SaaSFort 17 500 entreprises allemandes ont manqué la date limite d’inscription BSI NIS2 du 6 mars 2026. Sept semaines plus tard, le contrôle par le BSI est ouvert — et l’autorité de surveillance n’a pas besoin d’une violation de sécurité pour commencer à rédiger des amendes.
C’est là que la plupart des équipes de conformité ont mal calculé. Elles ont planifié des travaux de remédiation pour la date limite de pleine conformité d’octobre 2026. Elles n’ont pas planifié pour le délai d’application de 7 mois entre l’inscription (6 mars) et la pleine conformité (octobre). Ce délai est désormais 49 jours dans la réalité, et c’est précisément la période que le BSI allait toujours utiliser pour traiter son arriéré de non-inscrits.
Si vous faites partie des 17 500, voici ce qui est réellement sur la table.
Ce qui vient de se passer
Le BSIG (Bundesamt für Sicherheit in der Informationstechnik Gesetz) — la transposition allemande de NIS2 — a fixé le 6 mars 2026 comme date limite d’inscription pour les entités dans le périmètre. L’inscription est la partie la plus simple de la charge de conformité : les entités s’identifient elles-mêmes via le portail BSI MELDUNG, déclarent leur secteur, leur taille et leurs coordonnées. Aucune preuve de sécurité n’est requise à l’inscription.
Le périmètre a élargi la population réglementée allemande en cybersécurité d’environ 4 500 entités sous l’ancien régime à environ 29 000 sous NIS2 — une expansion de 6× induite par la liste de secteurs plus large de la Directive (infrastructure numérique, services managés, poste/courrier, production alimentaire, fabrication de produits critiques, administration publique).
À la date limite, seulement ~11 500 des 29 000 s’étaient inscrits. Les ~17 500 restants — environ 60 % de la population dans le périmètre — ont manqué la date butoir. Sources : b2b-cyber-security.de, heise.de.
Position BSI : la date limite du 6 mars était ferme. Aucun délai de grâce n’a été annoncé. Les entreprises qui ne se sont pas inscrites au moment où le BSI initie une inspection sont traitées comme non conformes à l’obligation d’inscription, qui est indépendamment exécutoire.
Ce que le BSI peut faire maintenant
L’amende pour inscription manquée seule peut atteindre 500 000 € sous NIS2UmsuCG. Aucune violation n’est requise. Aucun incident n’est requis. Le déclencheur est simplement le fait d’être identifié comme dans le périmètre et non inscrit lors d’une inspection BSI.
| Action d’enforcement | Déclencheur | Exposition maximale |
|---|---|---|
| Amende pour défaut d’inscription | Entité dans le périmètre non inscrite à l’inspection | 500 000 € |
| Non-conformité aux mesures Art. 21 | Mesures de cybersécurité manquantes ou incomplètes | 10 M€ ou 2 % du CA mondial (essentielle) / 7 M€ ou 1,4 % (importante) |
| Défaillance de notification d’incident | Notification CSIRT de 24h ou 72h manquée | Idem ci-dessus |
| Interdiction de gestion (Art. 32(6)) | Non-conformité répétée ou grave | Suspension temporaire des fonctions de direction |
L’amende d’inscription de 500 000 € compte plus que le montant absolu ne le suggère. Les entreprises poursuivant des travaux de remédiation sur les mesures de l’Article 21 ne peuvent bénéficier d’aucun cadrage “nous y travaillons” si elles ne se sont pas inscrites. L’inscription est la passerelle — sans elle, votre plan de remédiation n’a pas de destinataire documenté ni de superviseur avec qui négocier les délais.
§38 BSIG : pourquoi les CEO devraient personnellement s’en préoccuper
La transposition allemande de NIS2 va plus loin que le minimum de la Directive sur un point spécifique : le §38 BSIG crée une responsabilité personnelle pour les dirigeants. L’obligation d’approuver, de superviser et de surveiller les mesures de gestion des risques de cybersécurité est non délégable. Un CEO ne peut pas désigner un CTO ou un CISO en disant “c’est leur domaine.” La charge juridique reste sur la personne en haut.
Trois obligations concrètes en vertu du §38 BSIG :
- Approbation : la direction doit formellement approuver les mesures de gestion des risques de cybersécurité (pas les entériner en bloc — les orientations BSI suggèrent un examen documenté des mesures réelles, pas seulement d’une politique de sécurité générale).
- Supervision : surveillance continue, pas une validation annuelle. Les superviseurs attendent des preuves de discussion sur la cybersécurité au niveau du conseil dans les procès-verbaux de réunion.
- Formation : formation obligatoire en cybersécurité tous les 3 ans pour la direction, avec des enregistrements détaillés (participants, contenu, références de formateur, durée). Les orientations BSI sont explicites : les simples attestations de présence ne suffisent pas.
Pour une analyse approfondie de ce que le §38 BSIG exige spécifiquement des dirigeants, consultez notre guide de responsabilité personnelle §38 BSIG.
Le chemin d’escalade va au-delà des amendes. L’Article 32(6) NIS2 — implémenté au §32 BSIG — permet aux superviseurs de suspendre temporairement les dirigeants de leurs fonctions de direction pour non-conformité répétée ou grave. Sources : analyse Greenberg Traurig, revue d’implémentation NIS2 Taylor Wessing.
Octobre 2026 : l’autre date limite qui compte
L’inscription était la moitié facile. La moitié plus difficile est la date limite de pleine conformité d’octobre 2026 pour les mesures Article 21(2) — les 10 mesures obligatoires de gestion des risques de cybersécurité.
Cela donne aux entreprises non inscrites environ six mois pour :
- S’inscrire auprès du BSI (immédiatement, rétroactivement).
- Implémenter les mesures Article 21 (analyse de risque, gestion des incidents, sécurité de la chaîne d’approvisionnement, gestion des vulnérabilités, cryptographie, MFA, formation, continuité d’activité).
- Documenter les preuves (le superviseur les demandera lors des inspections).
- Former la direction (enregistrements §38 BSIG).
Six mois est suffisant si les travaux commencent maintenant. Ce n’est pas suffisant pour les entreprises qui attendent jusqu’en septembre. La base de preuves Article 21 pour une entité de marché intermédiaire de 50 à 250 personnes nécessite typiquement 8 à 12 semaines de travail focalisé plus un scan externe contractuel pour produire une documentation prête pour les auditeurs.
Pour une approche structurée, consultez notre guide de préparation à l’audit NIS2 ou la checklist NIS2 en 10 étapes pour les KMU.
Comment évaluer votre exposition en 60 secondes
La méthode la plus rapide est la validation de posture externe — la partie que la plupart des équipes sautent. L’Article 21(2)(a) exige une analyse de risque documentée. L’Article 21(2)(h) exige la cryptographie. Les Articles 21(2)(i,j) exigent le contrôle d’accès et le MFA. L’Article 21(2)(e) exige la gestion des vulnérabilités.
Ces quatre éléments ont des composantes vérifiables de l’extérieur — configuration TLS, en-têtes de sécurité, application DMARC, panneaux d’administration exposés, CVE de bibliothèques JavaScript. Les superviseurs les vérifieront. Tout comme les équipes d’achat de vos clients enterprise.
Un scan SaaSFort couvre 66 vérifications déterministes dans 25 catégories en moins de 60 secondes. Chaque constat se mappe à la mesure Article 21(2) spécifique. La sortie est un PDF de conformité NIS2 téléchargeable que vous pouvez joindre à votre dossier d’audit.
→ Lancez un scan gratuit maintenant — sans inscription, sans carte bancaire.
Si vous créez un compte, vous recevez automatiquement un essai Growth de 14 jours : 50 scans/mois, surveillance multi-domaines, export NIS2 PDF complet. L’essai vous permet de scanner staging, production et sous-domaines orientés clients en parallèle — exactement la surface que les auditeurs et les équipes d’achat testent indépendamment.
Pour un point de départ plus structuré, le modèle Excel d’auto-audit NIS2 Article 21 couvre les 10 mesures dans un seul tableur — colonnes statut, priorité, responsable, échéance, et un pourcentage de préparation calculé automatiquement. Téléchargement gratuit, limité par email.
Que faire cette semaine
Actions concrètes, dans l’ordre :
- Inscrivez-vous auprès du BSI aujourd’hui (si non inscrit). Le portail est sur le site BSI MELDUNG. Documentez votre date d’inscription — cela devient la preuve que vous avez remédié au défaut d’inscription dès que possible.
- Lancez un scan externe. Établissez votre note de référence. Si elle est inférieure à B, les parties vérifiables de l’Article 21 nécessitent des travaux.
- Informez la direction en vertu du §38 BSIG. La responsabilité personnelle est non délégable ; la prise de conscience est la première étape documentée. Enregistrez le briefing.
- Inventoriez votre chaîne d’approvisionnement. L’Article 21(2)(d) l’exige. Les fournisseurs critiques en premier — processeur de paiement, fournisseur cloud, fournisseur d’identité.
- Documentez la réponse aux incidents. Le délai d’alerte précoce de 24h + rapport complet de 72h doit être écrit avant un incident, pas improvisé pendant. Consultez notre guide de configuration du rapport d’incident NIS2 — et téléchargez le bundle NIS2 Article 23 de préparation aux incidents (modèle BSI + 3 scénarios tabletop) pour vous entraîner avant que le BSI frappe à votre porte. Le bundle complet (modèles 24h/72h/1 mois, horloge de sensibilisation, journal de communications, carte de champs) : téléchargement depuis la page de préparation.
FAQ
Mon entreprise opère depuis la date limite sans problèmes. Sommes-nous en sécurité ?
Non. Opérer sans inspection BSI n’est pas la même chose que d’être conforme. Le BSI traite des séquences d’inspection, pas des visites aléatoires. L’exposition à l’amende d’inscription de 500 000 € persiste jusqu’à ce que vous vous inscriviez. Aucune prescription n’a été annoncée pour la date limite du 6 mars.
Et si je conteste que NIS2 s’applique à mon entreprise ?
L’auto-classification est votre décision jusqu’à ce que le BSI la conteste. La voie prudente : inscrivez-vous dans la catégorie la plus large si vous êtes incertain. L’inscription ne déclenche pas d’audit Article 21 immédiat — elle vous place simplement dans le registre BSI. Le retrait est possible si la classification s’avère hors périmètre ultérieurement. La pénalité pour une non-inscription incorrecte est bien supérieure au coût d’inscription et de preuve ultérieure hors périmètre.
Le §38 BSIG s’applique-t-il également aux dirigeants de petites entreprises ?
Oui. Le §38 BSIG s’applique aux dirigeants de toute entité dans le périmètre quelle que soit sa taille, à condition que l’entité elle-même réponde aux seuils NIS2. Il n’y a pas d’exemption PME de la responsabilité personnelle. Le seuil de 50 salariés / 10 M€ s’applique à la détermination du périmètre, pas à l’allocation de responsabilité au sein de l’entité concernée.
Combien coûtera l’inscription ?
L’inscription elle-même est gratuite. Le coût est la préparation : votre contact NIS2 désigné doit être identifié, la classification sectorielle déterminée, les coordonnées validées. Investissement de temps réaliste : 2 à 4 heures incluant l’alignement interne. Le coût se concentre dans les travaux de mise en œuvre Article 21, pas dans l’inscription — typiquement 15 000 à 80 000 € de temps interne et d’évaluation externe pour une entité de marché intermédiaire.
Validez votre préparation NIS2. Lancez un scan gratuit — 66 vérifications sur SSL, en-têtes, DNS, OWASP et authentification email. Obtenez votre note A-F et un PDF de conformité NIS2 téléchargeable en moins de 60 secondes. Les nouveaux comptes bénéficient d’un essai Growth de 14 jours. Ou téléchargez le modèle d’auto-audit NIS2 Article 21 pour commencer votre revue interne cette semaine. Êtes-vous consultant NIS2/ISO 27001 ? Gagnez 30 % récurrents sur chaque client référé — consultez le Programme Partenaire Consultant.
De la lectura a la acción
Escanee su dominio gratis. Primeros resultados en menos de 10 segundos — sin registro.