NIS2 en Allemagne : Ce que le retard dans la mise en œuvre nationale signifie pour les entreprises et pourquoi la préparation est essentielle

La directive révisée de l'Union européenne sur la cybersécurité, NIS2, est entrée en vigueur en octobre 2024. Son objectif est clair : renforcer la cyber-résilience dans les secteurs critiques et économiquement importants, élargir le champ d'application des entités couvertes et introduire des mécanismes d'application et de responsabilité plus stricts.

En Allemagne, cependant, la transposition nationale dans la législation reste incomplète. Les transitions politiques et les retards législatifs ont créé une incertitude pour les organisations susceptibles d'entrer dans le champ d'application. Si les délais de mise en œuvre ne sont pas encore finalisés au niveau national, les obligations définies au niveau européen sont déjà connues.

Pour les entreprises allemandes, la question stratégique n'est pas de savoir si la directive NIS2 s'appliquera, mais dans quelle mesure elles seront préparées lorsque sa mise en œuvre au niveau national deviendra obligatoire. Attendre que la législation soit entièrement clarifiée peut sembler pratique, mais la préparation basée sur les exigences fondamentales de la directive peut et doit commencer dès maintenant.

Ce qu'exige le NIS2 et à qui il s'applique 

La directive NIS initiale (2016) était axée sur les infrastructures critiques et les entreprises qui en sont à l'origine, telles que les grands acteurs des secteurs de l'énergie, des transports, de la banque et de la santé. Mais la directive NIS2 élargit considérablement son champ d'application.  

Cette fois, ce ne sont pas seulement les grandes entreprises qui doivent se mobiliser. Il s'agit de toute organisation qui fournit des services essentiels à l'économie ou à la société, ce qui inclut de nombreuses petites et moyennes entreprises. 

En fin de compte, le NIS2 s'applique à deux niveaux d'entreprises : 

• Les entités essentielles, telles que les grandes entreprises des secteurs critiques comme l'énergie, la santé, les transports et l'infrastructure numérique. Ces entreprises comptent généralement plus de 250 employés ou réalisent un chiffre d'affaires supérieur à 50 millions d'euros.  

• Les entités importantes, telles que les entreprises de taille moyenne dans des secteurs comme la fabrication de produits critiques, la production alimentaire, les services postaux, les produits chimiques et les services numériques. Ces entreprises comptent généralement plus de 50 employés ou réalisent un chiffre d'affaires supérieur à 10 millions d'euros.  

Les seuils de taille ci-dessus ne constituent qu'une orientation générale. La classification finale dépend de critères spécifiques au secteur, de la structure organisationnelle et, dans certains cas, de la pertinence stratégique. Une entité peut être désignée comme essentielle ou importante même si elle se situe en dessous des seuils de taille si elle fournit un service particulièrement critique. Les seuils spécifiques peuvent varier selon les secteurs et doivent être déterminés en fonction de la taille de l'organisation et du secteur dans lequel elle opère. Une entité peut toujours être considérée comme « essentielle » ou « importante » même si elle ne répond pas aux critères de taille, dans des cas spécifiques, par exemple lorsqu'elle est le seul fournisseur d'un service critique pour l'activité sociale ou économique.  

Quelles sont donc les attentes ? 

Le NIS2 exige des entreprises concernées qu'elles mettent en œuvre des pratiques de sécurité fondées sur le risque dans l'ensemble de leurs activités. Cela inclut 

• Gestion des risques: Vous devez procéder à des évaluations régulières et mettre en œuvre des contrôles de sécurité en conséquence. 
• Traitement des incidents: Notification des incidents importants aux autorités de réglementation dans les 24 heures et rapport complet dans les 72 heures. 
• Continuité des activités et réponse aux crises: Planification de la résilience, reprise après sinistre, sauvegardes et processus de communication de crise. 
• Sécurité de la chaîne d'approvisionnement: Vous êtes responsable non seulement de vos propres défenses, mais aussi de la gestion du risque cybernétique chez vos fournisseurs et prestataires de services. 
• Gouvernance et responsabilité: Le NIS2 introduit une responsabilité descendante. Les cadres supérieurs doivent approuver les stratégies cybernétiques et peuvent être tenus personnellement responsables des échecs. 

Les amendes administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Contrairement aux régimes précédents, la NIS2 permet également de sanctionner personnellement les dirigeants. Pour de nombreuses entreprises allemandes, en particulier dans le Mittelstand, c'est la première fois qu'elles sont concernées par la réglementation européenne en matière de cybersécurité. 

La situation actuelle en Allemagne 

Bien que le NIS2 soit en vigueur dans l'ensemble de l'UE, l'Allemagne n'a pas encore adopté sa loi de mise en œuvre nationale. 

Le plan initial prévoyait de transposer le NIS2 dans le droit national par le biais de la "loi sur la mise en œuvre du NIS2 et le renforcement de la cybersécurité" pour le début de l'année 2025. Un projet de loi avait été approuvé par le gouvernement précédent. Mais la dissolution du Bundestag fin 2024, suivie de nouvelles élections, a mis en pause le processus législatif. 

Aujourd'hui, sous la nouvelle coalition, tout le processus doit être recommencé. La loi allemande de mise en œuvre du NIS 2 a été adoptée par le cabinet le 30 juillet, mais, conformément à la procédure parlementaire, le projet de loi doit être à nouveau soumis, examiné et débattu. Dans le meilleur des cas, la nouvelle loi nationale devrait être adoptée à la fin de 2025, mais elle pourrait ne pas entrer en vigueur avant 2026.  

Ce retard a incité la Commission européenne à envoyer des rappels officiels aux États membres qui n'ont pas encore achevé la transposition. Bien qu'aucun délai de grâce officiel n'ait été indiqué, les délais d'application dépendront en fin de compte de la loi d'application allemande définitive. Ce qui est plus préoccupant, c'est qu'il n'y a aucun signe d'un délai de grâce. Une fois la loi adoptée, les entreprises devront s'y conformer immédiatement. Il n'y aura pas de démarrage progressif ni de mise en œuvre progressive, comme cela a été le cas dans d'autres États membres de l'UE.  

En pratique, cela signifie que les entreprises allemandes doivent agir maintenant, avant que la loi n'arrive. En effet, dès qu'elle arrivera, le compte à rebours de la mise en conformité et des amendes sera déjà lancé. 

Ce que font les autres pays et pourquoi l'Allemagne devrait en tenir compte 

Alors que l'Allemagne est à la traîne, plusieurs pays voisins de l'UE ont déjà publié des plans de mise en œuvre du NIS2 et commencé à travailler avec l'industrie pour se préparer. Leurs progrès nous donnent un aperçu utile de ce qui nous attend et illustrent pourquoi les entreprises allemandes ne devraient pas attendre.  

Autriche : Retards, mais transparence 

L'Autriche a publié un projet de loi révisé et lancé des processus de consultation après des retards politiques. Les autorités ont fourni des orientations sectorielles préliminaires afin d'aider les organisations à entamer leurs évaluations préparatoires. 

Pays-Bas : Des délais clairs et un démarrage précoce 

Les Pays-Bas ont rapidement progressé en publiant des projets de consultation et en définissant des calendriers d'application, offrant ainsi aux entreprises des orientations réglementaires avant la mise en œuvre officielle. 

Les régulateurs néerlandais ont publié des orientations préliminaires qui aident les entreprises à évaluer leurs risques, à harmoniser leur gouvernance et à tester les protocoles de réponse aux incidents bien avant l'entrée en vigueur de la loi. 

France : Aller plus loin, plus vite 

La France a intégré la directive NIS2 dans un cadre national plus large en matière de résilience, parallèlement aux directives européennes connexes, en mettant l'accent sur la protection des infrastructures critiques et la planification de la continuité.

Au printemps 2025, la loi était déjà en cours de finalisation au Parlement. Le modèle français met l'accent sur les infrastructures critiques, les plans de continuité et la coordination nationale. Il est important de noter que la France étend également les obligations de type NIS2 au-delà du minimum européen, en incluant certaines municipalités et institutions de recherche. 

Comment les entreprises allemandes peuvent-elles agir maintenant ? 

Alors que la législation nationale allemande est en retard, la directive européenne est en vigueur, et le fait d'attendre que la législation finale soit adoptée vous expose à des amendes potentielles. Voici ce que les entreprises allemandes (en particulier celles qui opèrent dans des secteurs réglementés) doivent faire dès maintenant : 

1. Déterminer si vous êtes dans le champ d'application 

Commencez par les bases : comme critère de sélection initial, les organisations comptant 50 employés ou plus et opérant dans les secteurs énumérés à l'annexe I ou II de la directive NIS2 doivent supposer une applicabilité potentielle. Même si vous êtes un fournisseur d'une entité concernée, vous pouvez être indirectement touché. Commencez dès maintenant à cartographier vos fonctions commerciales, vos dépendances et vos classifications sectorielles. Les régulateurs autrichiens et néerlandais travaillent avec les entreprises sur la base de projets. Vous pouvez en faire autant. 

2. Effectuer une analyse des lacunes 

La norme NIS2 exige une approche documentée et fondée sur les risques en matière de gestion de la cybersécurité. Les organisations doivent systématiquement comparer les contrôles existants aux exigences de la directive, notamment les procédures de signalement des incidents, la sécurité de la chaîne d'approvisionnement, les structures de gouvernance et la planification de la continuité des activités. 

3. Renforcer la sensibilisation du personnel 

La NIS2 fait de la cybersécurité une responsabilité de haut en bas. Les dirigeants doivent comprendre leurs obligations et s'approprier la cyberstratégie. Il est temps d'informer les conseils d'administration, de former les chefs de service et d'organiser des ateliers de sensibilisation dans l'ensemble de l'entreprise. La formation doit être adaptée, car les différents rôles sont exposés à des risques différents. Le signalement des incidents, l'identification des hameçonnages et le traitement sécurisé des données sensibles sont l'affaire de tous. 

4. Faire appel à un soutien extérieur si nécessaire 

Toutes les entreprises ne disposent pas des ressources internes nécessaires pour répondre aux exigences de la directive NIS2. Des partenaires externes spécialisés dans le conseil ou la gestion de la sécurité peuvent fournir un soutien structuré pour réaliser des évaluations, renforcer les capacités de surveillance et aligner la documentation sur les attentes réglementaires. Qu'il s'agisse d'un fournisseur de services de sécurité gérés (MSSP) pour surveiller les menaces et répondre aux incidents, ou d'un cabinet de conseil pour guider la préparation à la conformité, il n'est pas nécessaire de réinventer la roue. 

Des outils comme le NIS2 Navigator - développé par Deutschland sicher im Netz e.V. et financé par le ministère allemand des affaires économiques - peuvent aider les entreprises à déterminer si elles sont concernées par la directive, à évaluer leur situation actuelle et à identifier les prochaines étapes. 

En outre, les chambres de commerce régionales (IHK), les associations sectorielles et le BSI (Office fédéral de la sécurité de l'information) proposent de plus en plus de conseils, de modèles et de listes de contrôle pour aider les PME en particulier à naviguer dans le NIS2. 

La préparation à la norme NIS2 doit être abordée comme une initiative structurée en matière de résilience plutôt que comme une simple liste de contrôle de conformité. Les organisations qui agissent rapidement peuvent harmoniser leur gouvernance en matière de cybersécurité, leur gestion des risques et leur continuité opérationnelle bien avant l'entrée en vigueur officielle de la norme.

Le retard législatif actuel ne réduit pas l'exposition aux cybermenaces et n'élimine pas non plus les obligations réglementaires futures. Les entreprises qui considèrent cette période comme un temps de préparation seront mieux positionnées lorsque la mise en application nationale deviendra effective. 

Agir maintenant pour éviter les amendes 

Le NIS2 est un texte législatif majeur qui reconnaît que dans notre monde numérique à haut risque, la résilience est essentielle (et si vous êtes dans le champ d'application, obligatoire).  

Certes, l'Allemagne a pris du retard dans la mise en œuvre de la directive, mais cela ne signifie pas que vous pouvez vous permettre de retarder les préparatifs. La directive européenne est contraignante. D'autres pays sont en train de bouger. Et surtout, les acteurs de la menace n'attendent pas, pas plus que vos concurrents. 

Getronics aide les entreprises allemandes en leur fournissant les outils et les conseils dont elles ont besoin pour aller de l'avant en toute confiance. Grâce à nos services managés et à nos conseils stratégiques, nous aidons les entreprises à transformer l'incertitude en clarté.Demandez à être rappelé pour discuter avec nous et découvrir comment nous pouvons vous aider.