NIS2 - Allemagne
La loi allemande de transposition de NIS2 (NIS2UmsuCG) a été publiée le 6 décembre 2025 et s'applique depuis, sans période de transition. La date limite d'enregistrement au BSI (6 mars 2026) est passée, mais le BSI a accordé un délai de grâce jusqu'au 31 juillet 2026. Environ 29 500 entreprises de 18 secteurs sont concernées.
Les faits, sourcés
Loi en vigueur. Le NIS2UmsuCG a été publié le 6 décembre 2025 et s'applique sans délai transitoire.
Enregistrement BSI. L'échéance initiale du 6 mars 2026 est dépassée ; le BSI a fixé un délai de grâce au 31 juillet 2026. L'enregistrement passe par le portail MUK (muk.bsi.bund.de), avec authentification ELSTER.
Qui est concerné. Environ 29 500 entreprises, dans 18 secteurs (énergie, santé, gestion des déchets, alimentation, etc.), principalement celles de plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires.
Obligations clés. Enregistrement BSI, notification des incidents significatifs (alerte 24 h, rapport 72 h, bilan sous 1 mois) et mesures de gestion du risque dans 10 domaines, dont l'authentification multifacteur.
Sanctions. Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; jusqu'à 7 millions ou 1,4 % pour les entités importantes.
Où Microsoft 365 entre en jeu
Plusieurs des 10 domaines exigés (MFA, gestion des accès, sécurité de la messagerie et de la collaboration, sauvegarde) se jouent en grande partie dans votre tenant Microsoft 365 : Entra, Exchange, Teams, SharePoint, Intune. Pour démontrer votre conformité, il faut mesurer la posture réelle de ces réglages, pas seulement cocher des cases.
Attention : NIS2 couvre l'ensemble de votre système d'information. Un audit centré sur Microsoft 365 est une brique (identité et collaboration), pas la preuve globale de conformité. Nous l'assumons clairement.
Le piège
Pour produire cette preuve, beaucoup de prestataires exigent un accès large et emportent une copie de votre configuration, voire de vos données. Vous ajoutez alors une exposition au moment précis où NIS2 vous demande de la réduire. C'est contradictoire.
Notre approche
Nous mesurons la posture de sécurité de votre Microsoft 365 sans jamais emporter vos données : lecture de la configuration, pas du contenu, et vous le vérifiez vous-même dans vos propres journaux Microsoft. Méthode : ZKPA (Zero-Knowledge Posture Assessment), hébergement en Europe, briques open source.
Questions fréquentes
Depuis quand NIS2 s'applique-t-il en Allemagne ?
Depuis le 6 décembre 2025, sans période de transition. Le délai de grâce d'enregistrement au BSI court jusqu'au 31 juillet 2026.
Un audit Microsoft 365 suffit-il pour être conforme NIS2 ?
Non : NIS2 couvre tout le système d'information. L'audit M365 couvre la brique identité et collaboration, essentielle mais partielle.
Peut-on prouver sa posture M365 sans confier ses données ?
Oui : en lisant la configuration et en le prouvant dans vos journaux, sans emporter de copie (audit sans copie / ZKPA).