BDO : Protection des données et directive NIS2 étroitement liées
BDO AG clarifie comment la mise en œuvre de la directive NIS2 allemande lie les obligations en matière de cybersécurité et de protection des données. Les entreprises doivent intégrer ces exigences pour une conformité réglementaire efficace.
BDO AG, cabinet spécialisé dans l'audit et le conseil, a souligné le 18 décembre 2025 que la mise en œuvre de la directive NIS2 allemande lie désormais étroitement la protection des données et la cybersécurité. Cette évolution législative introduit des obligations considérablement accrues pour les entités concernées.
La directive exige des entreprises classées comme "entités particulièrement importantes" ou "entités importantes" qu'elles mettent en œuvre des mesures de cybersécurité substantiellement renforcées. Parallèlement, les obligations relatives à la protection des données personnelles en vertu du Règlement Général sur la Protection des Données (RGPD) de l'UE restent en vigueur. BDO suggère que l'intégration des efforts de conformité NIS2 et RGPD peut aider les entreprises à éviter les structures redondantes et à bâtir une architecture de conformité robuste et efficace.
La mise en œuvre de la NIS2 en Allemagne élargit considérablement les exigences pour les "entités particulièrement importantes" et "entités importantes". Alors que l'accent est souvent mis sur la cybersécurité technique, l'interconnexion juridique et organisationnelle étroite entre NIS2 et RGPD est fréquemment sous-estimée. De nombreuses obligations en vertu de la loi allemande sur la sécurité de l'information (BSIG) se chevauchent directement avec les stipulations du RGPD.
Selon BDO, une conformité NIS2 isolée est difficile à atteindre sans une gestion structurée de la sécurité de l'information et des technologies de l'information. Inversement, la fusion de ces cadres réglementaires offre une opportunité de développer stratégiquement les systèmes de gestion de la sécurité de l'information (SMSI) et les structures de gouvernance informatique existants dans le cadre du RGPD. Les entreprises devraient identifier comment les exigences de la NIS2 – telles que la gestion des risques, les mesures techniques et organisationnelles, et la sécurité de la chaîne d'approvisionnement – se connectent aux pratiques établies du RGPD.