Sur la base des travaux de recherche du Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann

La question n'est plus de savoir si, mais quand : la loi de transposition de NIS 2 arrive – et sans périodes de transition. Tout directeur général ou membre du conseil d'administration qui pense que la cybersécurité reste l'affaire du service informatique se trompe lourdement et risque sa propre responsabilité personnelle.

La directive européenne NIS 2 (Network and Information Security 2, UE 2022/2555) exige des entreprises une approche fondamentalement différente de la sécurité informatique : la cybersécurité devient une tâche de direction ancrée dans la loi, assortie d'une responsabilité personnelle et de sanctions sévères. En Allemagne, la loi sur la mise en œuvre de NIS 2 et le renforcement de la cybersécurité (NIS2UmsuCG) transpose ces exigences – le projet de loi du cabinet a été transmis au Bundestag à l'automne 2025, et son adoption est attendue prochainement. Cet article explique concrètement ce que cela signifie.

Qu'est-ce que NIS 2 et qui est concerné ?

NIS 2 est la version révisée de la directive européenne sur la sécurité des réseaux et de l'information. Elle remplace la première directive NIS de 2016 et élargit considérablement son champ d'application. L'objectif est d'atteindre un niveau élevé et uniforme de cybersécurité à travers l'ensemble de l'UE.

La différence logicielle la plus importante par rapport à la version précédente est que NIS 2 concerne nettement plus d'entreprises qu'auparavant. Alors que l'ancien cadre était principalement conçu pour les opérateurs explicites d'infrastructures critiques (KRITIS), de nombreuses autres entreprises entrent désormais dans son champ d'application. Plusieurs dizaines de milliers d'entreprises en Allemagne relèveront à l'avenir de la nouvelle loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG) – y compris de nombreuses entités qui n'étaient pas réglementées jusqu'alors (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung – Regulatorische Grauzonen und nationale Umsetzung, Computer und Recht 2025, p. 718–725).

La loi distingue deux catégories. Les entités essentielles (essential entities) sont de grandes entreprises opérant dans des secteurs critiques tels que l'énergie, les transports, le secteur bancaire, la santé, l'approvisionnement en eau et les infrastructures numériques. Les entités importantes (important entities) sont des entreprises de taille moyenne opérant dans des secteurs élargis tels que la poste, la gestion des déchets, la chimie, l'alimentation, l'industrie manufacturière et les fournisseurs de services numériques.

La règle générale est la suivante : les entreprises de plus de 50 salariés ou réalisant un chiffre d'affaires annuel supérieur à 10 millions d'euros dans les secteurs mentionnés doivent de toute urgence vérifier si elles sont concernées. Le BSI propose à cet effet un outil de vérification en ligne. Il est également important de noter que les prestataires de services informatiques liés à un groupe, qui fournissent des services essentiels à des sociétés mères concernées, peuvent eux-mêmes entrer dans le champ d'application de la directive (Teichmann, Computer und Recht 2025, p. 718–725).

Le changement de paradigme : la cybersécurité est désormais l'affaire des dirigeants

Le principe fondamental de NIS 2 est le suivant : la direction de l'entreprise est personnellement responsable. Il ne s'agit pas d'une responsabilité que l'on peut déléguer au responsable informatique ou à un prestataire externe.

L'article 38 du projet de BSIG oblige explicitement les directions des entités essentielles et importantes à approuver et à surveiller les mesures techniques et organisationnelles de cybersécurité, à participer régulièrement à des formations en matière de sécurité informatique et à engager leur responsabilité personnelle en cas de manquement.

Teichmann souligne que cela ne représente pas une rupture fondamentale avec le droit existant, mais apporte une clarification et un durcissement décisifs : la cybersécurité est pour la première fois explicitement normée comme une tâche de direction (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, Betriebs-Berater 2026, p. 74–77). Ce qui n'était auparavant déductible que des règles générales de responsabilité des dirigeants, telles que l'article 43 de la GmbHG et l'article 93 de l'AktG, est désormais écrit noir sur blanc dans la loi. Le dirigeant qui néglige la mise en œuvre des mesures NIS 2 s'expose non seulement à des amendes pour l'entreprise, mais engage également sa responsabilité personnelle, l'entreprise pouvant se retourner contre lui (Teichmann, Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, p. 65–73).

Les cinq domaines d'obligations centraux

La gestion des risques est le premier domaine d'obligation fondamental. Les entreprises doivent prendre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité. Cela comprend des concepts d'analyse des risques et de sécurité de l'information, des mesures de gestion des incidents de sécurité, une gestion efficace de la continuité de l'activité avec des plans de sauvegarde et d'urgence, la sécurisation active de la chaîne d'approvisionnement, ainsi que des formations régulières et la sensibilisation des collaborateurs. Le critère retenu n'est pas une sécurité absolue, mais l'état de l'art technologique combiné à un rapport coût-bénéfice raisonnable. Le point de repère type est la norme ISO/CEI 27001 (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, p. 6–11).

Les obligations de notification constituent le deuxième domaine d'obligations et s'avèrent particulièrement exigeantes en pratique. NIS 2 introduit une obligation stricte de notification sous 24 heures en cas d'incident de sécurité important. Un incident est considéré comme important s'il a causé ou est susceptible de causer des perturbations opérationnelles majeures ou des pertes financières significatives. Le processus de notification comporte trois étapes : une alerte initiale doit être envoyée au BSI dans les 24 heures, une notification d'incident complète avec une première évaluation dans les 72 heures, et un rapport final doit être soumis sous un mois. Signaler un incident en retard ou omettre de le faire expose à de lourdes amendes. Les entreprises doivent donc disposer de processus internes efficaces de détection et d'escalade pour s'assurer que les incidents pertinents parviennent à temps au niveau décisionnel (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29 septembre 2025).

L'obligation de formation de la direction constitue la véritable nouveauté de NIS 2. Les membres du directoire et les directeurs généraux doivent régulièrement suivre des formations en cybersécurité. L'exposé des motifs de la loi précise que le terme « régulièrement » signifie au moins tous les trois ans. Le BSI recommande en outre d'adapter cette périodicité en fonction des risques – une formation anticipée s'impose en cas de changement de direction, d'évolution des processus métier ou d'augmentation du niveau de menace. Sur le fond, conformément aux directives du BSI du 30 septembre 2025, les formations doivent au moins couvrir les principes de base de NIS 2, les obligations personnelles de la direction, les méthodes d'identification et d'évaluation des risques, l'importance des mesures de protection techniques et organisationnelles ainsi que les conséquences juridiques en cas de manquement. Aucune expertise informatique approfondie n'est requise, mais une solide compréhension de ce que les cyberrisques impliquent pour l'entreprise et de la manière d'y faire face en tant que dirigeant est essentielle. Les formations doivent être documentées et présentées au BSI sur demande (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, p. 74–77).

La responsabilité de la chaîne d'approvisionnement est le quatrième domaine d'obligations et est souvent sous-estimée dans la pratique. NIS 2 exige des entreprises qu'elles gèrent activement la sécurité de l'ensemble de leur chaîne d'approvisionnement. Les prestataires de services, éditeurs de logiciels et autres tiers ayant accès aux systèmes informatiques doivent être inclus dans l'évaluation des risques. Les clauses contractuelles, les audits de sécurité et les exigences de sécurité concrètes imposées aux fournisseurs ne sont donc plus facultatifs, mais constituent une obligation légale (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, p. 251–265).

Les sanctions montrent clairement que le législateur ne plaisante pas. Les entités essentielles risquent des amendes allant jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial – le montant le plus élevé étant retenu. Pour les entités importantes, l'amende peut atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel. De plus, certaines lois nationales de transposition prévoient la possibilité d'une suspension temporaire de la direction. À cela s'ajoute la responsabilité civile personnelle des dirigeants envers leur propre entreprise (Teichmann, Strafbare Non-Compliance, CyberStR 2026, p. 65–73).

Pas de délai de transition : pourquoi il faut agir dès maintenant

Une idée reçue doit être dissipée : la loi de transposition de NIS 2 entrera en vigueur sans période de transition. Dès le lendemain de sa publication au Journal officiel fédéral (Bundesgesetzblatt), toutes les obligations s'appliqueront. Les dirigeants qui n'auront pris aucune mesure d'ici là s'exposeront immédiatement à des risques.

Teichmann avertit explicitement : les entreprises doivent se préparer dès à présent, car aucun délai de transition n'est prévu (Teichmann, Computer und Recht 2025, p. 718–725). Le retard pris dans le processus législatif – à l'origine, NIS 2 devait être transposée d'ici octobre 2024 – ne doit pas être perçu comme un signal de relâchement, mais comme un délai de préparation salvateur. Ceux qui mettent ce temps à profit bénéficieront d'une réelle longueur d'avance.

Ce qui s'applique déjà aujourd'hui : la responsabilité civile des dirigeants

Indépendamment de NIS 2, la règle suivante s'applique déjà aujourd'hui : les directeurs généraux et les membres de conseils d'administration qui négligent gravement la sécurité informatique commettent un manquement à leurs obligations en vertu de l'article 43 de la GmbHG ou de l'article 93 de l'AktG. La responsabilité générale de direction inclut le devoir de veiller à une gestion appropriée des risques, y compris les cyberrisques. Quiconque n'introduit pas de plan de réponse aux incidents malgré les signaux d'alarme, refuse les investissements de sécurité nécessaires ou ignore les normes de sécurité disponibles s'expose à un risque de responsabilité civile personnelle. Selon les mots de Teichmann : si la direction décide de ne pas mettre en place une gestion adéquate de la sécurité informatique, elle ne s'acquitterait pas de ses devoirs de manière diligente (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, p. 74–77).

NIS 2 précise et durcit cette responsabilité préexistante. Ainsi, se conformer dès à présent aux exigences de la directive permet non seulement de se prémunir contre les futures sanctions, mais également de remplir dès aujourd'hui ses obligations légales en tant que dirigeant d'entreprise.

Interactions avec d'autres réglementations

NIS 2 ne s'applique pas de manière isolée. Dans le secteur financier, les exigences de DORA (Digital Operational Resilience Act) s'appliquent depuis janvier 2025 et, en tant que législation plus spécifique, supplantent en grande partie les exigences de NIS 2. Les banques, compagnies d'assurance et entreprises d'investissement doivent utiliser DORA comme cadre de référence principal (Teichmann, Digital Operational Resilience Act – EU-weit einheitliche IT-Sicherheitsegeln für Finanzinstitute, BB 2025, p. 2760–2770). À partir de 2027, les fabricants de produits connectés devront également respecter les exigences du Cyber Resilience Act (CRA), qui érige la cybersécurité en caractéristique produit obligatoire (Teichmann, Cybersicherheit als Produkteigenschaft, NJW 2025, p. 2577–2582). De plus, étant donné que les violations de données personnelles s'accompagnent souvent de cyberincidents, les obligations de notification au titre de NIS 2 et du RGPD doivent être coordonnées – des déclarations parallèles au BSI et à l'autorité de protection des données sont possibles et doivent être anticipées.

Conclusion : la cybersécurité comme avantage stratégique

NIS 2 n'est pas un programme bureaucratique secondaire – il s'agit d'une transformation fondamentale de la responsabilité juridique des équipes dirigeantes concernant la cybersécurité. Le message issu des recherches approfondies de Teichmann est clair : attendre l'entrée en vigueur de la loi, c'est agir trop tard.

Toutefois, les dirigeants qui perçoivent la cybersécurité non pas comme une simple charge financière, mais comme un avantage stratégique, y gagneront bien plus qu'une mise en conformité : la confiance des clients, de meilleures conditions d'assurance, un avantage compétitif lors d'appels d'offres publics et une organisation plus résiliente, capable de faire face à une cyberattaque majeure. Les fondements académiques de cette approche sont posés, et ils sont sans équivoque.

Toutes les sources citées font référence à des publications scientifiques du Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. La bibliographie complète est documentée dans la liste des publications (état en mai 2026).