L’Allemagne a transposé la directive NIS 2 en modifiant le BSI-Gesetz (BSIG), le cadre juridique de référence pour la cybersécurité des infrastructures et entreprises. Cette transposition fait passer le nombre d’entités concernées d’environ 2 000 à 30 000. La supervision est assurée par le Bundesamt für Sicherheit in der Informationstechnik (BSI).
L’Allemagne présente plusieurs spécificités importantes, notamment l’intégration du dispositif existant KRITIS ainsi qu’une forte référence aux normes techniques du BSI, y compris en matière de sécurité physique. Les étapes suivantes résument les principaux éléments permettant d’assurer votre conformité NIS 2 en Allemagne.
1. Identification et déclaration des entités
La première étape consiste à déterminer si l’organisation entre dans le périmètre NIS 2. Cette qualification repose sur :
- le secteur d’activité
- la taille de l’entreprise (effectif et chiffre d’affaires)
- l’éventuelle exploitation d’une infrastructure critique
Les organisations concernées doivent ensuite :
- confirmer leur statut réglementaire
- s’enregistrer auprès du BSI
- mettre en œuvre les mesures de sécurité requises
- notifier les incidents significatifs
Attention :
Contrairement à d’autres États membres, l’Allemagne distingue l’entreprise (entité juridique) de l’installation critique (site ou infrastructure).
Une organisation peut ainsi être régulée :
- soit au niveau de l’entreprise
- soit au niveau d’un site critique spécifique
Cette approche est héritée du dispositif national de protection des infrastructures critiques. La qualification NIS 2 repose sur l’activité principale de l’entreprise et peut exclure certaines activités marginales. Cette approche, combinée au maintien du régime national KRITIS, peut conduire à des différences d’interprétation par rapport à d’autres États membres.
2. Catégories d’entités
Le droit allemand distingue plusieurs catégories d’organisations concernées.
Wichtige Einrichtungen = entités importantes
Il s’agit généralement d’entreprises de taille moyenne ou intermédiaire opérant dans les secteurs listés par NIS 2.
Besonders wichtige Einrichtungen = entités particulièrement importantes (entités essentielles)
Ces organisations présentent un impact plus important en cas d’incident et sont soumises à un niveau de supervision renforcé.
KRITIS = infrastructures critiques
Le régime KRITIS constitue un dispositif national préexistant, désormais articulé avec les directives NIS 2 et CER (directive relative à la résilience des entités critiques). Il concerne des installations dont l’interruption aurait un impact majeur sur la société ou l’économie.
Cette classification ne constitue pas une hiérarchie juridique stricte mais permet de comprendre la progression des exigences de sécurité et du niveau de supervision.
3. Référentiels de conformité
La réglementation allemande ne prescrit pas un référentiel unique obligatoire.
Elle repose sur le principe du Stand der Technik (état de l’art), et plusieurs cadres peuvent être utilisés pour démontrer la conformité.
Référentiels internationaux
- ISO/IEC 27001
- NIST Cybersecurity Framework
Ces référentiels couvrent une grande partie des exigences NIS 2, mais une analyse d’écart est nécessaire pour intégrer les obligations réglementaires allemandes.
Référentiels et standards allemands
IT-Grundschutz
Le référentiel BSI IT-Grundschutz constitue le cadre méthodologique principal.
Il définit :
- la gestion des risques
- les mesures organisationnelles
- la sécurité technique
- la sécurité physique des infrastructures
Il s’appuie notamment sur les standards :
- BSI Standard 200-1 – ISMS
- BSI Standard 200-2 – Méthodologie IT-Grundschutz
- BSI Standard 200-3 – Analyse de risques
- BSI Standard 200-4 – Continuité d’activité
Recommandations cryptographiques
Le BSI publie également des guidelines techniques pour définir l’état de l’art.
Par exemple : BSI TR-02102 pour les algorithmes cryptographiques et les tailles de clés.
4. Sécurité physique et contrôle d’accès
La réglementation NIS 2 repose sur une approche fondée sur la gestion des risques.
Dans la pratique, cela inclut la sécurité physique des infrastructures et installations critiques. Les référentiels du BSI intègrent explicitement :
- la protection des bâtiments
- la sécurité des salles serveurs et infrastructures techniques
- le contrôle d’accès physique aux zones sensibles
Cette approche repose sur une logique de criticité croissante. En croisant les recommandations indiquées dans les modules IT-Grundschutz INF.1, INF.2 et INF.5, les standards du BSI et les orientations KRITIS, les objectifs de sécurité peuvent être résumés ainsi :
Entités importantes
- identification des zones sensibles
- contrôle d’accès aux locaux techniques
- gestion des visiteurs
- protection des salles informatiques
Entités essentielles
- zonage physique formalisé
- contrôle d’accès nominatif
- surveillance des accès sensibles
- revue périodique des habilitations
Infrastructures critiques
- défense en profondeur des installations
- surveillance continue des accès
- détection d’intrusion ou de sabotage
- traçabilité renforcée des accès physiques
Conclusion
La mise en œuvre de NIS 2 en Allemagne s’inscrit dans un écosystème déjà structuré autour du BSI et du dispositif KRITIS.
Les organisations doivent ainsi articuler :
- les obligations de la directive NIS 2
- les exigences du cadre national allemand
- les standards techniques du BSI
Des précisions opérationnelles supplémentaires sont attendues dans les textes d’application et les guidelines techniques à venir. Abonnez-vous pour recevoir les mises à jour nécessaires.
Liens utiles :
- Portail BSI – enregistrement et déclaration NIS 2
- KRITIS – infrastructures critiques (BSI)
- BSI IT-Grundschutz – référentiel national de cybersécurité
- BSI Standards 200-1 à 200-4
Vous avez besoin d’accompagnement ? N’hésitez pas à demander des informations à nos membres proposant des services et solutions permettant d’accompagner votre conformité NIS 2.
