Les exploitants d'installations critiques sous NIS 2 et KRITIS en même temps
Un exploitant KRITIS ne choisit pas entre NIS 2 et KRITIS. Les deux s'appliquent. Les mesures de NIS 2 au titre de l'article 21 sont le socle. Les obligations spécifiques à KRITIS au titre des §29, §32 et §65 BSIG s'y superposent. Le BSI gère les deux régimes à partir de la même base de preuves.
La version courte
Environ 1 500 à 2 000 entités en Allemagne exploitent une « kritische Anlage » au sens de la BSI-KritisV. Distribution d'électricité au-dessus de 500 GWh par an, eau potable au-dessus de 22 millions de mètres cubes par an, centres de données au-dessus de 3,5 mégawatts de capacité contractée, et une longue liste d'autres seuils sectoriels. Ces exploitants ne vivent pas dans leur propre monde à part. Ils se situent à l'intérieur de NIS 2 comme toute autre entité essentielle, et les obligations KRITIS s'y superposent.
Le socle provient de l'article 21 de la directive NIS 2 : dix mesures de gestion des risques en matière de cybersécurité, proportionnées au risque. L'Allemagne le reprend dans le §30 BSIG. Le niveau KRITIS ajoute trois choses : un seuil de proportionnalité plus élevé au titre de l'article 21(1) parce que les conséquences d'une défaillance sont plus importantes, un cycle de preuve triennal obligatoire au titre du §29 BSIG, et la fourchette de sanctions supérieure au titre du §65 BSIG (jusqu'à 10 millions d'euros ou 2 pour cent du chiffre d'affaires du groupe).
Un seul régulateur gère les deux régimes. Le BSI enregistre l'entité au titre du §33 BSIG, examine les preuves du §29, reçoit les déclarations d'incidents du §32 et fait appliquer le §65. La même base de preuves alimente les deux niveaux. Cette page expose la structure juridique, les éléments KRITIS supplémentaires, les deux principes qui tranchent chaque cas limite et les trois mythes que nous entendons le plus souvent.
Article 21(1) et 21(2) de la directive NIS 2 (UE) 2022/2555
Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information. Ces mesures garantissent un niveau de sécurité des réseaux et des systèmes d'information adapté aux risques existants, en tenant compte de l'état des connaissances et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de mise en œuvre.
L'article 21(1) fixe la clause de proportionnalité. « Appropriées et proportionnées » signifie que la profondeur des mesures doit correspondre au risque. Un exploitant KRITIS se situe au sommet de cette échelle : large zone d'approvisionnement, dépendance publique, effets en cascade. Les mêmes dix mesures au titre de l'article 21(2) s'appliquent, mais un exploitant KRITIS doit les mettre en œuvre plus en profondeur qu'une petite entité de l'Annexe II.
§28, §30, §32, §33 et §65 BSIG (transposition allemande)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
Le BSIG empile les obligations dans une seule loi. Le §28 fixe le champ d'application (entités essentielles, importantes, exploitant KRITIS). Le §30 fixe les dix mesures. Le §32 fixe la cascade de déclaration d'incidents (24 heures alerte précoce, 72 heures notification, un mois rapport final). Le §33 fixe l'obligation d'enregistrement auprès du BSI. Le §65 fixe la fourchette de sanctions : jusqu'à 10 millions d'euros ou 2 pour cent du chiffre d'affaires du groupe pour les entités essentielles et les exploitants KRITIS, jusqu'à 7 millions d'euros ou 1,4 pour cent pour les entités importantes. Les exploitants KRITIS se situent dans la fourchette supérieure même si leur secteur relèverait autrement de l'Annexe II.
§29 BSIG et BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
Le §29 BSIG est le cycle de preuve spécifique à KRITIS. Tous les trois ans, l'exploitant remet au BSI un audit, une inspection ou une certification montrant que les mesures du §30 fonctionnent effectivement. L'Anlage est définie par la BSI-KritisV : seuils quantitatifs sectoriels (distribution d'électricité à 500 GWh par an, eau potable à 22 millions de mètres cubes par an, centres de données à 3,5 mégawatts de capacité informatique contractée, et ainsi de suite). Atteignez un seuil, vous êtes un Betreiber kritischer Anlage. Le cycle du §29 s'attache automatiquement.
Socle NIS 2 (article 21 / §30 BSIG)
Les dix mesures de gestion des risques au titre de l'article 21(2) : analyse des risques, traitement des incidents, continuité d'activité, chaîne d'approvisionnement, développement sécurisé, traitement des vulnérabilités, formation, cryptographie, contrôle d'accès, MFA. Proportionnées au risque au titre de l'article 21(1). La même liste que toute entité essentielle et importante doit mettre en œuvre. Les exploitants KRITIS commencent ici, pas ailleurs.
Nachweis triennal au titre du §29 BSIG
En plus du socle NIS 2, un exploitant KRITIS remet au BSI un dossier de preuves tous les trois ans : un rapport d'audit, une inspection ou une certification reconnue couvrant les mesures du §30. Le cycle est fixe, non fondé sur le risque. Le non-respect de l'échéance déclenche l'application des sanctions au titre du §65 BSIG. L'enregistrement au titre du §33 comporte aussi des champs supplémentaires pour les exploitants KRITIS : service critique, indicateurs d'approvisionnement, localisation de l'Anlage et point de contact 24/7.
Fourchette de sanctions supérieure et proportionnalité plus exigeante
Au titre du §65 BSIG, les exploitants KRITIS se situent dans la même fourchette de sanctions que les entités essentielles : jusqu'à 10 millions d'euros ou 2 pour cent du chiffre d'affaires du groupe. Les entités importantes (Annexe II sans Anlage KRITIS) se situent une fourchette en dessous, à 7 millions d'euros ou 1,4 pour cent. Le test de proportionnalité au titre de l'article 21(1) se déplace aussi : l'argument du coût de mise en œuvre est plus difficile à faire valoir lorsque la défaillance de l'Anlage affecte des centaines de milliers de personnes approvisionnées.
Un régulateur, une base de preuves, deux niveaux
Le BSI gère les deux régimes depuis le même bureau de Bonn. L'audit que vous remettez au titre du §29 BSIG est le même audit qui prouve vos mesures du §30 pour NIS 2. Le registre des fournisseurs que vous tenez pour l'article 21(2)(d) est le même registre que le BSI lit lors d'une inspection au titre du §29. KRITIS ne duplique pas les preuves de NIS 2. Il vous demande simplement de prouver les mesures de NIS 2 sur un cycle fixe, avec la fourchette de sanctions supérieure comme garde-fou.
KRITIS est additif, et non un substitut
Une erreur de lecture fréquente : « nous sommes KRITIS, donc les règles de NIS 2 ne s'appliquent pas. » Mauvaise direction. KRITIS se superpose à NIS 2 dans le BSIG, et ne se place pas à côté. Le §28 énumère les exploitants KRITIS en plus des entités essentielles et importantes. Le §30 (mesures), le §32 (déclaration) et le §33 (enregistrement) s'appliquent aux trois. Le §29 (Nachweis triennal) et la fourchette supérieure du §65 sont les éléments spécifiques à KRITIS. Abandonnez les mesures de NIS 2 et vous enfreignez l'article 21 de la directive.
Le BSI gère les deux régimes
Le Bundesamt für Sicherheit in der Informationstechnik est l'autorité compétente centrale au titre du §40 BSIG. Il enregistre les exploitants KRITIS, examine les preuves du §29, reçoit les déclarations d'incidents du §32 et fait appliquer le §65. Le même bureau de Bonn traite un fabricant de l'Annexe II de 60 personnes et un distributeur d'électricité de 5 000 personnes. Échelle différente, même régulateur, même structure juridique.
L'énergie et les télécommunications ont un second régulateur
Deux secteurs n'ont pas le BSI seul. Les exploitants d'énergie répondent à la Bundesnetzagentur pour la sécurité du réseau au titre du §11 EnWG. Les télécommunications répondent à la Bundesnetzagentur pour l'intégrité du réseau au titre du §165 TKG. Ces recoupements se placent à côté du BSIG, et non à sa place. Un distributeur d'électricité KRITIS déclare au BSI ses incidents NIS 2 et à la BNetzA les événements pertinents pour le réseau. Même bâtiment, deux boîtes de réception.
Aucun équivalent direct de KRITIS au niveau de l'UE
La directive NIS 2 ne contient pas de régime KRITIS. L'ENISA ne gère pas de cycle de preuve triennal. Le construit comparable le plus proche est la directive CER (2022/2557) sur la résilience des entités critiques, qui porte sur la résilience physique, et non sur la cybersécurité. Les autres États membres transposent l'article 21 et l'article 23 de la même manière, mais le niveau KRITIS allemand supplémentaire est un choix national repris de la loi de 2015 sur la sécurité informatique (IT-Sicherheitsgesetz). Les filiales étrangères d'un exploitant KRITIS allemand ne reprennent pas l'obligation du §29 à l'étranger.
Nous sommes KRITIS, donc les nouvelles règles de NIS 2 ne s'appliquent pas à nous.
Mauvaise direction. Le §28 BSIG énumère les exploitants KRITIS comme l'une des trois catégories réglementées aux côtés des entités essentielles et importantes. Le §30 (mesures), le §32 (déclaration), le §33 (enregistrement) et le socle de l'article 21 s'appliquent aux trois. Les éléments spécifiques à KRITIS sont le §29 (Nachweis triennal) et la fourchette de sanctions du §65. Si vous abandonnez les mesures de NIS 2 parce que « KRITIS le couvre déjà », vous enfreignez l'article 21 de la directive et la transposition allemande.
Nous nous situons sous le seuil de la KRITIS-V, donc nous sommes hors de NIS 2 aussi.
Le seuil de la BSI-KritisV (par ex. 500 GWh par an pour la distribution d'électricité, 22 millions de mètres cubes par an pour l'eau, 3,5 mégawatts pour les centres de données) détermine KRITIS, et non NIS 2. Une régie municipale qui approvisionne 80 000 personnes est en dessous du seuil KRITIS mais reste dans l'Annexe I secteur 1 (énergie) et est presque certainement une entreprise moyenne. Cela la place dans le champ de NIS 2 en tant qu'entité essentielle, avec les obligations des §30, §32 et §33. Simplement pas de cycle triennal du §29 et la fourchette de sanctions inférieure du §65.
Nous venons de réussir notre audit du §29, donc nous en avons fini avec NIS 2 aussi.
Réussir un Nachweis du §29 couvre le cycle de preuve. Cela ne désactive pas le reste de NIS 2. La cascade de déclaration d'incidents du §32 (24 heures / 72 heures / un mois) tourne en continu. Les données d'enregistrement du §33 doivent être tenues à jour dans les deux semaines suivant tout changement (article 27(2) de NIS 2). Le risque fournisseur au titre du §30(2) point 4 tourne comme une obligation continue. L'audit du §29 est un instantané. Le reste du BSIG est le système d'exploitation.
Prenez une régie municipale (Stadtwerk) dans une ville de 200 000 habitants. Distribution d'électricité, eau potable, chauffage urbain, transports publics et une filiale fibre. Placez la BSI-KritisV à côté de l'organigramme de l'entreprise. La distribution d'électricité au-dessus de 500 GWh par an franchit le seuil. L'eau potable au-dessus de 22 millions de mètres cubes par an le franchit. Le chauffage urbain en dessous du seuil ne le franchit pas. Les transports publics relèvent de l'Annexe II de la directive mais n'ont pas de classification Anlage en Allemagne.
Le résultat est une seule entreprise sous trois niveaux de lecture à la fois. Deux lignes d'activité (Strom, Wasser) sont des Anlagen KRITIS avec le cycle complet de Nachweis du §29 en plus. Une ligne d'activité (Fernwärme) relève de l'Annexe I secteur 1 mais sous le seuil KRITIS, donc NIS 2 essentielle sans §29. Une ligne d'activité (ÖPNV) relève de l'Annexe II transports. La filiale fibre relève de l'Annexe I secteur 8 si elle franchit le seuil de taille par elle-même. Un seul enregistrement du §33 couvre l'entité juridique. L'audit du §29 ne couvre que les Anlagen KRITIS. Les mesures du §30 couvrent tout.
Le test d'applicabilité parcourt les seuils de la BSI-KritisV ligne par ligne : quelle Anlage, quel secteur, quel indicateur quantitatif, quel seuil. Si vous en franchissez un, la page signale le cycle de Nachweis du §29 et bascule le profil de l'entreprise sur exploitant KRITIS. Le module d'enregistrement fait alors apparaître les champs supplémentaires du §33 (service critique, indicateurs d'approvisionnement, localisation, contact 24/7). Le calculateur de sanctions bascule sur la fourchette supérieure du §65.
La base de preuves est partagée. Les mêmes contrôles qui satisfont au §30 BSIG produisent la piste d'audit que vous remettez au BSI au titre du §29. Le registre des fournisseurs au titre de l'article 21(2)(d) est le même registre qui est examiné lors d'une inspection au titre du §29. Le formulaire de déclaration d'incidents couvre la cascade du §32 (24 heures / 72 heures / un mois) pour les deux régimes. Une seule base de preuves, deux destinataires de déclaration en cas de besoin (le BSI plus, pour l'énergie et les télécommunications, la BNetzA).
- Directive (UE) 2022/2555 (NIS 2), article 21(1) (proportionnalité), article 21(2) (dix mesures), article 27 (mise à jour de l'enregistrement) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (champ d'application), §29 (Nachweis triennal pour les exploitants KRITIS), §30 (mesures), §32 (déclaration d'incidents), §33 (enregistrement), §65 (sanctions) — gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), seuils sectoriels pour l'électricité, l'eau, les denrées alimentaires, la santé, les transports, la finance, l'informatique et les télécommunications, les déchets, l'espace — gesetze-im-internet.de/bsi-kritisv
- BSI, paquet d'information « Kritische Infrastrukturen » et FAQ NIS 2 — bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog gemäß §11 EnWG (recoupement sectoriel énergie) — bundesnetzagentur.de
- Directive (UE) 2022/2557 (CER) sur la résilience des entités critiques (résilience physique, distincte de NIS 2) — eur-lex.europa.eu/eli/dir/2022/2557/oj