous NIS2. Le risque de chaîne d’approvisionnement fait l’objet d’un traitement dédié dans Sécurité de la chaîne d’approvisionnement et risque fournisseur sous NIS2.

Deux notes spécifiques à l’Allemagne. Premièrement, le § 30 Abs. 6 autorise la Bundesregierung à imposer par Rechtsverordnung (règlement statutaire) des produits ou services certifiés, de sorte qu’une famille de contrôles peut être renforcée au fil du temps, passant d’« approprié » à « doit utiliser un produit certifié par un schéma ». Deuxièmement, le § 30 Abs. 8 reprend la tradition allemande des normes sectorielles proposées par l’industrie (branchenspezifische Sicherheitsstandards), reconnues par le BSI et remplaçant l’ancien cadre du § 8a Abs. 2. En pratique, attendez-vous à ce que votre association sectorielle mette à jour ses normes B3S au cours des dix-huit prochains mois, avec une reconnaissance BSI rafraîchie face aux nouvelles références BSIG.

KRITIS : la superposition plus stricte (§§ 31, 39 et 41)

Les exploitants KRITIS se trouvent au sommet de la pyramide réglementaire. Ils sont automatiquement besonders wichtige (§ 28 Abs. 1 Nr. 1) et portent une superposition plus stricte qui est l’une des contributions distinctives de l’Allemagne au régime européen de cybersécurité.

§ 31 mesures plus strictes. Le § 31 Abs. 1 présume que les mesures allant au-delà de la base ordinaire du § 30 sont proportionnées lorsque leur coût est proportionné aux conséquences d’une défaillance de la kritische Anlage. En pratique, c’est l’ancrage juridique pour exiger une segmentation coûteuse, une technologie opérationnelle durcie, et des plans de contrôle redondants de la part d’un service public d’électricité ou d’un opérateur d’eau, qui ne seraient pas exigés d’une entité ordinaire de l’Anlage 1.

§ 31 Abs. 2 systèmes de détection d’attaques. Les exploitants KRITIS doivent déployer et exploiter des systèmes de détection d’attaques (Systeme zur Angriffserkennung), définis au § 2 Nr. 41 comme « durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme », avec une capture et une évaluation automatisées continues reflétant l’état de l’art. L’Allemagne a été le premier État membre de l’UE à imposer ces systèmes via l’IT-SiG 2.0 en 2021, et la nouvelle BSIG conserve et clarifie l’obligation. Pour la plupart des exploitants KRITIS, cela signifie un centre d’opérations de sécurité (SOC) documenté ou une capacité de Managed Detection and Response (MDR), pas une simple archive de logs.

§ 39 preuve de conformité. Les exploitants KRITIS doivent démontrer la mise en œuvre des § 30 et § 31 via des audits, des tests ou des certifications tous les trois ans, les résultats étant déposés auprès du BSI. Le § 39 Abs. 3 fournit le pont transitoire : le prochain Nachweis d’un exploitant au titre du nouveau régime peut être déposé dans les trois ans suivant le dernier audit de l’exploitant au titre de l’ancien § 8a Abs. 3 BSIG, de sorte que la plupart des exploitants KRITIS existants atteindront leur premier Nachweis du nouveau régime entre 2026 et 2028 selon leur cadence d’audit antérieure.

§ 41 interdiction de composants critiques. Au titre du § 41, le BMI (im Benehmen avec le ministère sectoriel) peut interdire à un exploitant KRITIS de déployer des composants critiques (kritische Komponenten) d’un fournisseur spécifique si cela porterait atteinte à l’ordre public ou à la sécurité. Le § 41 Abs. 2 permet d’étendre l’interdiction à tous les exploitants du même type de kritische Anlage et à de futurs déploiements. C’est le successeur de l’ancien § 9b BSIG et l’outil opérationnel pour les décisions de confiance fournisseur dans la 5G, le transport optique, les compteurs intelligents et contextes similaires.

Pour une lecture sectorielle sur la superposition KRITIS dans l’énergie et la santé, consultez NIS2 dans le secteur de l’énergie et NIS2 dans le secteur de la santé : hôpitaux et pharmacie.

Responsabilité de l’organe de direction (§ 38)

Le § 38 BSIG, intitulé Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen, est court mais lourd de conséquences. Le § 38 Abs. 1 impose à l’organe de direction (Geschäftsleitung) des entités besonders wichtige et wichtige de mettre en œuvre et de superviser les mesures du § 30. Le § 38 Abs. 2 attache une responsabilité personnelle pour manquement coupable : les règles de droit des sociétés s’appliquent en premier lieu, et la BSIG fournit un ancrage subsidiaire de responsabilité là où le régime de droit des sociétés est silencieux. Le § 38 Abs. 3 impose une formation régulière (Schulungen) pour la Geschäftsleitung, et des offres de formation parallèles doivent être étendues au personnel.

La Geschäftsleitung est définie au § 2 Nr. 13 : elle capture les personnes physiques qui dirigent l’entité (typiquement le Vorstand d’une AG ou la Geschäftsführung d’une GmbH). Les chefs d’organismes de l’administration fédérale ne sont explicitement pas des Geschäftsleitungen en ce sens : le § 29 Abs. 2 leur soustrait l’application du § 38.

Des dispositions parallèles existent dans les statuts sectoriels. L’EnWG § 5e reflète le cadre du § 38 pour les entités énergétiques, et la TKG § 165 Abs. 2b à 2d fait de même pour les fournisseurs de télécommunications. Pour les conseils d’administration et comités exécutifs, cela signifie que la cybersécurité n’est plus un « sujet IT » délégué au RSSI. C’est une affaire de niveau Geschäftsleitung, avec une supervision documentée, des registres de formation, des comptes rendus et une Haftungsdokumentation. Notre article sur La responsabilité du conseil et la gouvernance sous NIS2 décrit à quoi ressemble une posture de gouvernance défendable selon les juridictions.

Notification d’incidents (§ 32)

Le § 32 reproduit le régime à trois échéances de la directive européenne, avec une particularité opérationnelle qui distingue l’Allemagne de la plupart des autres États membres : il y a un seul portail conjoint de notification opéré par le BSI et le BBK (§ 32 Abs. 1 Satz 1), et le BSI transmet les notifications pertinentes au superviseur sectoriel au titre du § 32 Abs. 5.

Alerte précoce, dans les 24 heures (§ 32 Abs. 1 Nr. 1). Sans retard injustifié et, en tout état de cause, dans les 24 heures à compter de la prise de connaissance d’un erheblicher Sicherheitsvorfall (incident important, défini au § 2 Nr. 11), l’entité soumet une alerte précoce. L’alerte précoce indique si l’incident est suspecté d’avoir été causé par des actes illicites ou malveillants et s’il pourrait avoir un impact transfrontalier.

Notification d’incident, dans les 72 heures (§ 32 Abs. 1 Nr. 2). La notification met à jour l’alerte précoce avec une évaluation initiale de la gravité, de l’impact et (lorsque disponibles) des indicateurs de compromission.

Mises à jour intermédiaires sur demande (§ 32 Abs. 1 Nr. 3) et rapport final dans un délai d’un mois (§ 32 Abs. 1 Nr. 4 et Abs. 2). Le rapport final couvre une description détaillée, la cause profonde, les mesures d’atténuation appliquées et en cours, et l’impact transfrontalier. Si l’incident est toujours en cours de traitement au jalon d’un mois, l’entité dépose une Fortschrittsmeldung (rapport d’avancement) et un rapport final dans un délai d’un mois après la clôture.

Le § 36 impose au BSI de fournir une première réponse à l’alerte précoce dans les 24 heures lorsque c’est possible, y compris des orientations et un conseil opérationnel. Le seuil de ce qui constitue un erheblicher Sicherheitsvorfall est concrétisé au § 2 Nr. 11 et peut être précisé par Rechtsverordnung au titre du § 56 Abs. 5 ; entre-temps, la logique de seuil de la directive s’applique. Pour le guide pratique de l’exécution des échéances, consultez Le calendrier de signalement des incidents NIS2. Pour savoir quand un incident franchit réellement le seuil d’« important » (la décision la plus difficile dans les premières 24 heures), consultez Qu’est-ce qui rend un incident important au sens de NIS2.

Parallèles sectoriels. L’EnWG § 5d Abs. 3 achemine les mêmes notifications 24/72/un mois vers le Meldestelle du BSI, le BSI agissant im Benehmen avec la BNetzA. La TKG § 168, réécrite par l’Art. 25 du Mantelgesetz, impose le même calendrier mais à la fois à la BNetzA et au BSI. Les entités du secteur santé continuent d’acheminer leurs obligations au titre du § 30 via le cadre du SGB V, les références aux §§ 30, 31 et 39 BSIG étant introduites dans le SGB V, le SGB XI, la DiGAV et la Krankenhausstrukturfonds-Verordnung (Mantelgesetz Arts. 21, 22, 24 et 26).

Divulgation des vulnérabilités (§ 5) et plateforme de partage des menaces (§ 6)

Le § 5 désigne le BSI comme coordinateur de la divulgation coordonnée des vulnérabilités (CVD) au titre de l’Art. 12(1) de la directive. Le BSI doit publier une description documentée de la procédure CVD d’ici le 6 décembre 2026 (§ 5 Abs. 6), de sorte que les chercheurs et les opérateurs disposent d’une transition d’un an vers un programme formalisé. Entre-temps, la pratique CVD existante du BSI continue, y compris les canaux établis pour signaler les vulnérabilités dans des produits largement utilisés et la coordination avec les fournisseurs. Pour la vision européenne plus large de ce qu’un cadre CVD doit faire, consultez Le cadre de divulgation des vulnérabilités sous NIS2.

Le § 6 codifie le rôle du BSI dans l’exploitation d’une plateforme de partage d’informations (Informationsaustauschplattform) pour l’échange de données cybermenaces entre entités dans le champ. Le § 11 fournit un outil opérationnel connexe : dans les herausgehobene Fälle (attaques de grande envergure), le BSI peut prendre une action directe de restauration, les coûts de première intervention étant supprimés. Il s’agit d’un soutien opérationnel significatif pour les victimes d’incidents de niveau État-nation qui dépassent les capacités internes.

Enregistrement (§§ 33 et 34)

Deux pistes d’enregistrement s’appliquent.

Enregistrement général (§ 33). Les entités besonders wichtige et wichtige, ainsi que les fournisseurs de registres de noms de domaine, doivent s’enregistrer auprès du BSI via le portail conjoint BSI/BBK dans les trois mois suivant le moment où elles deviennent une telle entité (§ 33 Abs. 1). Le jeu de données comprend le nom, la forme juridique, le contact, les plages IP publiques, le secteur conformément à l’Anlage 1 ou 2, les États membres desservis et les superviseurs compétents. Le § 33 Abs. 2 impose un jeu de données supplémentaire aux exploitants KRITIS : détails de la kritische Anlage, localisation et un contact 24/7. Le § 33 Abs. 3 permet au BSI d’enregistrer une entité d’office. Le § 33 Abs. 5 impose que les changements soient notifiés dans un délai de deux semaines.

Enregistrement central des services numériques (§ 34). Les entités relevant de la juridiction centrale à l’échelle de l’UE au titre du § 60 (cloud, centres de données, CDN, MSP, MSSP, DNS, TLD, places de marché en ligne, moteurs de recherche, réseaux sociaux) soumettent un jeu de données plus détaillé dans un délai de trois mois, que le BSI transmet à l’ENISA pour le registre paneuropéen prévu à l’Art. 27 de la directive.

Si votre activité est celle d’un fournisseur de services gérés ou d’un MSSP, consultez Les MSP et MSSP sont-ils régulés par NIS2. Pour les fournisseurs de cloud, de centres de données et de CDN, consultez Infrastructure numérique sous NIS2 : cloud et centre de données. Notez que le parallèle sectoriel énergétique au titre de l’EnWG § 5d Abs. 4 impose aux petits exploitants de réseaux de s’enregistrer d’ici le 6 mars 2026, une date que de nombreux petits Stadtwerke et Netzbetreiber n’approchent que maintenant.

Certification, BSI-Grundschutz et le Cybersecurity Act (§§ 30 Abs. 6, 44, 52 à 55)

La nouvelle BSIG consolide les rôles du BSI dans les normes, la certification et l’étiquetage.

Le § 52 confirme le BSI comme autorité nationale de certification. Le § 54 le désigne comme autorité nationale de certification de cybersécurité au titre du règlement (UE) 2019/881 (Cybersecurity Act), ce qui signifie qu’il est l’organisme compétent pour les schémas européens de certification tels que l’EUCC et le futur EUCS pour les services cloud. Le § 53 ancre le régime d’évaluation de conformité et d’autodéclaration. Le § 55 maintient le label volontaire grand public IT-Sicherheitskennzeichen.

Le § 44 conserve l’autorité du BSI sur les Mindeststandards et IT-Grundschutz pour l’administration fédérale. Bien que l’IT-Grundschutz ne soit formellement contraignant que pour le Bund, il reste le référentiel de fait que les auditeurs et assureurs allemands attendent des exploitants KRITIS et des grandes entreprises. Pour la relation entre BSI-Grundschutz, ISO 27001 et le régime des mesures NIS2, consultez NIS2, ISO 27001 et les schémas de certification.

Le § 30 Abs. 6 et le § 56 Abs. 3 fournissent ensemble le mécanisme par lequel un schéma de certification UE peut être rendu obligatoire en Allemagne pour une classe définie de produits ou services : un Rechtsverordnung de la Bundesregierung. Ce n’est pas encore actif, mais la voie est ouverte. Les premières cibles les plus probables sont les services cloud (une fois le schéma EUCS finalisé) et des composants OT spécifiques dans les secteurs KRITIS réglementés.

Supervision (§§ 59 à 64)

Le § 59 confirme le BSI comme la seule autorité compétente pour la conformité avec le Teil 3 de la BSIG. La boîte à outils substantielle de supervision diffère ensuite nettement entre les entités besonders wichtige et wichtige, conformément à la directive.

Entités besonders wichtige (§ 61) : ex ante plus ex post. Le § 61 Abs. 1 autorise le BSI à ordonner des audits, des tests ou des certifications. Le § 61 Abs. 3 permet au BSI d’exiger des éléments probants (les inspections « ex ante » de la directive) ; cependant, pour les entités besonders wichtige qui ne sont pas KRITIS, le BSI ne peut pas ordonner de tels audits avant trois ans après l’entrée en vigueur, c’est-à-dire pas avant le 6 décembre 2028. Pour les hôpitaux au titre du § 108 SGB V, le délai d’attente est encore plus long, les audits ne pouvant être ordonnés avant le 6 décembre 2030. Le § 61 Abs. 5 autorise les inspections sur place (Überprüfung vor Ort). Le § 61 Abs. 6 autorise les ordres de prendre des mesures spécifiques, le § 61 Abs. 7 les ordres de mettre en œuvre des obligations plus généralement, et le § 61 Abs. 8 les ordres d’informer les clients et de publier des informations sur la brèche. Le § 61 Abs. 9 contient les mesures les plus sévères, disponibles als letztes Mittel (en dernier recours), en accord avec le superviseur sectoriel : suspension temporaire de licence et interdiction temporaire faite aux membres de la Geschäftsleitung d’exercer des fonctions de direction.

Entités wichtige (§ 62) : ex post uniquement. Les inspections et ordres restent disponibles, mais uniquement lorsque des Tatsachen die Annahme rechtfertigen (faits justifient la présomption) de non-conformité. Cela signifie que le BSI doit avoir un déclencheur motivé avant d’ouvrir un dossier de supervision sur une entité wichtige.

§ 63 contrainte administrative. Lorsqu’un ordre n’est pas suivi, le BSI peut imposer des astreintes (Zwangsgelder) pouvant atteindre 100 000 EUR par manquement constaté, dépassant le plafond de 25 000 EUR du § 11 Abs. 3 VwVG.

Notre article de référence sur Les pouvoirs d’application, sanctions et amendes NIS2 explique comment les autorités utilisent ces outils en pratique.

Amendes administratives (§ 65)

Les niveaux d’amendes phares au § 65 Abs. 5 Nr. 1 sont alignés sur les minimums de la directive. Les plafonds antérieurs proposés de 20 millions d’euros et 4 % du chiffre d’affaires n’ont pas été retenus dans le texte final.

  • Besonders wichtige Einrichtungen : jusqu’à 10 millions d’euros (§ 65 Abs. 5 Nr. 1) ; pour les groupes dont le chiffre d’affaires mondial dépasse 500 millions d’euros, jusqu’à 2 % du chiffre d’affaires mondial du groupe, le montant le plus élevé étant retenu (§ 65 Abs. 6).
  • Wichtige Einrichtungen : jusqu’à 7 millions d’euros (§ 65 Abs. 5 Nr. 1) ; pour les groupes dont le chiffre d’affaires mondial dépasse 500 millions d’euros, jusqu’à 1,4 % du chiffre d’affaires mondial du groupe, le montant le plus élevé étant retenu (§ 65 Abs. 7).

Les manquements plus étroits ou plus procéduraux portent des plafonds inférieurs (5 millions d’euros, 2 millions d’euros, 1 million d’euros, 500 000 euros et 100 000 euros) au titre du § 65 Abs. 5 Nr. 2 et suivants. Pour le traitement approfondi de la façon dont ces plafonds sont calibrés et appliqués, consultez Amendes administratives sous NIS2 : le cadre des 10 M EUR.

Le plafond des Zwangsgeld est de 100 000 EUR par manquement (§ 63), comme indiqué plus haut. Aucune nouvelle infraction pénale (Straftaten) n’est créée par la NIS2UmsuCG : les §§ 202a, 202b, 303a et 303b StGB continuent de s’appliquer aux comportements sous-jacents de criminalité informatique, et le § 8 Abs. 6 BSIG régit le transfert d’éléments probants du BSI aux procureurs.

Non-bis-in-idem RGPD. Le § 65 Abs. 11 interdit une amende NIS2 lorsque le BfDI ou une autorité de protection des données d’un Land a déjà imposé une amende RGPD pour les mêmes faits. Les mesures non pécuniaires (ordres, inspections, exigences de notification) restent disponibles en parallèle. L’interaction est décortiquée dans Chevauchement NIS2 et RGPD : cybersécurité et protection des données.

Le Mantelgesetz : les parallèles sectoriels à ne pas négliger

La conception omnibus de la NIS2UmsuCG signifie que la nouvelle BSIG n’est que la moitié de l’histoire pour de nombreuses entités dans le champ. Les Arts. 2 à 28 modifient 27 lois et règlements adjacents, et pour les entités énergétiques, télécoms et santé, le texte sectoriel est l’instrument opérationnel principal.

Énergie : EnWG (Mantelgesetz Art. 17). Les anciens § 11 Abs. 1a à 1g EnWG sont supprimés dans leur intégralité et remplacés par les nouveaux §§ 5c à 5e EnWG. Le § 5c porte les devoirs substantiels : l’IT-Sicherheitskatalog est fixé par la BNetzA im Einvernehmen avec le BSI, et le catalogue des kritische Komponenten doit être émis d’ici le 6 janvier 2026. Les dix catégories de mesures au titre de l’EnWG reflètent le § 30 BSIG. Le calendrier de notification 24/72/un mois est acheminé vers le Meldestelle du BSI, le BSI agissant im Benehmen avec la BNetzA. L’EnWG § 5e reflète les obligations de la Geschäftsleitung du § 38. Les amendes reflètent les niveaux BSIG : 10 millions d’euros / 2 % pour les besonders wichtige et 7 millions d’euros / 1,4 % pour les wichtige. Le § 5c Abs. 2 maintient la primauté des obligations du droit nucléaire au titre de l’Atomgesetz (Mantelgesetz Art. 16), préservant le cadre AtG pour les installations nucléaires.

Télécoms : TKG (Mantelgesetz Art. 25). Le § 165 TKG est étendu avec les dix catégories de mesures (Abs. 2a à 2d) et avec les exigences de responsabilité et de formation de la Geschäftsleitung. Le § 168 TKG est réécrit avec le calendrier de notification 24/72/un mois à la fois à la BNetzA et au BSI. Le § 167 contient une disposition transitoire : la BNetzA conserve les pouvoirs sur les définitions de composants critiques jusqu’à ce que la Rechtsverordnung BSIG au titre du § 56 Abs. 7 les reprenne.

Santé : SGB V, DiGAV, SGB XI, Krankenhausstrukturfonds-Verordnung (Mantelgesetz Arts. 21, 22, 24 et 26). Les anciennes références au § 8a BSIG sont remplacées partout par les nouvelles références aux §§ 30, 31 et 39 BSIG. Sur le plan opérationnel, cela signifie que les hôpitaux (soumis au délai d’attente d’audit plus long de cinq ans au titre du § 61 Abs. 3), les fournisseurs d’applications numériques de santé (DiGA) et les caisses d’assurance dépendance continuent d’être régulés via leurs tuyaux sectoriels, le contenu substantiel étant désormais tiré de la nouvelle BSIG.

Services de confiance : VDG (Mantelgesetz Art. 28). Le § 2 Abs. 3 VDG est supprimé en tant que modification consécutive, reflétant que les prestataires qualifiés de services de confiance sont désormais besonders wichtige au titre du § 28 Abs. 1 Nr. 2 BSIG.

AWV : filtrage des investissements étrangers (Mantelgesetz Art. 27). Le § 55a AWV est mis à jour pour référencer la nouvelle terminologie « kritische Anlagen ». Le déclencheur de filtrage des investissements pour les acquisitions hors UE d’exploitants KRITIS est préservé, et le périmètre suit désormais la nouvelle BSI-KritisV.

Protection des lanceurs d’alerte : Hinweisgeberschutzgesetz (Mantelgesetz Art. 14). Champ d’application mis à jour pour couvrir les nouvelles catégories de services numériques cloud et DNS.

Si votre organisation opère dans plus d’un de ces secteurs régulés, votre cartographie de conformité doit commencer par le texte sectoriel et utiliser la BSIG comme défaut résiduel. Le portail d’enregistrement unique au Meldestelle conjoint BSI/BBK simplifie l’interface administrative, mais les obligations substantielles sont réparties sur plusieurs statuts.

Lecture sectorielle ciblée

Si votre organisation est dans un secteur régulé, le classement par Anlage 1 ou Anlage 2 renvoie directement aux guides sectoriels correspondants :

Pour une vue comparative de la façon dont d’autres États membres ont transposé la directive, consultez nos analyses connexes sur NIS2 au Luxembourg et NIS2 en Belgique. La séparation fédéral/Länder allemande, la juridiction du BSI à l’échelle de l’UE au titre du § 60, et le mandat de détection d’attaques KRITIS sont les trois caractéristiques distinctives qui n’ont pas d’analogue direct dans ces autres pays.

Ce qu’il faut faire ce trimestre

Six mois dans le nouveau régime, la plupart des équipes de direction devraient déjà avoir une évaluation d’écart de base et une feuille de route. Si ce n’est pas le cas, ou si vous revisitez vos plans maintenant que la poussière initiale est retombée, une séquence raisonnable :

  1. Confirmer le périmètre précisément. Utilisez le vérificateur de périmètre NIS2 ou commandez à un conseil une revue du § 28 au regard de vos activités. Portez une attention particulière à savoir si vous êtes un exploitant KRITIS au titre de la BSI-KritisV révisée, car cela déclenche la superposition du § 31 et un délai d’attente de supervision plus court.
  2. Identifier vos interlocuteurs. BSI pour le cas par défaut ; BNetzA pour les devoirs opérationnels des télécommunications et de l’énergie ; BaFin pour toute question résiduelle du secteur financier ; le superviseur du Land concerné pour toute activité de champ Land. Si vous êtes un MSP, MSSP, cloud, centre de données, CDN, DNS, TLD ou plateforme en ligne ayant votre principal établissement dans l’UE en Allemagne, vous êtes dans la juridiction du BSI à l’échelle de l’UE au titre du § 60 et votre enregistrement passe par le § 34.
  3. S’enregistrer. Préparez la soumission au titre du § 33 (et la soumission au titre du § 34 le cas échéant). L’horloge de trois mois court à partir du moment où vous devenez une entité dans le champ ; pour les entités devenues dans le champ le 6 décembre 2025, cette horloge est déjà expirée. Si vous l’avez manquée, enregistrez-vous maintenant et documentez le raisonnement du retard.
  4. Informer la Geschäftsleitung. La responsabilité personnelle au titre du § 38 est la conversation la plus importante à tenir au niveau de l’organe de direction. Documentez l’approbation des mesures, la délivrance de la formation (la Schulungspflicht est récurrente), et la Haftungsdokumentation. Le cas échéant, reflétez cela avec des conversations EnWG § 5e ou TKG § 165 pour les responsabilités sectorielles au niveau du conseil.
  5. Établir le régime d’incidents. Cartographiez votre flux de détection, classification et notification sur les horloges 24h, 72h et un mois du § 32 (et les parallèles sectoriels dans l’EnWG § 5d et la TKG § 168). Préenregistrez vos données de contact sur le portail conjoint BSI/BBK et répétez un exercice sur table qui produit une alerte précoce préliminaire en quatre heures.
  6. Combler les écarts du § 30, et la superposition du § 31 si KRITIS. Réalisez une cartographie de contrôles par rapport aux dix catégories. Pour les exploitants KRITIS, auditez vos Systeme zur Angriffserkennung par rapport au § 31 Abs. 2 et à l’Orientierungshilfe actuelle du BSI. Planifiez le cycle Nachweis du § 39 en 2026 à 2028.
  7. Documenter, documenter, documenter. Le § 65 Abs. 10 rend la coopération et la diligence démontrable matérielles au calcul de l’amende. Construisez la piste probante dès maintenant, pas après la première inspection du BSI. Là où vous utilisez des normes sectorielles industrielles (B3S) au titre du § 30 Abs. 8, conservez la preuve de reconnaissance et la cartographie de mise en œuvre.

Pour un manuel plus long, le guide de conformité NIS2 traverse chaque obligation dans l’ordre.

Sources et références

Sources primaires :

  • Allemagne, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301 du 5 décembre 2025, en vigueur le 6 décembre 2025. Publication BGBl. : recht.bund.de/bgbl/1/2025/301/VO.html. Permalien ELI : recht.bund.de/eli/bund/bgbl-1/2025/301. PDF du texte intégral : recht.bund.de/bgbl/1/2025/301/regelungstext.pdf.
  • Nouvelle BSI-Gesetz consolidée : gesetze-im-internet.de/bsig_2025.
  • Directive (UE) 2022/2555 (directive NIS 2). Page de référence : digital-strategy.ec.europa.eu/fr/policies/nis2-directive. Texte consolidé sur EUR-Lex : eur-lex.europa.eu/eli/dir/2022/2555/oj.
  • Règlement (UE) 2022/2554 (DORA), et l’exclusion sectorielle au titre du § 28 Abs. 6 Nr. 1 BSIG.
  • Règlement (UE) 2019/881 (Cybersecurity Act), base pour la désignation de l’autorité de certification du § 54 BSIG.
  • Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises, appliquée au titre du § 28 Abs. 4 BSIG.
  • Lois sectorielles modificatives du Mantelgesetz : Art. 17 (EnWG §§ 5c à 5e), Art. 25 (TKG §§ 165 à 168), Arts. 21, 22, 24 et 26 (SGB V, DiGAV, SGB XI, Krankenhausstrukturfonds-Verordnung), Art. 27 (AWV § 55a), Art. 28 (VDG).

Organismes allemands :

  • Office fédéral de la sécurité des technologies de l’information (BSI, Bundesamt für Sicherheit in der Informationstechnik), autorité nationale compétente, point de contact unique, CSIRT et point de notification central. Portail NIS2 : bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html.
  • Agence fédérale des réseaux (BNetzA, Bundesnetzagentur), superviseur sectoriel pour les télécommunications (TKG) et l’énergie (EnWG).
  • Autorité fédérale de surveillance des services financiers (BaFin, Bundesanstalt für Finanzdienstleistungsaufsicht), superviseur des entités financières régulées par DORA et partenaire du BSI pour toute question résiduelle NIS2.
  • Office fédéral de la protection des populations et de l’aide en cas de catastrophe (BBK, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), coopérateur du portail conjoint BSI/BBK de notification et d’enregistrement.
  • Ministère fédéral de l’Intérieur (BMI, Bundesministerium des Innern), responsable des ordres d’interdiction de composants critiques au titre du § 41.
  • Commissaire fédéral à la protection des données et à la liberté d’information (BfDI, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), superviseur RGPD pour les organismes fédéraux et contrepartie au titre du non-bis-in-idem du § 65 Abs. 11.

Cet article reflète la loi telle que publiée le 5 décembre 2025 et en vigueur depuis le 6 décembre 2025. Le BSI publiera d’autres Orientierungshilfen, la description de la procédure CVD (d’ici le 6 décembre 2026) et les Rechtsverordnungen au titre du § 56 au cours des prochains mois ; les Länder promulgueront progressivement leurs propres Landes-NIS2-Gesetze. Consultez le portail NIS2 du BSI pour les orientations officielles les plus récentes avant de finaliser les décisions opérationnelles.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 en Belgique : comment la loi du 26 avril 2024 transpose la directive européenne
NIS2 · 2 Jun 2026

NIS2 en Belgique : comment la loi du 26 avril 2024 transpose la directive européenne

La Belgique a transposé NIS2 par la loi du 26 avril 2024, désignant le CCB, le NCCN et les régulateurs sectoriels comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir après vingt mois d'application.
NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.