Qu'est-ce que le BSI ?
Autorité fédérale supérieure relevant du ministère fédéral de l'Intérieur, établie au titre du §1 BSIG. Au titre de NIS 2, il est l'autorité compétente, le point de notification unique et l'exploitant du CSIRT national.
Ce que c'est
Quiconque réfléchit pour la première fois à NIS 2 en Allemagne finit par arriver au BSI. L'Office fédéral de la sécurité des technologies de l'information siège à Bonn, existe depuis 1991, et au titre du §1 BSIG, il est l'autorité fédérale de cybersécurité. En pratique, cela signifie : tout ce que vous devez notifier, enregistrer ou prouver au titre de NIS 2 finit par passer par le BSI.
Ce qui déroute de nombreux lecteurs novices : au titre de NIS 2, le BSI n'a pas un rôle mais quatre. Il est l'autorité compétente au titre de l'art. 8 NIS 2, le point unique auquel vous notifiez les incidents importants au titre du §32 BSIG, l'organisme auprès duquel vous vous enregistrez au titre du §33 BSIG, et l'exploitant du CSIRT national (CERT-Bund) au sens de l'art. 10 NIS 2. Quatre interfaces, une seule autorité.
En pratique, vous rencontrez le BSI à trois points de contact : l'enregistrement, la notification des incidents et la supervision. Ce que le BSI ne fait pas : le conseil juridique propre à un cas, la certification ISO 27001 ou le conseil en mise en œuvre. Le travail de mise en œuvre reste à votre charge, en interne ou avec une aide externe.
§1 BSIG (établissement)
La Fédération maintient, en tant qu'autorité fédérale supérieure relevant du portefeuille du ministère fédéral de l'Intérieur, de la Construction et de la Patrie, l'Office fédéral de la sécurité des technologies de l'information.
Autorité fédérale supérieure indépendante signifie que le BSI est organisationnellement distinct mais soumis à la tutelle spécialisée et hiérarchique du ministère fédéral de l'Intérieur. Il n'agit ni comme un ministère ni comme un tribunal.
§3 BSIG (missions)
L'Office fédéral promeut la sécurité de l'information. À cette fin, il exécute les missions suivantes : la défense contre les menaces pesant sur la sécurité des technologies de l'information fédérales, la collecte et l'évaluation des informations sur les risques de sécurité, le conseil et l'alerte, la définition de normes minimales.
Le catalogue du §3 BSIG est large. Pour NIS 2, les missions les plus pertinentes sont le conseil et l'alerte, la définition de normes minimales et le soutien aux autorités compétentes dans l'investigation des incidents de sécurité.
Art. 8 NIS 2 (autorités compétentes) + §32, §33 BSIG
Les États membres désignent une ou plusieurs autorités compétentes chargées de la cybersécurité. Ils veillent à ce que ces autorités compétentes contrôlent l'application de la présente directive au niveau national.
L'Allemagne a désigné le BSI comme autorité compétente au titre de l'art. 8 NIS 2. Les notifications passent par le §32 BSIG et les enregistrements par le §33 BSIG.
Autorité d'enregistrement
Vous vous enregistrez via le portail du BSI au titre du §33 BSIG. Trois mois à compter du moment où vous relevez pour la première fois du champ d'application de NIS 2. Données obligatoires : données de base, secteur, personne de contact, périmètre d'activité, classe de taille.
Point de notification unique
Vous notifiez les incidents importants au titre du §32 BSIG via le point de notification unique du BSI. Alerte précoce dans les 24 heures, notification de suivi dans les 72 heures, rapport final dans un délai d'un mois. Les deux délais courent à compter du moment où vous en prenez connaissance.
CSIRT national (CERT-Bund)
CERT-Bund est le CSIRT national de l'Allemagne au sens de l'art. 10 NIS 2. Il reçoit les notifications d'incidents, coordonne la réponse et échange des informations avec les autres États membres au sein du réseau des CSIRT de l'UE.
Supervision
La supervision des entités NIS 2 est ancrée dans le BSIG. Le BSI peut demander des informations, ordonner des audits et émettre des directives. Les amendes sont infligées au titre du §65 BSIG.
Pôle d'information et d'alerte
Rapports de situation, alertes de sécurité, normes minimales techniques : le BSI publie en continu. L'Alliance pour la cybersécurité et UP KRITIS y ajoutent des orientations pratiques.
Pas une source de conseil juridique individuel
Orientations générales et normes minimales : oui. Appréciation juridique de vos faits spécifiques : non. Pour cela, vous avez besoin d'un avocat.
Pas un organisme de certification ISO 27001
Le BSI ne délivre pas de certificats ISO 27001. Ce que le BSI gère, ce sont ses propres schémas de certification, par exemple IT-Grundschutz et Common Criteria. Ils sont indépendants de l'ISO.
Pas un consultant en mise en œuvre
Le BSI inspecte et supervise, il ne met pas en œuvre à votre place. Le travail opérationnel NIS 2 se déroule au sein de votre entité, avec vos collaborateurs ou avec un conseil externe.
Lors des échanges avec les équipes de direction abordant NIS 2 pour la première fois, deux questions reviennent : que dois-je notifier, que dois-je enregistrer. Les réponses figurent aux §32 et §33 BSIG. Les deux passent par le portail du BSI, les deux nécessitent un certificat d'organisation ELSTER comme justificatif d'accès.
Le pôle central d'information reste bsi.bund.de. Le portail de notification proprement dit a sa propre adresse et y est lié. Les lecteurs novices ont tendance à confondre les deux.
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), en particulier §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Directive (UE) 2022/2555 (NIS 2), art. 8, 10, 23, 27, www.eur-lex.europa.eu
- Site web du BSI : www.bsi.bund.de
- Loi de mise en œuvre de NIS-2 et de renforcement de la cybersécurité (NIS2UmsuCG)
Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, publications du BSI). Elle ne constitue pas un conseil juridique au sens du §2 RDG. Pour les cas spécifiques, consultez un avocat admis. État au 2026-06-04.