§30 BSIG : les dix mesures de cybersécurité
Réponse courte : le §30 du BSIG allemand est la transposition nationale de l'article 21 NIS 2. Les entités essentielles et importantes doivent mettre en œuvre dix mesures de gestion des risques, de l'analyse des risques à la sécurité de la chaîne d'approvisionnement jusqu'à l'authentification multifacteur. La mise en œuvre doit être proportionnée à la taille, à l'exposition au risque et à l'état de la technique.
Ce qu'exige le §30 BSIG
Le §30 BSIG se situe au cœur de la mise en œuvre de NIS 2 en Allemagne. Il oblige les entités essentielles et importantes à prendre des mesures techniques et organisationnelles appropriées, proportionnées et efficaces pour gérer les risques pesant sur la sécurité de leurs systèmes d'information, de leurs composants et de leurs processus.
La disposition transpose l'article 21(2) de la directive NIS 2 (directive (UE) 2022/2555) en droit allemand. La substance est valable à l'échelle de l'UE et identique dans chaque État membre. La formulation a été adaptée au style législatif allemand, mais les dix mesures du §30(2) nos 1 à 10 BSIG correspondent une à une aux points a) à j) de l'article 21(2) NIS 2.
Les obligations s'appliquent à compter de la date d'entrée en vigueur du NIS2UmsuCG. La loi ne prévoit aucune période transitoire. Quiconque entre dans le champ d'application est tenu aux mesures dès le jour où il y entre.
No 1 : politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information. Correspond à l'article 21(2)(a) NIS 2. Opérationnalisé par la CIR (UE) 2024/2690, section 2, pour les secteurs numériques dans son annexe.
No 2 : gestion des incidents
Détection, réponse, confinement, rétablissement et examen post-incident. Correspond à l'article 21(2)(b) NIS 2. S'articule avec l'obligation de notification au titre du §32 BSIG.
No 3 : continuité d'activité
Gestion des sauvegardes, reprise après sinistre et gestion de crise. Correspond à l'article 21(2)(c) NIS 2. Une panne de cloud chez votre fournisseur relève de ce point.
No 4 : sécurité de la chaîne d'approvisionnement
Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations avec les fournisseurs et prestataires de services directs. Correspond à l'article 21(2)(d) NIS 2. Cette obligation se répercute contractuellement sur chaque fournisseur direct.
No 5 : sécurité de l'acquisition, du développement et de la maintenance
Mesures de sécurité dans l'acquisition, le développement et la maintenance des systèmes d'information, des composants et des processus, y compris le traitement et la divulgation des vulnérabilités. Correspond à l'article 21(2)(e) NIS 2. Recoupe les obligations du Cyber Resilience Act pour les produits comportant des éléments numériques.
No 6 : évaluation de l'efficacité
Politiques et procédures visant à évaluer l'efficacité des mesures de gestion des risques. Correspond à l'article 21(2)(f) NIS 2. C'est la boucle de rétroaction : ne pas se contenter d'introduire des mesures, mais vérifier qu'elles fonctionnent.
No 7 : cyberhygiène et formation
Pratiques de base en matière de cyberhygiène et formation à la cybersécurité. Correspond à l'article 21(2)(g) NIS 2. S'applique à l'ensemble du personnel, avec une formation propre au rôle pour les fonctions informatiques. La formation de l'organe de direction est réglementée séparément au §38(3) BSIG.
No 8 : cryptographie et chiffrement
Politiques et procédures relatives à l'usage de la cryptographie et, le cas échéant, du chiffrement. Correspond à l'article 21(2)(h) NIS 2. « Le cas échéant » permet une différenciation fondée sur le risque, mais exclut toute exemption générale.
No 9 : sécurité des ressources humaines, contrôle d'accès, gestion des actifs
Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs. Correspond à l'article 21(2)(i) NIS 2. Couvre l'arrivée et le départ des collaborateurs, l'octroi d'accès selon le besoin d'en connaître et un inventaire des actifs.
No 10 : authentification multifacteur et communications sécurisées
Solutions d'authentification multifacteur ou continue, communications vocales, vidéo et textuelles sécurisées et, le cas échéant, systèmes sécurisés de communication d'urgence au sein de l'entité. Correspond à l'article 21(2)(j) NIS 2.
Le §30(1) phrase 2 BSIG exige que les mesures soient choisies en tenant compte de l'état de la technique, des normes européennes et internationales pertinentes et du coût de mise en œuvre. La taille, l'exposition au risque et la probabilité d'incidents sont prises en compte.
La proportionnalité n'est pas un permis d'omettre une mesure. Le BSI a clairement indiqué dans ses orientations sur le §38(3) BSIG qu'un transfert global du risque vers une cyberassurance ou des prestataires de services est exclu. Proportionné signifie : non pas chaque mesure à son degré maximal, mais adaptée à la situation spécifique et documentée par écrit.
L'article 21(2) NIS 2 est la base au niveau de l'UE. Les dix points a) à j) sont contraignants. La formulation a été laissée ouverte afin que les États membres puissent l'intégrer dans leurs structures de surveillance nationales. Le §30 BSIG reprend les dix mesures sous les nos 1 à 10 sans déviation substantielle.
Pour les fournisseurs de DNS, les registres de noms de domaine de premier niveau, les fournisseurs de cloud, les centres de données, les réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les places de marché en ligne, les moteurs de recherche en ligne, les plateformes de réseaux sociaux et les prestataires de services de confiance, le règlement d'exécution de la Commission de l'UE 2024/2690 opérationnalise les dix mesures dans son annexe. Le règlement s'applique directement, sans transposition nationale. Pour ces secteurs, le §30 BSIG et la CIR coexistent.
Le §30 BSIG s'applique aux entités essentielles au sens du §28(6) BSIG et aux entités importantes au sens du §28(7) BSIG. Les secteurs sont énumérés à l'annexe 1 et à l'annexe 2 de la directive NIS 2. Le seuil de taille est d'au moins 50 salariés ou 10 millions d'euros de chiffre d'affaires annuel, avec des règles particulières pour les KRITIS et pour les secteurs qui s'appliquent indépendamment de la taille.
En cas de doute, commencez par le test d'applicabilité de l'article 2 NIS 2. Les fournisseurs d'entités réglementées entrent également en contact avec le §30 via le no 4 (chaîne d'approvisionnement) : les obligations se répercutent contractuellement sur les fournisseurs directs.
Les manquements à l'obligation de mesures au titre du §30 BSIG entraînent des amendes administratives au titre du §65 BSIG. Pour les entités essentielles, le maximum est de 10 millions d'euros ou 2 pour cent du chiffre d'affaires mondial de l'exercice précédent, le montant le plus élevé étant retenu. Pour les entités importantes, le maximum est de 7 millions d'euros ou 1,4 pour cent.
Le §38 BSIG ajoute une responsabilité personnelle de l'organe de direction pour manquement à l'obligation d'approuver les mesures du §30 et d'en surveiller la mise en œuvre. Cette responsabilité ne dépend pas de la survenance d'un préjudice réel.
Questions fréquentes sur le §30 BSIG
Le §30 BSIG est-il la même chose que l'article 21 NIS 2 ?
Sur le fond, oui. Le §30 BSIG est la transposition allemande de l'article 21 NIS 2. Les dix mesures du §30(2) nos 1 à 10 BSIG correspondent une à une aux points a) à j) de l'article 21(2) NIS 2. Pour un travail à l'échelle de l'UE, citez l'article 21 NIS 2 comme source principale et mentionnez le §30 BSIG comme transposition allemande.
Dois-je mettre en œuvre les dix mesures ?
Oui. Les dix mesures ne sont pas facultatives. Le choix s'opère à l'intérieur de chaque mesure par la proportionnalité. Omettre une mesure entière n'est pas autorisé. La profondeur de mise en œuvre peut être adaptée à la taille, à l'exposition au risque et à l'état de la technique, mais supprimer un numéro complet ne l'est pas.
Que signifie la proportionnalité en pratique ?
La proportionnalité au titre du §30(1) phrase 2 BSIG signifie : les mesures s'alignent sur la taille, l'exposition au risque, la probabilité et la gravité des incidents et le coût de mise en œuvre. La décision doit être documentée par écrit. Un transfert global du risque vers une cyberassurance ou un prestataire de services n'est pas accepté par le BSI comme mise en œuvre proportionnée.
Comment prouver la mise en œuvre au BSI ?
Par la documentation. Pour chacune des dix mesures, consignez par écrit la mise en œuvre choisie, la justification de la profondeur retenue et l'évaluation de l'efficacité. Un audit du BSI au titre du §61 ou du §62 BSIG examine ces documents, et non une explication orale. Une auto-évaluation structurée portant sur les dix mesures est le point de départ le plus rapide.
Quelle est la différence entre le §30 BSIG et l'IT-Grundschutz ?
Le §30 BSIG est l'obligation. L'IT-Grundschutz est une méthodologie concrète qui satisfait l'obligation. Le §44(2) BSIG désigne l'IT-Grundschutz comme mise en œuvre suffisante. D'autres normes telles que l'ISO 27001 sont tout aussi possibles, mais la preuve reste rattachée aux dix mesures du §30 BSIG, et non à la structure de la norme choisie.