Conformité NIS 2 en Allemagne

par SPAC Alliance | mars 2026 | Librairie, NIS 2

L’Allemagne a transposé la directive NIS 2 en modifiant le BSI-Gesetz (BSIG), le cadre juridique de référence pour la cybersécurité des infrastructures et entreprises. Cette transposition permet au entités concernées (30 000) de lancer leur démarche de conformité NIS 2. La supervision est assurée par le Bundesamt für Sicherheit in der Informationstechnik (BSI).

L’Allemagne présente plusieurs spécificités importantes, notamment l’intégration du dispositif existant KRITIS ainsi qu’une forte référence aux normes techniques du BSI, y compris en matière de sécurité physique. Cette page va vous accompagner à chaque étape de votre conformité NIS 2 en Allemagne, de votre identification jusqu’à la création du lien entre sécurité physique et cybersécurité attendu par la NIS 2.

1. Identification et déclaration des entités en Allemagne

La première étape consiste à déterminer si l’organisation entre dans le périmètre NIS 2. Cette qualification repose sur :

le secteur d’activité
la taille de l’entreprise (effectif et chiffre d’affaires)
l’éventuelle exploitation d’une infrastructure critique

Vient une seconde étape durant lauqlle les entités identifiées doivent :

confirmer leur statut réglementaire
s’enregistrer auprès du BSI
mettre en œuvre les mesures de sécurité requises
notifier les incidents significatifs

Attention :

Contrairement à d’autres États membres, l’Allemagne distingue l’entreprise (entité juridique) de l’installation critique (site ou infrastructure).

Une organisation peut ainsi être régulée :

soit au niveau de l’entreprise
soit au niveau d’un site critique spécifique

Cette approche est héritée du dispositif national de protection des infrastructures critiques, Kritis. La qualification NIS 2 repose sur l’activité principale de l’entreprise et peut exclure certaines activités marginales. Cette approche, combinée au maintien du régime national KRITIS, peut conduire à des différences d’interprétation par rapport à d’autres États membres.

2. Catégories d’entités

Le droit allemand distingue plusieurs catégories d’organisations concernées.

Wichtige Einrichtungen = entités importantes

Il s’agit généralement d’entreprises de taille moyenne ou intermédiaire opérant dans les secteurs listés par NIS 2.

Besonders wichtige Einrichtungen = entités particulièrement importantes (entités essentielles)

Ces organisations présentent un impact plus important en cas d’incident et sont soumises à un niveau de supervision renforcé.

KRITIS = infrastructures critiques

Le régime KRITIS constitue un dispositif national préexistant, désormais articulé avec les directives NIS 2 et CER (directive relative à la résilience des entités critiques). Il concerne des installations dont l’interruption aurait un impact majeur sur la société ou l’économie.

Cette classification ne constitue pas une hiérarchie juridique stricte mais permet de comprendre la progression des exigences de sécurité et du niveau de supervision.

3. Référentiels de conformité en Allemagne

La réglementation allemande ne prescrit pas un référentiel unique obligatoire.

Elle repose sur le principe du Stand der Technik (état de l’art), et plusieurs cadres peuvent être utilisés pour démontrer la conformité.

Référentiels internationaux et européens

ISO/IEC 27001 (découvrez notre guide)
NIST Cybersecurity Framework

Ces référentiels couvrent une grande partie des exigences NIS 2, mais une analyse d’écart est nécessaire pour intégrer les obligations réglementaires allemandes.

Référentiels et standards sépcifiques en Allemagne

IT-Grundschutz

Le référentiel BSI IT-Grundschutz constitue le cadre méthodologique principal.

Il définit :

la gestion des risques
les mesures organisationnelles
la sécurité technique
la sécurité physique des infrastructures

Il s’appuie notamment sur les standards :

BSI Standard 200-1 – ISMS
BSI Standard 200-2 – Méthodologie IT-Grundschutz
BSI Standard 200-3 – Analyse de risques
BSI Standard 200-4 – Continuité d’activité

Recommandations cryptographiques

Le BSI publie également des guidelines techniques pour définir l’état de l’art.

Par exemple : BSI TR-02102 pour les algorithmes cryptographiques et les tailles de clés.

4. Sécurité physique et contrôle d’accès

La réglementation NIS 2 repose sur une approche fondée sur la gestion des risques.

Dans la pratique, cela inclut la sécurité physique des infrastructures et installations critiques. Les référentiels du BSI intègrent explicitement :

la protection des bâtiments
la sécurité des salles serveurs et infrastructures techniques
le contrôle d’accès physique aux zones sensibles

Cette approche repose sur une logique de criticité croissante. En croisant les recommandations indiquées dans les modules IT-Grundschutz INF.1, INF.2 et INF.5, les standards du BSI et les orientations KRITIS, les objectifs de sécurité peuvent être résumés ainsi :

Entités importantes

identification des zones sensibles
contrôle d’accès aux locaux techniques
gestion des visiteurs
protection des salles informatiques

Entités essentielles

zonage physique formalisé
contrôle d’accès nominatif
surveillance des accès sensibles
revue périodique des habilitations

Infrastructures critiques

défense en profondeur des installations
surveillance continue des accès
détection d’intrusion ou de sabotage
traçabilité renforcée des accès physiques

5.Conclusion

La mise en œuvre de NIS 2 en Allemagne s’inscrit dans un écosystème déjà structuré autour du BSI et du dispositif KRITIS. Elle rappelle une fois de plus que la sécurité physique, et particulièrement le contrôle d’accès, joue un rôle central dans la stratégie d’élévation globale des niveaux de sécurité des entités.

Les organisations doivent ainsi articuler :

les obligations de la directive NIS 2
les exigences du cadre national allemand
- les standards techniques du BSI en matière de sécurité physique et cyber

Des précisions opérationnelles supplémentaires sont attendues dans les textes d’application et les guidelines techniques à venir. Abonnez-vous pour recevoir les mises à jour nécessaires.

Liens utiles :

Vous avez besoin d’accompagnement ? N’hésitez pas à demander des informations à nos membres proposant des services et solutions permettant d’accompagner votre conformité NIS 2.

Conformité NIS 2 en Allemagne

1. Identification et déclaration des entités en Allemagne

2. Catégories d’entités

3. Référentiels de conformité en Allemagne

Référentiels internationaux et européens

Référentiels et standards sépcifiques en Allemagne

IT-Grundschutz

Recommandations cryptographiques

4. Sécurité physique et contrôle d’accès

Entités importantes

Entités essentielles

Infrastructures critiques

5.Conclusion

Prestations d’audit et d’évaluation biométriques

Analyse de risque

Formation MIFARE® DESFire® EV2 & EV3

Formation Biométrie

Rédaction de cahier des charges

Formation technologie UHF

Formation Introduction à la RFID

Gouvernance de sûreté

Test d’Intrusion Cyber (Pentest)

Prestations d’évaluation et d’audit de conformité IT

Formation Protocole Haute Sécurité

Prestations d’audit et d’évaluation de produits TIC

Prestations d’assistance à la certification CSPN

Formation Certification

Sensibilisation à la cybersécurité

Formation règlementations européennes

Retour sur le CRA Standards Unlocked EU Tour de Paris

Interview avec IMTECH Engineering, Membre SPAC Alliance

Interview avec Esynov / INP – Esisar – Membre SPAC Alliance

Cloud souverain, EUCS, CADA : où en est-on ?

Interview avec Ollagnier SCA, membre SPAC Alliance

Journée de la sécurité Chubb à Marseille : le récap’

Forum AMUSEC 2026

Matinale Sécurité 360 Onet Sécurité : le récap’

Tribune : agir maintenant pour se protéger des cybermenaces de demain

Interview avec Aphelio, membre SPAC Alliance