BSIG 2025

NIS2 vs KRITIS : ce qui a réellement changé

NIS2 ne remplace pas KRITIS, il l'étend considérablement. D'environ 2 000 exploitants à environ 30 000 entités, sept nouveaux secteurs, la responsabilité personnelle de la direction et des délais de notification plus stricts.

Simon OrzelSimon Orzel·Laufend geprüft

KRITIS était l'échauffement. NIS2 est l'événement principal.

Si votre entreprise était déjà classée comme KRITIS (Kritische Infrastruktur) sous l'ancien régime BSI-KritisV, vous savez à quoi ressemble la réglementation de cybersécurité. Vous avez affaire aux audits du BSI, à la notification des incidents et aux mesures de sécurité informatique. La bonne nouvelle : votre travail existant n'est pas perdu. La nouvelle plus délicate : NIS2 relève la barre, élargit le champ d'application et ajoute des obligations qui n'existaient pas auparavant.

Si votre entreprise n'était PAS auparavant KRITIS, il s'agit probablement de votre première confrontation à une réglementation contraignante de cybersécurité. NIS2 - transposé en droit allemand par le biais du BSIG modifié - fait entrer environ 28 000 entreprises supplémentaires dans le périmètre réglementaire. Beaucoup de ces entreprises n'ont jamais notifié d'incident à une agence gouvernementale, n'ont jamais été auditées pour la sécurité informatique et n'ont jamais considéré la cybersécurité comme un sujet de conformité juridique.

Comparaison côte à côte
En quoi KRITIS et NIS2/BSIG diffèrent sur les huit domaines les plus importants pour la planification de la conformité.
AspectKRITIS (BSI-KritisV)NIS2 / BSIG (nouveau)
Champ d'applicationEnviron 2 000 exploitants d'infrastructures critiques dans 10 secteurs, identifiés par le dépassement de valeurs seuils spécifiques (par exemple, 500 000 personnes desservies)Environ 30 000 entités dans 18 secteurs, à l'aide d'un seuil de taille simple : 50 salariés ou plus, ou 10 M€ ou plus de chiffre d'affaires annuel. Comprend les catégories « essentielles » et « importantes »
Modèle de seuilSeuils quantitatifs sectoriels (par exemple, 500 000 personnes approvisionnées pour l'énergie, 500 000 habitants pour l'eau). Complexes à calculer, nombreux cas limitesCritères de taille uniformes : moyenne entreprise (50 salariés ou plus, ou 10 M€ ou plus de chiffre d'affaires) dans tous les secteurs. Bien plus simple à déterminer. Certains secteurs ont des critères supplémentaires indépendamment de la taille
EnregistrementAuto-déclaration auprès du BSI avec vérification facultative. Pas de portail d'enregistrement formel pour la plupart des exploitants KRITIS au départEnregistrement obligatoire via le portail du BSI au titre du §33 BSIG. Doit fournir les coordonnées de l'entité, la classification sectorielle, la personne de contact et les plages d'adresses IP. Disposition de sanction distincte pour défaut d'enregistrement
Notification des incidentsIncidents importants notifiés au BSI sans délai strict dans les réglementations antérieures. Renforcé par la suite mais moins structuré que NIS2Notification obligatoire en trois étapes au titre du §32 BSIG : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous un mois. Chaque étape a des exigences de contenu définies
SanctionsAmendes jusqu'à 100 000 € pour certaines infractions. Application limitée en pratique. Sanctions rarement appliquées publiquementAmendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, jusqu'à 7 M€ ou 1,4 % pour les entités importantes. Amendes distinctes pour les infractions d'enregistrement et de notification. Calquées sur la structure de sanctions du GDPR
Responsabilité de la directionAucune disposition spécifique de responsabilité personnelle pour la direction. Les devoirs généraux du droit des sociétés s'appliquaientLe §38 BSIG introduit une responsabilité personnelle explicite pour la Geschäftsführung. La direction doit approuver les mesures de cybersécurité, suivre une formation et peut être tenue personnellement responsable des dommages. Ne peut être écartée par une résolution des associés
Exigences d'auditSoumission de preuves tous les deux ans (§8a BSIG ancien). Principalement auto-audit avec examen par le BSI des preuves soumisesEntités essentielles : le BSI peut mener des audits proactifs et des inspections sur site. Entités importantes : supervision réactive (audits déclenchés par des incidents ou des preuves de non-conformité). Le BSI dispose de pouvoirs d'application plus larges, y compris des instructions contraignantes
Sécurité de la chaîne d'approvisionnementPas une exigence réglementaire spécifique sous l'ancien régime KRITIS. Les entreprises géraient le risque fournisseur selon leurs propres modalitésLe §30(2)(4) BSIG impose des mesures de sécurité de la chaîne d'approvisionnement. Doit évaluer la cybersécurité des fournisseurs, inclure des exigences de sécurité dans les contrats et surveiller la posture des fournisseurs tout au long de la relation. S'applique à toutes les entités dans le champ d'application
Sept secteurs nouvellement dans le champ d'application
Ces secteurs n'étaient pas couverts par l'ancien régime KRITIS. Les entreprises de ces industries sont confrontées pour la première fois à une réglementation contraignante de cybersécurité.

Gestion des déchets

Collecte, traitement et élimination des déchets. Couvert par l'annexe II de NIS2. Comprend les services municipaux de déchets, les transformateurs de déchets dangereux et les opérations de recyclage. La plupart des entreprises de déchets n'ont jamais eu affaire à la réglementation de cybersécurité.

Production et distribution alimentaires

Fabrication, transformation et distribution en gros de produits alimentaires. Couvert par l'annexe II de NIS2. Cela va au-delà de la chaîne de distribution alimentaire de détail pour inclure les installations de production, la logistique de la chaîne du froid et les systèmes de sécurité alimentaire.

Fabrication de produits critiques

Fabrication de dispositifs médicaux, d'ordinateurs, d'électronique, de produits optiques, d'équipements électriques, de machines, de véhicules automobiles et d'autres équipements de transport. Couvert par l'annexe II de NIS2. Un nombre important d'entreprises du Mittelstand allemand entrent dans cette catégorie.

Services postaux et de messagerie

Prestataires de services postaux et entreprises de messagerie. Couvert par l'annexe II de NIS2. Comprend les services de livraison de colis, les opérations de tri du courrier et les plateformes logistiques qui soutiennent la livraison du dernier kilomètre.

Production et distribution de produits chimiques

Fabrication, production et distribution de produits chimiques. Couvert par l'annexe II de NIS2. Se recoupe largement avec la réglementation de sécurité existante (Störfallverordnung) mais ajoute des obligations spécifiques de cybersécurité.

Organismes de recherche

Institutions de recherche dont l'objet principal est de mener des recherches appliquées ou du développement expérimental. Couvert par l'annexe II de NIS2. Comprend les instituts Fraunhofer, les centres Helmholtz et les organismes de recherche privés dépassant le seuil de taille.

Infrastructure et services numériques

Champ d'application élargi pour les fournisseurs numériques : fournisseurs de services gérés, fournisseurs de services de sécurité gérés, places de marché en ligne, moteurs de recherche, réseaux sociaux et centres de données. Certains étaient partiellement couverts auparavant - NIS2 élargit et clarifie sensiblement les définitions.

Ce qui est resté inchangé
  • Le BSI demeure l'autorité compétente centrale et le CSIRT national pour l'Allemagne
  • IT-Grundschutz demeure la méthodologie recommandée pour la mise en œuvre des mesures de sécurité (§44(2) BSIG)
  • Le principe fondamental de mesures « appropriées et proportionnées » - vous devez mettre en œuvre ce qui est raisonnable pour votre taille et votre profil de risque, pas tout ce qui est théoriquement possible
  • L'exigence de maintenir un système de management de la sécurité de l'information (ISMS) sous une forme ou une autre - qu'il soit formellement certifié ou structuré autour de Grundschutz

Questions fréquentes

Nous étions déjà KRITIS - devons-nous encore faire quelque chose de nouveau ?

Oui. Même si vous étiez un exploitant KRITIS pleinement conforme, NIS2 ajoute de nouvelles obligations : l'enregistrement obligatoire auprès du BSI via le portail du §33 (si ce n'est déjà fait), des délais de notification des incidents plus stricts (cascade 24h/72h/1 mois), une responsabilité explicite de la direction au titre du §38, et des mesures obligatoires de sécurité de la chaîne d'approvisionnement. Vos mesures de sécurité existantes couvrent probablement la plupart des exigences techniques, mais les obligations réglementaires et de gouvernance sont nouvelles.

Quels sont les nouveaux secteurs qui n'étaient pas dans KRITIS ?

Sept secteurs entrent nouvellement dans le champ d'application de NIS2 et n'étaient pas couverts par l'ancien régime KRITIS : gestion des déchets, production et distribution alimentaires, fabrication de produits critiques, services postaux et de messagerie, production et distribution de produits chimiques, organismes de recherche, et infrastructure et services numériques élargis. Les entreprises de ces secteurs sont confrontées pour la première fois à une réglementation contraignante de cybersécurité.

NIS2 n'est-il que KRITIS sous un autre nom ?

Non. NIS2 est un régime réglementaire fondamentalement plus large et plus profond. KRITIS couvrait environ 2 000 exploitants avec des seuils élevés. NIS2 couvre environ 30 000 entités avec des seuils bien plus bas. NIS2 ajoute la responsabilité personnelle de la direction, l'enregistrement obligatoire, des délais structurés de notification des incidents, des obligations de chaîne d'approvisionnement et des sanctions nettement plus élevées. Considérez KRITIS comme le programme pilote - NIS2 est le déploiement complet.

Quelle est la plus grande différence pratique pour les entreprises ?

La responsabilité personnelle de la direction au titre du §38 BSIG. Sous KRITIS, la cybersécurité était un problème du service informatique. Sous NIS2, la Geschäftsführung est personnellement responsable de l'approbation et de la supervision des mesures de cybersécurité, doit suivre une formation en cybersécurité et peut être tenue responsable des dommages résultant d'une non-conformité. Cette responsabilité ne peut être écartée, même par une résolution des associés. Cela transforme la cybersécurité d'une ligne de budget informatique en un enjeu de gouvernance au niveau du conseil.

Sources
  • Directive (UE) 2022/2555 - directive NIS2, annexe I et annexe II (définitions sectorielles)
  • BSIG - §28 (champ d'application et définitions des entités), §30 (mesures de cybersécurité), §32 (notification des incidents), §33 (enregistrement), §38 (responsabilité de la direction), §65 (sanctions)
  • BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (ancienne réglementation des seuils KRITIS)
  • BSI - orientations sur le champ d'application de NIS2 et documentation de classification sectorielle (2025)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
De KRITIS à NIS2 - comblez les écarts
La plateforme couvre toutes les exigences NIS2/BSIG, y compris les obligations nouvelles par rapport à l'ancien régime KRITIS : suivi de l'enregistrement, validations de la direction, documentation de la chaîne d'approvisionnement et cascade structurée de notification des incidents.
Démarrez votre démarche de conformité NIS2