Comment se préparer à un audit du BSI au titre des §64 et §65 BSIG
L'article 32 NIS2 dote chaque autorité de contrôle d'une boîte à outils fixe. Le §64 BSIG la recopie en droit allemand. Cette page parcourt l'échelle de preuve en quatre étapes qu'utilise le BSI, ainsi que ce à quoi une entité essentielle, une entité importante et un opérateur KRITIS doivent chacun être prêts.
En bref
Un audit du BSI n'est pas un événement unique. L'article 32 NIS2 énumère un ensemble fixe de pouvoirs de contrôle pour les entités essentielles : inspections sur place, audits de sécurité ciblés par un organisme indépendant, audits ad hoc lorsqu'il existe un motif justifié, analyses de sécurité, et demandes écrites d'informations et de documents. Le BSI gravit cette échelle.
Le §64 BSIG transpose ces pouvoirs en droit allemand sous la forme d'Auskunfts- und Unterlagenanforderung, de Vor-Ort-Prüfung et de technische Untersuchung. Le §61 BSIG fixe les pouvoirs de contrôle environnants. Le §65 BSIG est l'endroit où se trouvent les sanctions. Les sanctions atteignent dix millions d'euros ou deux pour cent du chiffre d'affaires du groupe pour les entités essentielles et sept millions ou un virgule quatre pour cent pour les entités importantes, reflétant l'article 34 NIS2.
La plupart des audits n'atteignent jamais l'étape sur place. Une documentation propre, un organe de direction capable d'en répondre et un plan de traitement écrit pour les lacunes connues mettent fin à l'audit à l'étape un ou deux. Cette page parcourt l'échelle, le texte juridique qui la sous-tend, et les trois pièges qui transforment un audit sur pièces en une visite sur site.
Article 32 de la directive NIS2 (2022/2555)
Les États membres veillent à ce que les mesures de contrôle imposées aux entités essentielles aux fins de la présente directive soient effectives, proportionnées et dissuasives, en tenant compte des circonstances de chaque cas d'espèce. Lorsqu'elles exercent leurs pouvoirs de contrôle à l'égard des entités essentielles, les autorités compétentes ont le pouvoir de soumettre ces entités à : a) des inspections sur place et un contrôle hors site, y compris des contrôles aléatoires, effectués par des professionnels formés ; b) des audits de sécurité réguliers et ciblés effectués par un organisme indépendant ou une autorité compétente ; c) des audits ad hoc, y compris lorsqu'ils sont justifiés par un incident important ou une infraction à la présente directive par l'entité essentielle ; d) des analyses de sécurité fondées sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents, le cas échéant avec la coopération de l'entité concernée ; e) des demandes d'informations nécessaires pour évaluer les mesures de gestion des risques en matière de cybersécurité adoptées par l'entité concernée.
L'article 32 fixe la boîte à outils ex ante pour les entités essentielles. L'article 33 la reproduit pour les entités importantes mais en tant que contrôle ex post, ce qui signifie que le BSI ne peut agir que lorsqu'il dispose d'indications de non-conformité. L'article 34 fixe les plafonds de sanction que le BSIG recopie.
Règlement d'exécution (UE) 2024/2690 de la Commission, annexe
Aux fins de l'article 21(2) de la directive (UE) 2022/2555, les entités concernées établissent, mettent en œuvre et appliquent une politique de sécurité des réseaux et des systèmes d'information [...] et le cadre de gestion des risques [...] traitant les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information.
L'annexe de la CIR est ce par rapport à quoi un auditeur vérifie réellement. Elle précise ce que la gestion des risques, la sécurité de la chaîne d'approvisionnement, la gestion des incidents, la continuité d'activité, la formation, la cryptographie, le contrôle d'accès et les autres mesures de l'article 21(2) doivent contenir. La directive donne au BSI le droit de regarder. L'annexe de la CIR fixe le niveau d'exigence.
§64 BSIG (Allemagne)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
Le §64 BSIG donne au BSI trois pouvoirs opérationnels : demander des documents, pénétrer dans vos locaux pendant les heures ouvrables, mener une inspection technique. Le §61 BSIG fixe le mandat de contrôle plus large. Le §65 BSIG fixe les sanctions, avec les plafonds de l'article 34 repris directement. Les opérateurs KRITIS portent une obligation de preuve triennale supplémentaire au titre du §29 BSIG.
Demande de documentation et entretien de revue
L'étape un est une Auskunfts- und Unterlagenanforderung écrite au titre du §64 BSIG. Le BSI demande votre cadre de gestion des risques, votre liste d'actifs, votre politique de gestion des incidents, vos dossiers de formation, vos mesures de chaîne d'approvisionnement et les éléments de preuve de la formation de l'organe de direction du §38 BSIG. L'étape deux est un appel de revue : le BSI demande aux rôles responsables d'expliquer ce qui est sur le papier. Un membre de l'organe de direction est généralement attendu à cet appel. La plupart des audits se concluent ici.
Inspection sur place
Si la documentation manque ou si la revue expose des lacunes que le BSI ne peut concilier, le §64 BSIG l'autorise à pénétrer dans vos locaux pendant les heures ouvrables et à inspecter. Il demandera à voir comment les politiques se traduisent en pratique : sauvegardes effectivement exécutées, contrôle d'accès effectivement appliqué, manuels d'incident effectivement connus. L'article 32(2)(c) lui permet d'escalader de manière ad hoc après un incident important, sans préavis. Le remède n'est pas de bien se comporter le jour même. C'est de n'avoir rien que la revue ne pouvait déjà montrer.
Audit de sécurité ciblé et inspection technique
L'article 32(2)(b) permet au BSI d'ordonner un audit de sécurité régulier ou ciblé par un organisme indépendant, à vos frais. Le §64 BSIG ajoute la technische Untersuchung : analyses, revues de configuration, analyse de journaux. L'article 32(2)(d) lui permet de mener des analyses de sécurité sur votre périmètre selon des critères objectifs et non discriminatoires. Cette étape est rare pour les entités importantes, structurellement disponible pour les entités essentielles, et la voie standard pour les opérateurs KRITIS au titre du §29 BSIG (cycle de Nachweis triennal).
Daté et signé l'emporte sur exhaustif
Un auditeur ne veut pas une politique parfaite. Il veut une politique qui est datée, signée par un propriétaire nommé, revue pour la dernière fois au cours des douze derniers mois, et traçable à une version. Une politique de six pages avec une validation du directeur général d'il y a deux mois vaut plus qu'une politique de quarante pages que personne ne détient. Des lacunes connues assorties d'un plan de traitement écrit et d'une date cible conviennent. Des lacunes inconnues et des décisions non documentées, non.
L'organe de direction doit être dans la pièce
L'article 20 NIS2 met l'organe de direction sur la sellette pour l'approbation des mesures de gestion des risques en matière de cybersécurité et la supervision de leur mise en œuvre. Le §38 BSIG le transpose avec une responsabilité personnelle. Une revue du BSI où le directeur général ne peut pas répondre du tableau des risques est en soi un constat. Le remède n'est pas un script. C'est une revue trimestrielle à laquelle le directeur général assiste effectivement.
Audit standard du BSI + Nachweis KRITIS du §29
Pour les entités essentielles et importantes, le BSI exerce l'échelle du §64 BSIG à partir de la demande de documentation et vers le haut. Pour les opérateurs KRITIS (infrastructure critique au titre du §28 BSIG), le §29 BSIG ajoute une obligation de Nachweis triennale : tous les trois ans, l'opérateur soumet des éléments de preuve (typiquement un rapport d'audit externe) qui montrent que les mesures du §30 BSIG sont en place. Le Nachweis du §29 est rythmé par le calendrier et ne dépend pas du déclenchement d'un audit par le BSI.
ENISA + Groupe de coopération NIS
L'ENISA, l'agence de cybersécurité de l'UE, publie la Technical Implementation Guidance (TIG) qui met en correspondance l'article 21 NIS2 avec des normes établies telles qu'ISO/IEC 27001:2022 et NIST CSF 2.0. Le Groupe de coopération NIS au titre de l'article 14 NIS2 coordonne la pratique d'audit entre les États membres. Si vous opérez dans plusieurs pays, la substance que les auditeurs vérifient est la même. Les mécanismes (formulaires, canaux, délais) diffèrent.
Autorités compétentes sectorielles
Pour certains secteurs (énergie, finance, télécommunications), le contrôle relève en partie du régulateur sectoriel (BNetzA, BaFin) au lieu du BSI ou à ses côtés. La directive le permet et le §61 BSIG nomme les répartitions de compétence. Les pouvoirs de l'article 32 eux-mêmes ne changent pas. L'autorité qui se présente à la porte, oui.
Si nos politiques sont rédigées, nous sommes prêts.
Les politiques rédigées sont l'étape un. La revue de l'étape deux est l'endroit où l'audit se décide réellement. L'auditeur demande au rôle responsable d'expliquer comment la politique fonctionne en pratique. Si le rôle ne peut pas l'expliquer, la politique est du papier et l'audit passe sur site au titre du §64 BSIG. Le traitement n'est pas de meilleures politiques. C'est la personne responsable qui les utilise effectivement et l'organe de direction qui les revoit effectivement.
Nous mettrons la documentation en ordre une fois que la lettre d'audit arrivera.
Le BSI accorde généralement un délai de deux à quatre semaines pour la demande de documentation du §64. Construire un registre des risques, un inventaire des actifs et une politique de gestion des incidents à partir de zéro dans cette fenêtre n'est pas réaliste. Cela produit aussi le pire artefact possible pour un auditeur : un document frais sans historique de version, sans validations antérieures et sans usage traçable. Les documents doivent être exploités, et non produits pour la lettre.
Nous ne sommes responsables que de ce que nous exploitons nous-mêmes, pas de nos fournisseurs.
L'article 21(2)(d) NIS2 et le §30(2)(4) BSIG placent la sécurité de la chaîne d'approvisionnement sur l'entité, et non sur le fournisseur. Une réponse en boîte noire du type « notre fournisseur de services gérés s'en occupe » est un constat. L'auditeur demandera les clauses contractuelles, l'évaluation des risques fournisseur et les éléments de preuve que vous contrôlez le fournisseur. Les opérateurs KRITIS y sont confrontés plus durement : le Nachweis du §29 couvre aussi les services gérés. Vous pouvez externaliser l'exploitation, pas la responsabilité.
Un fournisseur d'énergie régional avec lequel nous travaillons relève du champ d'application en tant qu'opérateur KRITIS au titre du §28 BSIG. Leur dernier Nachweis du §29 remonte à dix-huit mois, le prochain est dû dans dix-huit. Ils mènent la préparation en continu : chaque trimestre, le RSSI parcourt une mesure du §30 BSIG avec le directeur général, capture les éléments de preuve (version de la politique, validation, dernière revue, points de traitement ouverts) et clôt toute lacune avant le trimestre suivant. Au moment où l'auditeur frappe, rien n'est produit pour la visite. Tout est daté.
Le Nachweis du §29 lui-même passe par un auditeur externe mandaté par l'opérateur. Le BSI ne mène pas l'audit directement : il accepte le rapport externe. Le rapport d'audit signale les lacunes comme « erhebliche Mängel » (défauts importants), « sonstige Mängel » (autres défauts) ou aucun. Les défauts importants déclenchent des obligations de suivi. Les autres défauts s'accompagnent d'un plan de traitement et d'une date cible. Le fournisseur d'énergie clôt environ quatre-vingts pour cent des constats d'audit avant que le rapport ne parte au BSI, en traitant la liste des lacunes comme l'ordre du jour permanent des deux trimestres suivants.
Chaque exigence NIS2 sur la plateforme produit trois éléments par défaut : une politique avec une version et une validation, une revue récurrente assortie d'un délai, et une piste d'audit qui consigne qui a fait quoi et quand. Une Auskunfts- und Unterlagenanforderung au titre du §64 BSIG devient un export, et non un projet de rédaction. Vous remettez un paquet de preuves conditionné (politiques, validations, liste d'actifs, registre des risques, journal d'incidents, dossiers de formation, liste des fournisseurs) au lieu de fouiller pour trouver des fichiers.
Pour les opérateurs KRITIS, le Nachweis du §29 fonctionne sur les mêmes données. L'auditeur externe obtient une vue en lecture seule des mêmes artefacts que l'entreprise exploite déjà. Il n'y a pas de second outil, pas de pile de tableurs parallèle, et pas de course effrénée la semaine de l'audit. L'enjeu est structurel : le jour où la lettre d'audit arrive, vous ne préparez pas. Vous exportez.
- Directive (UE) 2022/2555 (NIS2), articles 32, 33, 34 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi BSI (BSIG), §29 (Nachweis KRITIS), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete « NIS 2 Pflichten » — bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance pour la CIR (UE) 2024/2690 (au mai 2026)
- Documents de référence du Groupe de coopération NIS sur la pratique de contrôle — digital-strategy.ec.europa.eu