Exigences NIS2
Ce que les entités concernées doivent mettre en œuvre : 10 mesures obligatoires de cybersécurité, une cascade stricte de notification des incidents et une conformité fondée sur des preuves.
10 mesures obligatoires de gestion des risques (article 30 BSIG / article 21(2) NIS-2)
Toutes les entités essentielles et importantes doivent mettre en œuvre ces mesures. Il n'existe aucune période transitoire. Ces obligations s'appliquent depuis le 6 décembre 2025 en Allemagne.
Analyse des risques et politiques de sécurité de l'information
Établir et maintenir des politiques d'analyse des risques et de sécurité des systèmes d'information. Réaliser des évaluations régulières des risques couvrant tous les systèmes et processus critiques.
Traitement des incidents
Mettre en œuvre des procédures de prévention, de détection, d'identification, de confinement, d'atténuation et de réponse aux incidents de sécurité.
Continuité d'activité et gestion de crise
Gestion des sauvegardes, planification de la reprise après sinistre et procédures de gestion de crise afin d'assurer la résilience opérationnelle.
Sécurité de la chaîne d'approvisionnement
Mesures de sécurité pour les relations avec les fournisseurs directs et les prestataires de services. Comprend l'évaluation des pratiques de cybersécurité de tous les fournisseurs et des exigences contractuelles de sécurité.
Sécurité de l'acquisition, du développement et de la maintenance
Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information. Comprend le traitement des vulnérabilités et les procédures de divulgation.
Évaluation de l'efficacité
Politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques en cybersécurité. Tests et évaluation réguliers des contrôles de sécurité.
Formation à la cybersécurité et cyberhygiène
Pratiques de formation de base à la cybersécurité pour l'ensemble des salariés. Programmes de sensibilisation couvrant l'hameçonnage, l'ingénierie sociale, la gestion des mots de passe et les pratiques informatiques sûres.
Cryptographie et chiffrement
Politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement. Couvre les données au repos, les données en transit et la gestion des clés.
Sécurité du personnel, contrôle d'accès et gestion des actifs
Politiques de sécurité des ressources humaines, mécanismes de contrôle d'accès et procédures de gestion des actifs. Comprend l'intégration et le départ des collaborateurs, l'accès au moindre privilège et les inventaires d'actifs.
Authentification multifacteur et communications sécurisées
Utilisation de l'authentification multifacteur (MFA) ou de solutions d'authentification continue. Communications vocales, vidéo et textuelles sécurisées. Systèmes de communication d'urgence sécurisés au sein de l'entité.
Alerte précoce (Frühwarnung)
Indiquer si l'incident est soupçonné d'être causé par des actes illicites ou malveillants, et s'il pourrait avoir un impact transfrontalier.
Notification actualisée (Aktualisierte Meldung)
Évaluation de la gravité, évaluation de l'impact, indicateurs de compromission et analyse initiale des causes profondes si disponible.
Rapport final (Abschlussmeldung)
Description détaillée de l'incident, cause profonde confirmée, mesures d'atténuation prises, mesures préventives mises en œuvre et évaluation de l'impact transfrontalier.
Qu'est-ce qui constitue un incident « important » ?
Un incident de sécurité est qualifié d'important lorsqu'il a causé ou est susceptible de causer une perturbation opérationnelle grave ou des pertes financières pour l'entité.
Il est également qualifié d'important lorsqu'il a porté atteinte ou est susceptible de porter atteinte à d'autres personnes physiques ou morales en causant un dommage matériel ou immatériel considérable. Pour les 11 types d'entités numériques relevant du CIR 2024/2690 (DNS, cloud, MSP, MSSP, places de marché, moteurs de recherche, réseaux sociaux, services de confiance, etc.), des seuils quantitatifs supplémentaires s'appliquent au titre de l'article 3 du CIR (perte financière supérieure à 500 000 € ou 5 % du chiffre d'affaires annuel, exfiltration de secrets d'affaires, décès ou atteinte grave à la santé, accès non autorisé malveillant réussi), ainsi que des critères sectoriels aux articles 5 à 14 (par exemple, panne DNS de plus de 30 minutes, ou panne de cloud touchant plus de 5 % des utilisateurs).
Exigences d'audit et de preuve
Doivent démontrer leur conformité au moyen d'audits, d'inspections ou de certifications tous les 3 ans. Doivent inclure des systèmes de détection des attaques dans leurs mesures. Première échéance de preuve fixée par le BSI lors de l'enregistrement (~2028).
Aucun cycle d'audit obligatoire régulier, mais une documentation complète doit être maintenue. Le BSI peut procéder à des contrôles ponctuels proactifs et exiger des preuves à tout moment sur la base d'une sélection fondée sur les risques.
Doivent documenter la mise en œuvre de toutes les mesures requises. Les inspections du BSI sont uniquement réactives, déclenchées par des incidents ou un soupçon justifié de non-conformité.
- Rapports d'audit internes ou externes
- Certifications (ISO 27001, BSI IT-Grundschutz, etc.)
- Documentation complète des évaluations des risques, des mesures mises en œuvre et des revues d'efficacité
Une certification ISO 27001 ou IT-Grundschutz appuie la conformité NIS2 mais ne la garantit pas : les exigences du BSIG peuvent aller au-delà du périmètre d'une certification standard.
- Évaluer les pratiques de cybersécurité de tous les fournisseurs directs et prestataires de services
- Inclure des exigences de cybersécurité dans les contrats avec les fournisseurs
- Surveiller et réexaminer en continu la posture de sécurité des fournisseurs
- Coordonner la divulgation des vulnérabilités avec les fournisseurs
- Tenir compte de la qualité globale des produits et des pratiques des fournisseurs, y compris leurs procédures de développement sécurisé