NIS2 en Allemagne : Ce que le retard dans la mise en œuvre nationale signifie pour les entreprises et pourquoi la préparation est essentielle

La directive actualisée de l'Union européenne sur la cybersécurité, NIS2, est officiellement entrée en vigueur en octobre 2024. Son objectif est simple dans son principe, mais d'une portée considérable dans la pratique : relever le niveau de base de la cyber-résilience dans les secteurs critiques, élargir le nombre d'entreprises couvertes et faire appliquer la directive avec fermeté. 

Mais en Allemagne, la mise en œuvre effective dans la législation nationale est toujours en suspens. Les transitions politiques et les retards législatifs ont laissé les entreprises dans l'incertitude. En septembre 2025, il n'y avait toujours pas de loi définitive en place, ni de registre des entités "essentielles" ou "importantes", ni de calendrier d'application publié. 

Cette situation a engendré une certaine confusion au sein des entreprises. De nombreux décideurs ne savent tout simplement pas ce qu'ils doivent faire en réponse au NIS2, quand ils doivent le faire et, surtout, si le NIS2 s'applique à eux.  

Une étude réalisée par Bitkom pour l'année 2024 a révélé que 66 % des entreprises allemandes se sentent mal préparées pour le NIS2. Et s'il peut être tentant d'attendre la clarté de Berlin, c'est une stratégie risquée. En effet, une fois que l'Allemagne aura rattrapé son retard (et elle devra le faire), la conformité sera obligatoire et les sanctions seront importantes. 

Le moment est venu d'agir. Les fondements de NIS2 sont connus. Vos concurrents dans d'autres pays sont déjà en train de s'adapter. Il n'y a aucun avantage à attendre, mais il y a un risque réel et crédible à rester immobile. 

Ce qu'exige le NIS2 et à qui il s'applique 

La directive NIS initiale (2016) était axée sur les infrastructures critiques et les entreprises qui en sont à l'origine, telles que les grands acteurs des secteurs de l'énergie, des transports, de la banque et de la santé. Mais la directive NIS2 élargit considérablement son champ d'application.  

Cette fois, ce ne sont pas seulement les grandes entreprises qui doivent se mobiliser. Il s'agit de toute organisation qui fournit des services essentiels à l'économie ou à la société, ce qui inclut de nombreuses petites et moyennes entreprises. 

En fin de compte, le NIS2 s'applique à deux niveaux d'entreprises : 

• Les entités essentielles, telles que les grandes entreprises des secteurs critiques comme l'énergie, la santé, les transports et l'infrastructure numérique. Ces entreprises comptent généralement plus de 250 employés ou réalisent un chiffre d'affaires supérieur à 50 millions d'euros.  

• Les entités importantes, telles que les entreprises de taille moyenne dans des secteurs comme la fabrication de produits critiques, la production alimentaire, les services postaux, les produits chimiques et les services numériques. Ces entreprises comptent généralement plus de 50 employés ou réalisent un chiffre d'affaires supérieur à 10 millions d'euros.  

Il est important de noter que les seuils ci-dessus sont des guides généraux. Les seuils spécifiques peuvent varier selon les secteurs et doivent être déterminés en fonction de la taille de l'organisation et du secteur dans lequel elle opère. Une entité peut être considérée comme "essentielle" ou "importante" même si elle ne remplit pas les critères de taille, dans des cas spécifiques, par exemple lorsqu'elle est le seul fournisseur d'un service critique pour l'activité sociétale ou économique.  

Quelles sont donc les attentes ? 

Le NIS2 exige des entreprises concernées qu'elles mettent en œuvre des pratiques de sécurité fondées sur le risque dans l'ensemble de leurs activités. Cela inclut 

• Gestion des risques: Vous devez procéder à des évaluations régulières et mettre en œuvre des contrôles de sécurité en conséquence. 
• Traitement des incidents: Notification des incidents importants aux autorités de réglementation dans les 24 heures et rapport complet dans les 72 heures. 
• Continuité des activités et réponse aux crises: Planification de la résilience, reprise après sinistre, sauvegardes et processus de communication de crise. 
• Sécurité de la chaîne d'approvisionnement: Vous êtes responsable non seulement de vos propres défenses, mais aussi de la gestion du risque cybernétique chez vos fournisseurs et prestataires de services. 
• Gouvernance et responsabilité: Le NIS2 introduit une responsabilité descendante. Les cadres supérieurs doivent approuver les stratégies cybernétiques et peuvent être tenus personnellement responsables des échecs. 

La non-conformité est assortie de sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Contrairement aux régimes précédents, le NIS2 permet également de sanctionner personnellement les dirigeants. Pour de nombreuses entreprises allemandes, en particulier celles de taille moyenne, c'est la première fois qu'elles sont soumises à une réglementation européenne en matière de cybercriminalité. 

La situation actuelle en Allemagne 

Bien que le NIS2 soit en vigueur dans l'ensemble de l'UE, l'Allemagne n'a pas encore adopté sa loi de mise en œuvre nationale. 

Le plan initial prévoyait de transposer le NIS2 dans le droit national par le biais de la "loi sur la mise en œuvre du NIS2 et le renforcement de la cybersécurité" pour le début de l'année 2025. Un projet de loi avait été approuvé par le gouvernement précédent. Mais la dissolution du Bundestag fin 2024, suivie de nouvelles élections, a mis en pause le processus législatif. 

Aujourd'hui, sous la nouvelle coalition, tout le processus doit être recommencé. La loi allemande de mise en œuvre du NIS 2 a été adoptée par le cabinet le 30 juillet, mais, conformément à la procédure parlementaire, le projet de loi doit être à nouveau soumis, examiné et débattu. Dans le meilleur des cas, la nouvelle loi nationale devrait être adoptée à la fin de 2025, mais elle pourrait ne pas entrer en vigueur avant 2026.  

Ce retard a été largement critiqué, la Commission européenne ayant même adressé des avertissements formels à l'Allemagne et à d'autres pays pour avoir manqué le délai de mise en œuvre. Ce qui est encore plus inquiétant, c'est qu'il n'y a aucun signe de période de grâce. Une fois la loi adoptée, les entreprises devront s'y conformer immédiatement. Il n'y aura pas de démarrage en douceur ou de mise en œuvre progressive, comme cela a été le cas dans d'autres États membres de l'UE.  

En pratique, cela signifie que les entreprises allemandes doivent agir maintenant, avant que la loi n'arrive. En effet, dès qu'elle arrivera, le compte à rebours de la mise en conformité et des amendes sera déjà lancé. 

Ce que font les autres pays et pourquoi l'Allemagne devrait en tenir compte 

Alors que l'Allemagne est à la traîne, plusieurs pays voisins de l'UE ont déjà publié des plans de mise en œuvre du NIS2 et commencé à travailler avec l'industrie pour se préparer. Leurs progrès nous donnent un aperçu utile de ce qui nous attend et illustrent pourquoi les entreprises allemandes ne devraient pas attendre.  

Autriche : Retards, mais transparence 

L'Autriche a également connu un blocage législatif en raison de remaniements politiques. Mais le nouveau gouvernement autrichien a déjà donné la priorité à la mise en œuvre du NIS2 et a publié un nouveau projet de loi pour consultation publique. Les autorités estiment qu'environ 30 000 entreprises autrichiennes seront concernées et ont commencé à publier des orientations sectorielles et des FAQ pour faciliter la mise en conformité.  

Pays-Bas : Des délais clairs et un démarrage précoce 

L'approche néerlandaise est largement considérée comme un modèle. La loi néerlandaise sur la cybersécurité, qui transpose la NIS2, a été soumise à consultation à la mi-2024. Une version finale a été soumise au Parlement au début de l'année 2025, avec un objectif clair de mise en application d'ici la fin de l'année. 

Les régulateurs néerlandais ont publié des orientations préliminaires qui aident les entreprises à évaluer leurs risques, à harmoniser leur gouvernance et à tester les protocoles de réponse aux incidents bien avant l'entrée en vigueur de la loi. 

France : Aller plus loin, plus vite 

La France a choisi une approche plus large et plus ambitieuse en intégrant le NIS2 dans une "loi de résilience nationale" complète qui comprend également la directive CER (sur les entités critiques) et la DORA pour le secteur financier. 

Au printemps 2025, la loi était déjà en cours de finalisation au Parlement. Le modèle français met l'accent sur les infrastructures critiques, les plans de continuité et la coordination nationale. Il est important de noter que la France étend également les obligations de type NIS2 au-delà du minimum européen, en incluant certaines municipalités et institutions de recherche. 

Comment les entreprises allemandes peuvent-elles agir maintenant ? 

Alors que la législation nationale allemande est en retard, la directive européenne est en vigueur, et le fait d'attendre que la législation finale soit adoptée vous expose à des amendes potentielles. Voici ce que les entreprises allemandes (en particulier celles qui opèrent dans des secteurs réglementés) doivent faire dès maintenant : 

1. Déterminer si vous êtes dans le champ d'application 

Commencez par l'essentiel : Si vous avez plus de 50 employés et que vous opérez dans un secteur listé dans le NIS2 (Annexes I et II), la réponse est probablement oui. Même si vous êtes un fournisseur d'une entité du champ d'application, vous pouvez être indirectement concerné. Commencez dès maintenant à cartographier vos fonctions commerciales, vos dépendances et vos classifications sectorielles. Les régulateurs autrichien et néerlandais travaillent avec des entreprises sur la base de projets. Vous pouvez faire de même. 

2. Effectuer une analyse des lacunes 

Le NIS2 exige une approche de la cyberdéfense documentée et basée sur les risques. Cela signifie des plans de réponse aux incidents, des politiques de sécurité, une gestion des vulnérabilités, des contrôles d'accès, une surveillance par des tiers, etc. Effectuez une analyse structurée des lacunes en comparant votre position actuelle aux exigences connues du NIS2. Identifiez ce qui manque et donnez la priorité aux risques et aux obligations légales les plus urgents. 

3. Renforcer la sensibilisation du personnel 

La NIS2 fait de la cybersécurité une responsabilité de haut en bas. Les dirigeants doivent comprendre leurs obligations et s'approprier la cyberstratégie. Il est temps d'informer les conseils d'administration, de former les chefs de service et d'organiser des ateliers de sensibilisation dans l'ensemble de l'entreprise. La formation doit être adaptée, car les différents rôles sont exposés à des risques différents. Le signalement des incidents, l'identification des hameçonnages et le traitement sécurisé des données sensibles sont l'affaire de tous. 

4. Faire appel à un soutien extérieur si nécessaire 

Toutes les entreprises ne disposent pas des ressources internes nécessaires pour répondre aux exigences du NIS2. C'est là que des partenaires externes peuvent les aider. Qu'il s'agisse d'un fournisseur de services de sécurité managés (MSSP) pour surveiller les menaces et répondre aux incidents, ou d'une société de conseil pour guider la préparation à la conformité, il n'est pas nécessaire de réinventer la roue. 

Des outils comme le NIS2 Navigator - développé par Deutschland sicher im Netz e.V. et financé par le ministère allemand des affaires économiques - peuvent aider les entreprises à déterminer si elles sont concernées par la directive, à évaluer leur situation actuelle et à identifier les prochaines étapes. 

En outre, les chambres de commerce régionales (IHK), les associations sectorielles et le BSI (Office fédéral de la sécurité de l'information) proposent de plus en plus de conseils, de modèles et de listes de contrôle pour aider les PME en particulier à naviguer dans le NIS2. 

Chez Getronics, notre rôle est d'aider à traduire ces cadres en actions. Nous aidons les entreprises à mettre en place des processus conformes, à renforcer la résilience et à intégrer la cybersécurité dans les opérations quotidiennes, étape par étape. 

Agir maintenant pour éviter les amendes 

Le NIS2 est un texte législatif majeur qui reconnaît que dans notre monde numérique à haut risque, la résilience est essentielle (et si vous êtes dans le champ d'application, obligatoire).  

Certes, l'Allemagne a pris du retard dans la mise en œuvre de la directive, mais cela ne signifie pas que vous pouvez vous permettre de retarder les préparatifs. La directive européenne est contraignante. D'autres pays sont en train de bouger. Et surtout, les acteurs de la menace n'attendent pas, pas plus que vos concurrents. 

Getronics aide les entreprises allemandes en leur fournissant les outils et les conseils dont elles ont besoin pour aller de l'avant en toute confiance. Grâce à nos services managés et à nos conseils stratégiques, nous aidons les entreprises à transformer l'incertitude en clarté.Demandez à être rappelé pour discuter avec nous et découvrir comment nous pouvons vous aider.