SYAGA Consulting NIS2 La preuve, pas la promesse.

NIS2 - Allemagne

NIS2 en Allemagne : êtes-vous parmi les 29 500 entreprises que le BSI attend ?

La loi allemande de transposition de NIS2 (NIS2UmsuCG) a été publiée le 6 décembre 2025 et s'applique depuis, sans période de transition. La date limite d'enregistrement au BSI (6 mars 2026) est passée, mais le BSI a accordé un délai de grâce jusqu'au 31 juillet 2026. Environ 29 500 entreprises de 18 secteurs sont concernées.

Le point clé : obligation datée et active maintenant. Si votre Microsoft 365 fait partie de votre système d'information critique, une part des contrôles attendus s'y joue, et vous pouvez le prouver sans exposer vos données.

Les faits, sourcés

Ce que dit la loi allemande

Loi en vigueur. Le NIS2UmsuCG a été publié le 6 décembre 2025 et s'applique sans délai transitoire.

Enregistrement BSI. L'échéance initiale du 6 mars 2026 est dépassée ; le BSI a fixé un délai de grâce au 31 juillet 2026. L'enregistrement passe par le portail MUK (muk.bsi.bund.de), avec authentification ELSTER.

Qui est concerné. Environ 29 500 entreprises, dans 18 secteurs (énergie, santé, gestion des déchets, alimentation, etc.), principalement celles de plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires.

Obligations clés. Enregistrement BSI, notification des incidents significatifs (alerte 24 h, rapport 72 h, bilan sous 1 mois) et mesures de gestion du risque dans 10 domaines, dont l'authentification multifacteur.

Sanctions. Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; jusqu'à 7 millions ou 1,4 % pour les entités importantes.

Où Microsoft 365 entre en jeu

Une brique identité et collaboration

Plusieurs des 10 domaines exigés (MFA, gestion des accès, sécurité de la messagerie et de la collaboration, sauvegarde) se jouent en grande partie dans votre tenant Microsoft 365 : Entra, Exchange, Teams, SharePoint, Intune. Pour démontrer votre conformité, il faut mesurer la posture réelle de ces réglages, pas seulement cocher des cases.

Attention : NIS2 couvre l'ensemble de votre système d'information. Un audit centré sur Microsoft 365 est une brique (identité et collaboration), pas la preuve globale de conformité. Nous l'assumons clairement.

Le piège

Un audit qui augmente votre exposition

Pour produire cette preuve, beaucoup de prestataires exigent un accès large et emportent une copie de votre configuration, voire de vos données. Vous ajoutez alors une exposition au moment précis où NIS2 vous demande de la réduire. C'est contradictoire.

Notre approche

L'audit sans copie

Nous mesurons la posture de sécurité de votre Microsoft 365 sans jamais emporter vos données : lecture de la configuration, pas du contenu, et vous le vérifiez vous-même dans vos propres journaux Microsoft. Méthode : ZKPA (Zero-Knowledge Posture Assessment), hébergement en Europe, briques open source.

Préparez votre volet Microsoft 365 pour NIS2

Questions fréquentes

NIS2 Allemagne, en bref

Depuis quand NIS2 s'applique-t-il en Allemagne ?
Depuis le 6 décembre 2025, sans période de transition. Le délai de grâce d'enregistrement au BSI court jusqu'au 31 juillet 2026.

Un audit Microsoft 365 suffit-il pour être conforme NIS2 ?
Non : NIS2 couvre tout le système d'information. L'audit M365 couvre la brique identité et collaboration, essentielle mais partielle.

Peut-on prouver sa posture M365 sans confier ses données ?
Oui : en lisant la configuration et en le prouvant dans vos journaux, sans emporter de copie (audit sans copie / ZKPA).