La directive NIS2 en Allemagne : ce que le retard dans la mise en œuvre nationale implique pour les entreprises et pourquoi il est essentiel de s'y préparer

En Allemagne, toutefois, la transposition nationale dans la législation reste incomplète. Les changements politiques et les retards législatifs ont créé un climat d’incertitude pour les organisations susceptibles d’entrer dans le champ d’application de la réglementation. Bien que les délais de mise en œuvre ne soient pas encore fixés au niveau national, les obligations définies au niveau européen sont déjà connues.

Pour les entreprises allemandes, la question stratégique n’est pas de savoir si la directive NIS2 s’appliquera, mais dans quelle mesure elles seront prêtes lorsque sa mise en œuvre nationale deviendra obligatoire. Attendre que le cadre législatif soit entièrement clarifié peut sembler pratique, mais les préparatifs, fondés sur les exigences fondamentales de la directive, peuvent et doivent commencer dès maintenant.
 

Ce qu’exige la directive NIS 2 et à qui elle s’applique
La directive NIS initiale (2016) portait principalement sur les infrastructures critiques et les entreprises qui les gèrent, telles que les grands acteurs des secteurs de l’énergie, des transports, de la banque et de la santé. Mais la directive NIS 2 élargit considérablement son champ d’application.  

Cette fois-ci, ce ne sont pas seulement les grandes entreprises qui doivent se mobiliser. Cela concerne toutes les organisations qui fournissent des services essentiels à l'économie ou à la société, et cela inclut de nombreuses petites et moyennes entreprises.

En définitive, la directive NIS 2 s'applique à deux catégories d'entreprises :

• Les entités essentielles, telles que les grandes entreprises des secteurs critiques comme l’énergie, la santé, les transports et les infrastructures numériques. Ces entreprises comptent généralement plus de 250 salariés ou réalisent un chiffre d’affaires supérieur à 50 millions d’euros.  
• Des entités importantes, telles que les entreprises de taille intermédiaire dans des secteurs comme la fabrication de produits essentiels, la production alimentaire, les services postaux, l’industrie chimique et les services numériques. Ces entreprises comptent généralement plus de 50 salariés ou réalisent un chiffre d’affaires supérieur à 10 millions d’euros.  
   

Les seuils de taille indiqués ci-dessus ne constituent qu’une indication générale. La classification définitive dépend de critères propres à chaque secteur, de la structure organisationnelle et, dans certains cas, de l’importance stratégique. Une entité peut être désignée comme essentielle ou importante même si elle se situe en dessous des seuils de taille, dès lors qu’elle fournit un service d’une importance cruciale et unique. Les seuils spécifiques peuvent varier selon les secteurs et doivent être déterminés en fonction de la taille de l’organisation et du secteur dans lequel elle opère. Une entité peut néanmoins être considérée comme « essentielle » ou « importante » même si elle ne répond pas aux critères de taille, dans des cas spécifiques, par exemple lorsqu’elle est le seul prestataire d’un service crucial pour l’activité sociétale ou économique.  

Alors, quelles sont les attentes ?
La norme NIS2 impose aux entreprises concernées de mettre en œuvre des pratiques de sécurité fondées sur les risques dans l'ensemble de leurs activités. Cela comprend :

• Gestion des risques : vous devez procéder à des évaluations régulières et mettre en œuvre les mesures de sécurité qui s'imposent. 
• Gestion des incidents : cela comprend la notification des incidents majeurs aux autorités de régulation dans les 24 heures, ainsi que la remise d'un rapport complet dans les 72 heures. 
• Continuité des activités et gestion de crise: planification de la résilience, reprise après sinistre, sauvegardes et processus de communication de crise. 
• Sécurité de la chaîne d'approvisionnement : vous êtes responsable non seulement de vos propres mesures de protection, mais aussi de la gestion des risques cybernétiques chez vos fournisseurs et prestataires de services. 
• Gouvernance et responsabilité : la directive NIS 2 instaure un système de responsabilité descendant. La direction doit approuver les stratégies de cybersécurité et peut être tenue personnellement responsable en cas d'échec. 
   

Les amendes administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Contrairement aux régimes précédents, la directive NIS 2 permet également de sanctionner personnellement les dirigeants. Pour de nombreuses entreprises allemandes, en particulier celles du Mittelstand, c’est la première fois qu’elles sont concernées par la réglementation européenne en matière de cybersécurité.

La situation actuelle en Allemagne
Bien que la directive NIS2 soit en vigueur dans toute l'Union européenne, l'Allemagne n'a pas encore adopté sa loi nationale de transposition.

Le projet initial prévoyait de transposer la directive NIS2 dans le droit national par le biais de la « loi relative à la mise en œuvre de la directive NIS2 et au renforcement de la cybersécurité » d’ici début 2025. Un projet de loi avait été approuvé par le gouvernement précédent. Mais la dissolution du Bundestag fin 2024, suivie de nouvelles élections, a mis le processus législatif en suspens.

Désormais, sous la nouvelle coalition, tout le processus doit repartir de zéro. La loi allemande de transposition de la directive NIS 2 a été adoptée par le Conseil des ministres le 30 juillet, mais, conformément à la procédure parlementaire, le projet de loi doit être présenté à nouveau, examiné et débattu une nouvelle fois. Dans le meilleur des cas, une nouvelle loi nationale pourrait voir le jour d’ici fin 2025, mais son entrée en vigueur pourrait ne pas intervenir avant 2026.  

Ce retard a conduit la Commission européenne à adresser des rappels officiels aux États membres qui n’ont pas encore achevé la transposition. Bien qu’ aucun délai de grâce officiel n’ait été indiqué, les délais d’application dépendront en fin de compte de la loi d’application finale adoptée par l’Allemagne. Ce qui est plus préoccupant, c’est qu’il n’y a aucun signe laissant présager un délai de grâce. Une fois la loi adoptée, les entreprises devront s’y conformer immédiatement. Il n’y aura ni phase de démarrage progressif ni mise en œuvre progressive, comme cela a été le cas dans d’autres États membres de l’UE.  

Concrètement, cela signifie que les entreprises allemandes doivent agir dès maintenant, avant l'entrée en vigueur de la loi. Car une fois celle-ci en vigueur, le compte à rebours pour la mise en conformité et les amendes aura déjà commencé.

Ce que font les autres pays, et pourquoi l'Allemagne devrait en prendre bonne note
Alors que l'Allemagne est à la traîne, plusieurs pays voisins de l'UE ont déjà publié leurs plans de mise en œuvre de la directive NIS2 et ont commencé à collaborer avec le secteur privé pour s'y préparer. Leurs progrès offrent un aperçu utile de ce qui nous attend et montrent pourquoi les entreprises allemandes ne devraient pas attendre.  

Autriche : des retards, mais de la transparence
L'Autriche a publié un projet de loi révisé et lancé des processus de consultation après des retards d'ordre politique. Les autorités ont fourni des orientations sectorielles préliminaires afin d'aider les organisations à entamer leurs évaluations préparatoires.

Pays-Bas : des délais clairs et un démarrage précoce
Les Pays-Bas ont pris les devants en publiant des projets de consultation et en fixant des délais cibles pour la mise en œuvre, offrant ainsi aux entreprises des orientations réglementaires avant même l'entrée en vigueur officielle de la réglementation.

Il est essentiel de noter que les autorités de régulation néerlandaises ont publié des lignes directrices préliminaires, aidant ainsi les entreprises à évaluer leurs risques, à adapter leur gouvernance et à tester leurs protocoles d'intervention en cas d'incident bien avant l'entrée en vigueur de la loi.

France : aller plus loin, plus vite
La France a intégré la directive NIS2 dans un cadre national plus large de résilience, parallèlement aux directives européennes connexes, en mettant l'accent sur la protection des infrastructures critiques et la planification de la continuité des activités.

Au printemps 2025, la loi était déjà en phase de finalisation au Parlement. Le modèle français met particulièrement l’accent sur les infrastructures critiques, la planification de la continuité des activités et la coordination nationale. Il est important de noter que la France étend également les obligations de type NIS2 au-delà des exigences minimales de l’UE, en incluant notamment certaines communes et certains établissements de recherche.

Comment les entreprises allemandes peuvent agir dès maintenant
Bien que la transposition de la directive européenne en droit national allemand prenne du retard, la directive européenne est déjà en vigueur, et attendre l’adoption de la législation définitive vous expose à des amendes potentielles. Voici ce que les entreprises allemandes (en particulier celles opérant dans des secteurs réglementés) devraient faire dès maintenant :

1. Déterminez si vous êtes concerné
Commencez par les bases : à titre de critère de sélection initial, les organisations comptant au moins 50 salariés et opérant dans les secteurs énumérés aux annexes I ou II de la directive NIS2 doivent partir du principe qu’elles sont potentiellement concernées. Même si vous êtes simplement fournisseur d’une entité concernée, vous pourriez être indirectement affecté. Commencez dès maintenant à recenser vos fonctions métier, vos dépendances et vos classifications sectorielles. Les autorités de régulation en Autriche et aux Pays-Bas collaborent avec les entreprises sur la base de projets de texte. Vous pouvez en faire autant.

2. Réaliser une analyse des écarts
La directive NIS 2 impose une approche de gestion de la cybersécurité documentée et fondée sur les risques. Les organisations doivent comparer systématiquement les contrôles existants aux exigences de la directive, notamment en ce qui concerne les procédures de signalement des incidents, la sécurité de la chaîne d'approvisionnement, les structures de gouvernance et la planification de la continuité des activités.

3. Renforcer la sensibilisation du personnel
La norme NIS2 fait de la cybersécurité une responsabilité qui part du sommet vers la base. Les dirigeants doivent comprendre leurs obligations et s’approprier la stratégie de cybersécurité. Il est temps d’informer les conseils d’administration, de former les chefs de service et d’organiser des ateliers de sensibilisation à tous les niveaux de l’entreprise. Les formations doivent être adaptées, car les différents postes sont exposés à des risques variés. Le signalement des incidents, l’identification des tentatives d’hameçonnage et le traitement sécurisé des données sensibles relèvent de la responsabilité de chacun.

4. Faire appel à une aide externe si nécessaire
Toutes les entreprises ne disposent pas des ressources internes nécessaires pour répondre aux exigences de la directive NIS2. Des partenaires externes, qu’il s’agisse de consultants ou de prestataires de services de sécurité gérés, peuvent apporter un soutien structuré pour mener des évaluations, renforcer les capacités de surveillance et aligner la documentation sur les attentes réglementaires. Qu’il s’agisse d’un prestataire de services de sécurité gérés (MSSP) chargé de surveiller les menaces et de réagir aux incidents, ou d’un cabinet de conseil pour accompagner la préparation à la mise en conformité, il n’est pas nécessaire de réinventer la roue.

Des outils tels que le NIS2 Navigator – développé par l'association « Deutschland sicher im Netz e.V. » et financé par le ministère allemand de l'Économie – peuvent aider les entreprises à déterminer si elles sont concernées par la directive, à évaluer leur situation actuelle et à définir les prochaines étapes.

Par ailleurs, les chambres de commerce régionales (IHK), les associations sectorielles et le BSI (Office fédéral de la sécurité de l'information) proposent de plus en plus souvent des conseils, des modèles et des listes de contrôle destinés à aider notamment les PME à s'adapter à la directive NIS2.

La préparation à la directive NIS2 doit être abordée comme une initiative structurée en matière de résilience plutôt que comme une simple liste de contrôle de conformité. Les organisations qui agissent dès maintenant peuvent harmoniser leur gouvernance en matière de cybersécurité, leur gestion des risques et leur continuité opérationnelle bien avant l’entrée en vigueur officielle de la directive.

Le report actuel de la mise en œuvre de la législation ne réduit en rien l'exposition aux cybermenaces — et n'élimine pas non plus les futures obligations réglementaires. Les entreprises qui considéreront cette période comme un temps de préparation seront mieux préparées lorsque la mise en application de la réglementation au niveau national entrera en vigueur.

Agissez dès maintenant pour éviter les amendes
La loi NIS2 est un texte législatif majeur qui reconnaît que, dans notre monde numérique à haut risque, la résilience est essentielle (et, si vous relevez de son champ d'application, obligatoire).  

Certes, l'Allemagne tarde à mettre en œuvre cette directive, mais cela ne signifie pas pour autant que vous pouvez vous permettre de retarder vos préparatifs. La directive européenne est contraignante. D'autres pays passent déjà à l'action. Et surtout, les cybercriminels n'attendent pas, pas plus que vos concurrents.

Getronics accompagne les entreprises dans toute l'Allemagne en leur fournissant les outils et les conseils dont elles ont besoin pour aller de l'avant en toute confiance. Grâce à nos services gérés et à nos conseils stratégiques, nous aidons les entreprises à transformer l'incertitude en certitude. Demandez à être rappelé pour entamer un échange avec nous et découvrir comment nous pouvons vous aider.