Cybersecurity

Votre devoir de cybersécurité devient personnel

La loi allemande NIS2 rend la direction personnellement responsable de la cybersécurité, fixe un délai d'enregistrement strict et confère au BSI des pouvoirs d'audit et de sanction. Ce que les dirigeants doivent faire dès maintenant.

Par Leon Soliman · 2026-06-30 · 3 min de lecture

Points clés

La loi allemande de transposition de NIS2 s'applique depuis décembre 2025 et lie désormais environ 29 500 entreprises réparties sur 18 secteurs critiques, dont beaucoup ne s'étaient jamais perçues comme régulées.
Votre organe de direction doit approuver et superviser personnellement les mesures de cybersécurité. Ce devoir ne peut être délégué à un prestataire informatique ni à un seul responsable.
Près de la moitié des entreprises concernées ont manqué le délai d'enregistrement de mars. Le BSI a fixé une échéance finale au 31 juillet 2026 et a commencé à examiner les premières sanctions.
Les amendes atteignent 10 millions d'euros ou 2 pour cent du chiffre d'affaires mondial pour les entités les plus critiques, et le seul défaut d'enregistrement peut coûter jusqu'à 500 000 euros.

Pourquoi cette loi va plus loin que vous ne le pensez

La loi de transposition de NIS2 s'applique en Allemagne depuis décembre 2025, et elle ne touche pas seulement les centrales électriques et les banques. Elle englobe environ 29 500 entreprises réparties sur 18 secteurs, de la logistique et de la production alimentaire à la construction de machines, à la gestion des déchets et aux services numériques. Le seuil est bas. Une entreprise de 50 salariés ou plus, ou réalisant 10 millions d'euros de chiffre d'affaires, dans l'un de ces secteurs, est concernée par défaut.

La plupart des dirigeants du Mittelstand n'ont jamais considéré leur activité comme une infrastructure critique. La loi ne demande pas cette perception de soi. Elle regarde le secteur et la taille, vous classe comme entité importante ou particulièrement importante, et y attache des obligations de sécurité contraignantes qui n'existaient pas il y a un an.

Le devoir qui retombe personnellement sur le dirigeant

Le changement le plus tranchant porte sur qui porte le devoir. En vertu de la nouvelle loi allemande, l'organe de direction doit approuver les mesures de gestion du risque cyber et veiller à ce qu'elles soient réellement en place. Ce n'est pas une tâche que vous pouvez confier à un prestataire informatique puis oublier. Lorsque la direction agit avec une négligence grave ou de manière intentionnelle, la loi autorise des amendes contre les personnes physiques et, dans les cas graves, une interdiction temporaire d'exercer une fonction de direction.

Pour une entreprise dirigée par son propriétaire, c'est la partie qui compte. La personne qui signe pour l'entreprise signe désormais pour sa posture cyber. Un contrat d'externalisation bien rédigé ne déplace pas la responsabilité hors de la direction. Il change seulement la personne que vous appelez quand quelque chose tourne mal, et à ce moment-là le devoir a déjà été mis à l'épreuve.

La liste d'enregistrement dont personne ne vous a parlé

Être bien défendu ne suffit pas à soi seul. Les entreprises concernées doivent s'enregistrer auprès de l'Office fédéral de la sécurité informatique, le BSI, et se faire identifier. Le délai légal était fixé à mars 2026, et à cette date seules environ 11 500 des quelque 29 500 entreprises l'avaient fait. Plus de la moitié manquaient à la liste.

Le BSI a accordé un report final au 31 juillet 2026 et a indiqué qu'il examinerait les premières sanctions après cet été. Le défaut d'enregistrement constitue en lui-même une infraction passible d'amende, jusqu'à 500 000 euros, distincte de toute violation. Le risque silencieux n'est pas une cyberattaque. C'est d'être une entreprise que le régulateur ne trouve pas sur une liste qu'il contrôle désormais activement.

Ce qu'il faut enclencher ce trimestre

Trois étapes portent l'essentiel du poids. Confirmez si votre entreprise entre dans le champ d'application, car le test du secteur et de la taille est mécanique et facile à mal interpréter. Enregistrez-vous auprès du BSI avant l'échéance de juillet si vous êtes concernés. Présentez ensuite à votre organe de direction un processus de gestion du risque documenté, afin que le devoir d'approbation et de supervision soit rempli et consigné, et non supposé.

Rien de tout cela n'exige un grand service de sécurité. Cela exige une lecture claire de votre situation, la preuve que la direction a examiné le risque, et un dossier que vous pouvez présenter si le régulateur le demande. Les entreprises en difficulté seront celles qui auront traité une loi nationale sur la cybersécurité comme une note de bas de page informatique.

Questions fréquentes

NIS2 s'applique-t-il à mon entreprise si nous ne sommes ni un opérateur d'énergie ni une banque?

Très probablement. La loi couvre 18 secteurs, dont la logistique, l'alimentaire, l'industrie manufacturière, les déchets et les services numériques, et s'applique à toute entreprise de ces secteurs comptant 50 salariés ou plus ou réalisant 10 millions d'euros de chiffre d'affaires. De nombreuses entreprises du Mittelstand sont concernées sans le savoir.

Puis-je déléguer ce devoir à mon prestataire informatique?

Non. Vous pouvez externaliser le travail technique, mais la loi allemande place le devoir d'approuver et de superviser les mesures de cybersécurité sur l'organe de direction lui-même. La responsabilité, et la responsabilité personnelle, restent du côté de la direction.

Quel est le risque immédiat si nous ne nous sommes pas enregistrés?

Le défaut d'enregistrement auprès du BSI constitue une infraction distincte passible d'une amende pouvant atteindre 500 000 euros, et le délai final est fixé au 31 juillet 2026. Après cette date, le BSI a annoncé qu'il examinerait des sanctions, en commençant par les défauts d'enregistrement manifestes.

Une loi qui nomme votre organe de direction par sa fonction n'attend pas un incident pour devenir réelle. Le devoir est déjà en vigueur, et la seule question ouverte est de savoir si vos preuves le sont aussi.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Plus dans le Servola Journal

Cybersecurity

Votre matériel est désormais un logiciel réglementé

2026-06-28 · 3 min de lecture

Lire l'article →

Cybersecurity

Votre cyberdéfense est-elle prête face aux attaques à la vitesse de la machine ?

2026-06-23 · 2 min de lecture

Lire l'article →

AI Regulation

L'Allemagne dispose désormais d'une autorité de régulation de l'IA désignée

2026-06-29 · 3 min de lecture

Lire l'article →

Servola

Servola aide les dirigeants et les conseils du Mittelstand à lire où NIS2 les situe et à bâtir la gouvernance que la loi exige désormais.

Demander une mise en relation privée À propos de Servola →

Servola est un conseil technologique pour un petit nombre de familles et de family offices. Lorsqu'une décision ne peut pas être déléguée, nous siégeons de votre côté de la table.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Tous les articles