NIS2 et IT-Grundschutz
Le §44(2) BSIG offre un raccourci juridique : la mise en œuvre de l'IT-Grundschutz est reconnue en Allemagne comme preuve de conformité NIS2.
La chaîne juridique
Les entreprises allemandes disposent d'un avantage unique sur leurs homologues européennes en matière de conformité NIS2. Alors que les entreprises en France, en Italie ou aux Pays-Bas doivent travailler directement à partir de la directive NIS2 et du règlement d'exécution de l'UE, les entreprises allemandes peuvent s'appuyer sur l'IT-Grundschutz, une méthodologie bien établie, maintenue par le BSI, qui constitue depuis plus de 25 ans la référence en matière de sécurité de l'information en Allemagne.
Le §44(2) BSIG fournit le raccourci juridique : les entreprises qui mettent en œuvre l'IT-Grundschutz peuvent s'en servir comme preuve de conformité NIS2. Il ne s'agit pas d'orientations informelles. C'est codifié dans la loi fédérale sur la cybersécurité. Le BSI lui-même élabore et maintient à la fois le cadre Grundschutz et le régime d'application de NIS2, garantissant un alignement dès la conception.
Cette page cartographie l'intégralité de la chaîne juridique, de la directive NIS2 de l'UE à la transposition allemande, jusqu'à la méthodologie de mise en œuvre pratique. Comprendre cette chaîne est essentiel pour tout responsable conformité : elle vous dit exactement d'où vient chaque exigence, pourquoi elle existe et comment la satisfaire au moyen de preuves documentées.
Directive NIS2
Directive (UE) 2022/2555, le cadre de cybersécurité à l'échelle de l'UE
BSIG
Loi fédérale allemande sur la cybersécurité, transpose NIS2 en droit allemand
CIR 2024/2690
Règlement d'exécution de l'UE, définit les mesures techniques minimales
IT-Grundschutz
Méthodologie du BSI, le cadre allemand établi pour mettre en œuvre ces mesures
Le §44(2) BSIG dispose que la conformité aux exigences du §30 BSIG peut être démontrée par la mise en œuvre de normes reconnues, et fait explicitement référence à l'IT-Grundschutz en tant que norme de ce type. Cela signifie que si vous mettez en œuvre le Grundschutz conformément à la méthodologie BSI-200-1 à BSI-200-4, vous disposez d'une base juridiquement reconnue pour revendiquer la conformité NIS2. Ce n'est pas un blanc-seing (vous avez toujours besoin de preuves), mais cela vous donne une méthodologie claire et approuvée par le BSI à suivre.
En pratique, cela signifie que vous n'avez pas à interpréter la directive NIS2 ou la CIR 2024/2690 à partir de zéro. Le Grundschutz Kompendium cartographie déjà les exigences techniques sur des Bausteine (modules) et des Anforderungen (exigences) spécifiques. Lorsque le BSI audite votre conformité NIS2, il l'audite par rapport à une méthodologie qu'il a lui-même créée, et non par rapport à une directive de l'UE abstraite. Cet alignement élimine l'écart d'interprétation qui pèse sur les entreprises d'autres États membres de l'UE.
Pour les auditeurs du BSI, la mise en œuvre du Grundschutz est un terrain familier. Ils auditent le Grundschutz depuis des décennies. Cela se traduit par une efficacité d'audit : les auditeurs savent exactement quelles preuves attendre, la terminologie est normalisée et la méthodologie est documentée en allemand. Comparez cela au fait de défendre une approche de conformité ad hoc face à la CIR rédigée en anglais. L'avantage pratique est considérable.
La CIR 2024/2690 (règlement d'exécution de la Commission) a été publiée le 17 octobre 2024 et établit les exigences techniques et méthodologiques de conformité NIS2 dans l'ensemble de l'UE. Elle s'applique directement (aucune transposition nécessaire) et définit les mesures minimales que toutes les entités essentielles et importantes doivent mettre en œuvre. C'est le plancher, pas le plafond.
La CIR ne lie directement que 11 types d'entités numériques spécifiques : les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les services d'informatique en nuage, les fournisseurs de centres de données, les réseaux de diffusion de contenu, les services gérés, les services de sécurité gérés, les places de marché en ligne, les moteurs de recherche en ligne, les plateformes de réseaux sociaux et les prestataires de services de confiance. Toutefois, le §30 BSIG impose de manière autonome les mêmes 10 mesures (art. 21(2) NIS-2) à tous les secteurs couverts par NIS2 en Allemagne, de sorte que le détail technique de la CIR devient la référence de fait même en dehors de son champ d'application direct.
Le Grundschutz Kompendium couvre chaque domaine de mesure de la CIR et va plus loin grâce à ses Bausteine. Là où la CIR se contente de dire « mettre en œuvre un contrôle d'accès », le Grundschutz précise exactement comment, par exemple au moyen de modules comme ORP.4 (gestion des identités et des accès) assortis d'orientations de mise en œuvre étape par étape. C'est pourquoi le §44(2) BSIG reconnaît le Grundschutz : il constitue un sur-ensemble des domaines de mesure de la CIR, et non un simple équivalent.
Reconnaissance par le BSI
L'IT-Grundschutz est explicitement mentionné au §44(2) BSIG comme norme reconnue pour démontrer la conformité NIS2. Une certification ISO 27001 peut appuyer votre dossier, mais elle n'est pas spécifiquement nommée dans la loi. Lorsque le BSI est à la fois l'auteur du cadre et l'autorité d'application, l'alignement compte.
Couverture des exigences
Le Grundschutz couvre chaque domaine de mesure de la CIR 2024/2690 à travers les Bausteine de son Kompendium et va plus loin de manière prescriptive. L'ISO 27001 couvre largement la gestion de la sécurité de l'information, mais ne traite pas spécifiquement de toutes les mesures du §30 BSIG, en particulier les délais de notification d'incident propres à NIS2 (§32 BSIG), les exigences de chaîne d'approvisionnement (§30(2)(4) BSIG) et les obligations de l'organe de direction (§38 BSIG). Il vous faudrait l'ISO 27001 plus des compléments pour combler les lacunes.
Langue et méthodologie
Le Grundschutz est élaboré en allemand, par le BSI, pour les organisations allemandes. La terminologie correspond exactement au BSIG. L'ISO 27001 est une norme internationale publiée en anglais, avec une terminologie différente et une méthodologie moins prescriptive. Pour une entreprise allemande du Mittelstand de 100 personnes, les orientations de mise en œuvre concrètes et en langue allemande du Grundschutz sont nettement plus pratiques que les objectifs de contrôle abstraits de l'ISO 27001.
Avantage en matière d'audit
Lorsque le BSI audite votre conformité NIS2, présenter des preuves structurées selon le Grundschutz signifie que l'auditeur parle votre langue. La méthodologie, la structure documentaire et les attentes en matière de preuves sont normalisées. Cela se traduit par des audits plus rapides, moins de malentendus et des résultats plus clairs.
Alignement avec le BSI
Le BSI publie le Grundschutz Kompendium, fait appliquer la conformité NIS2 et peut inspecter votre mise en œuvre dans le cadre de ses pouvoirs de surveillance (§61 BSIG) ; la certification formelle est réalisée par des auditeurs accrédités par le BSI. Utiliser la méthodologie propre au BSI garantit que votre interprétation des exigences correspond à celle du régulateur. Il n'y a aucun écart d'interprétation : l'organisation même qui définit les règles fournit aussi le mode d'emploi.
Sécurité juridique
Le §44(2) BSIG confère à la mise en œuvre du Grundschutz une assise juridique explicite en tant que preuve de conformité. C'est la position juridique la plus solide possible : vous suivez la méthodologie reconnue par la loi elle-même. En cas de contestation, vous pouvez invoquer une disposition légale précise qui valide votre approche, et non simplement les meilleures pratiques du secteur ou l'avis d'un consultant.