Importante, essentielle ou KRITIS : le même travail, des conséquences différentes
NIS2 définit trois catégories d'entités réglementées. Les mesures de sécurité sont identiques pour les trois. Ce qui change, c'est la rigueur avec laquelle le BSI vous surveille et la sévérité de sa réaction en cas de manquement.
Trois catégories, un seul corpus de règles
La transposition allemande de NIS2 (BSIG) classe les entités réglementées en trois catégories : wichtige Einrichtungen (entités importantes), entités essentielles (besonders wichtige Einrichtungen) et Betreiber kritischer Anlagen (exploitants KRITIS). De nombreuses entreprises passent des semaines à essayer de déterminer dans quelle catégorie elles tombent avant d'entamer leur travail de conformité.
Voici l'enseignement clé : cela n'a aucune importance pour le travail lui-même. Les trois catégories doivent mettre en œuvre les mêmes 10 catégories de mesures de sécurité définies au §30(2) BSIG. La même gestion des risques. La même déclaration d'incidents. La même sécurité de la chaîne d'approvisionnement. Les mêmes contrôles d'accès. Les mêmes politiques de chiffrement. La même planification de la continuité d'activité.
Les différences portent sur la surveillance (la manière dont le BSI vous contrôle), les sanctions (le montant que vous payez en cas de non-conformité constatée) et trois obligations supplémentaires qui ne s'appliquent qu'aux exploitants KRITIS. Le processus de conformité que vous suivez sur NISD2 couvre les trois catégories de manière identique.
| Critère | Importante (Wichtig) | Essentielle (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Taille de l'entreprise | 50 salariés et plus OU >10M EUR de chiffre d'affaires et >10M EUR de bilan | 250 salariés et plus OU >50M EUR de chiffre d'affaires et >43M EUR de bilan | Toute taille - déterminée par des seuils d'infrastructure (par ex. 500 000 personnes desservies) |
| Secteurs | Annexe I (énergie, transports, finance, santé, eau, infrastructure numérique, espace) + Annexe II (services postaux, déchets, produits chimiques, denrées alimentaires, fabrication, services numériques, recherche) | Secteurs de l'Annexe I uniquement (les entités de taille moyenne relevant de l'Annexe I sont classées comme importantes, et non comme essentielles) | Sous-ensemble des entités essentielles - uniquement les entités exploitant une infrastructure dont la défaillance perturberait l'approvisionnement public |
| Inclusions indépendantes de la taille | Prestataires de services de confiance non qualifiés, petits fournisseurs de télécommunications | Services de confiance qualifiés, registres de TLD, fournisseurs DNS, grands fournisseurs de télécommunications | Exploitants d'installations critiques au sens de la BSI-KritisV (réseaux électriques, traitement de l'eau, hôpitaux, etc.) |
Le seuil de l'entreprise moyenne dans l'UE est : 50 salariés et plus OU (>10M EUR de chiffre d'affaires ET >10M EUR de bilan). Les deux critères financiers doivent être remplis simultanément - un chiffre d'affaires élevé à lui seul ne suffit pas. Pour les entités essentielles, le seuil de la grande entreprise est : 250 salariés et plus OU (>50M EUR de chiffre d'affaires ET >43M EUR de bilan). Ces exemples montrent comment les règles s'appliquent en pratique.
| Scénario | Salariés | Chiffre d'affaires | Bilan | Secteur | Classification |
|---|---|---|---|---|---|
| Société de négoce à fort chiffre d'affaires, petite équipe | 12 | 25M EUR | 18M EUR | Annexe I - Banque | Importante - les deux seuils financiers sont dépassés (>10M EUR), l'effectif est sans incidence |
| Grand fabricant, faible marge | 200 | 5M EUR | 3M EUR | Annexe II - Fabrication | Importante - un effectif ≥50 suffit, le chiffre d'affaires importe peu |
| Start-up SaaS, chiffre d'affaires élevé, équipe minuscule | 8 | 15M EUR | 4M EUR | Annexe I - Infrastructure numérique | Hors champ d'application - le chiffre d'affaires dépasse 10M EUR mais le bilan est inférieur à 10M EUR. Les DEUX sont nécessaires |
| Hôpital régional | 400 | 60M EUR | 45M EUR | Annexe I - Santé | Essentielle - 250 salariés et plus dans un secteur de l'Annexe I. Si >30 000 cas d'hospitalisation/an : KRITIS |
| Négociant en énergie, peu d'actifs | 15 | 120M EUR | 55M EUR | Annexe I - Énergie | Essentielle - les deux seuils financiers élevés sont dépassés (>50M EUR de chiffre d'affaires ET >43M EUR de bilan) |
| Entreprise de gestion des déchets | 80 | 8M EUR | 6M EUR | Annexe II - Déchets | Importante - 80 salariés ≥ seuil de 50, malgré un faible chiffre d'affaires. NACE E.38 uniquement (et non la dépollution E.39) |
| Fournisseur de services gérés (MSP) | 45 | 12M EUR | 11M EUR | Annexe I - Gestion de services TIC | Importante - moins de 50 salariés mais les deux seuils financiers sont dépassés. Également soumis au CIR 2024/2690 |
| Transformateur alimentaire, main-d'œuvre saisonnière | 55 (moyenne annuelle) | 9M EUR | 7M EUR | Annexe II - Denrées alimentaires | Importante - l'effectif est calculé en unités de travail par an (rec. 2003/361/CE art. 5). Les pics saisonniers comptent proportionnellement |
| Prestataire de services de confiance qualifié (qTSP) | 3 | 500K EUR | 200K EUR | Annexe I - Infrastructure numérique | Essentielle - indépendamment de la taille en vertu du §28(1) BSIG. Les qTSP sont toujours essentiels, quelle que soit leur taille |
| Distributeur de produits chimiques, grande filiale | 180 | 70M EUR | 50M EUR | Annexe II - Produits chimiques | Importante - malgré des données financières élevées, les secteurs de l'Annexe II plafonnent au niveau important. Seul Annexe I + grande = essentielle |
Seuils de taille selon la recommandation européenne 2003/361/CE art. 2, à laquelle renvoie l'article 2(1) de la directive NIS2. L'effectif est calculé en unités de travail par an (art. 5). Les règles relatives aux entreprises liées et partenaires (annexe art. 3) peuvent agréger l'effectif et les données financières de la société mère. Classification sectorielle selon les Annexes I/II de la directive NIS2, transposées au §28 BSIG, Anlage 1/2. Cas indépendants de la taille selon le §28(1) BSIG.
Ce qui est identique pour les trois catégories
Les obligations de conformité définies au §30(2) BSIG sont les mêmes pour les entités importantes, essentielles et KRITIS. Il n'existe pas de version allégée pour les entités importantes ni de version renforcée pour les entités essentielles. Les 10 catégories de mesures de sécurité s'appliquent de la même façon :
- Politiques et procédures de gestion des risques (§30(2) Nr. 1)
- Traitement et déclaration des incidents - 24h initial, 72h détaillé, rapport final à 1 mois (§32)
- Continuité d'activité et reprise après sinistre (§30(2) Nr. 3)
- Sécurité de la chaîne d'approvisionnement (§30(2) Nr. 4)
- Sécurité dans l'acquisition, le développement et la maintenance (§30(2) Nr. 5)
- Politiques d'évaluation de l'efficacité des mesures de sécurité (§30(2) Nr. 6)
- Cyberhygiène et formation (§30(2) Nr. 7)
- Politiques de cryptographie et de chiffrement (§30(2) Nr. 8)
- Sécurité des ressources humaines et contrôle d'accès (§30(2) Nr. 9)
- Authentification multifacteur et communications sécurisées (§30(2) Nr. 10)
- Enregistrement auprès du BSI dans un délai de 3 mois (§33)
- Responsabilité de la direction - responsabilité personnelle pour l'approbation et le suivi des mesures de sécurité (§38)
Cela signifie que la plateforme NISD2 couvre tous les types d'entités avec le même ensemble d'exigences. Que vous soyez une entreprise alimentaire importante ou un fournisseur d'énergie essentiel, le processus de conformité est identique. Vous remplissez les mêmes exigences, produisez les mêmes preuves et respectez les mêmes standards.
| Obligation | Importante | Essentielle | KRITIS |
|---|---|---|---|
| 10 mesures de sécurité (§30) | Requise | Requise | Requise |
| Déclaration d'incidents (§32) | 24h / 72h / 1 mois | 24h / 72h / 1 mois | 24h / 72h / 1 mois |
| Enregistrement auprès du BSI (§33) | Standard | Standard | Renforcé - service critique, indicateurs d'approvisionnement, localisation de l'installation, contact 24/7 |
| Responsabilité de la direction (§38) | Responsabilité personnelle | Responsabilité personnelle | Responsabilité personnelle |
| Surveillance du BSI | Réactive uniquement (§62) - le BSI n'agit que lorsqu'il existe des preuves de non-conformité | Proactive (§61) - le BSI peut auditer à tout moment sans motif | Proactive + cycle de preuve obligatoire tous les 3 ans (§39) |
| Amende maximale (base) | 7 000 000 EUR | 10 000 000 EUR | 10 000 000 EUR |
| Amende maximale (chiffre d'affaires) | 1,4 % du chiffre d'affaires mondial | 2 % du chiffre d'affaires mondial | 2 % du chiffre d'affaires mondial |
| Systèmes de détection d'attaques (§31) | Non requis | Non requis | Requis - capacité SIEM/SOC continue |
| Preuve de conformité obligatoire (§39) | Non requise | Non requise | Requise - tous les 3 ans, soumise au BSI |
KRITIS : trois obligations supplémentaires
Les exploitants KRITIS - les entités exploitant une infrastructure dont la défaillance perturberait l'approvisionnement public (réseaux électriques, traitement de l'eau, hôpitaux) - doivent satisfaire à trois exigences supplémentaires par rapport à ce que doivent faire les entités importantes et essentielles.
§31 - Systèmes de détection d'attaques (Angriffserkennungssysteme)
Vous devez disposer d'un système qui surveille votre réseau en permanence et qui est capable de repérer des attaques en cours ou de détecter qu'un intrus a déjà pénétré. En pratique, cela suppose de déployer un SIEM (Security Information and Event Management) - un logiciel qui collecte les journaux de chaque serveur, pare-feu et terminal, les corrèle et alerte sur les anomalies. Il doit utiliser à la fois la correspondance de motifs ET la détection d'anomalies, et non uniquement des signatures. La plupart des entreprises externalisent cela auprès d'un prestataire SOC géré (Security Operations Center), ce qui coûte généralement de 5 000 à 15 000 EUR par mois. Les entités NIS2 ordinaires peuvent se contenter d'une surveillance de base - les exploitants KRITIS, eux, ne le peuvent explicitement pas.
§33(2) - Enregistrement renforcé auprès du BSI
En plus de l'enregistrement standard (nom, secteur, contact), les exploitants KRITIS doivent indiquer au BSI précisément quel service critique ils fournissent (par ex. « approvisionnement en eau potable de 200 000 personnes »), quels composants critiques ils utilisent, la localisation physique de l'installation et un interlocuteur joignable 24/7 à toute heure. Les indicateurs d'approvisionnement doivent être déclarés chaque année - le BSI les utilise pour vérifier que vous dépassez toujours le seuil KRITIS (défini dans la BSI-KritisV, par ex. 500 000 personnes desservies pour l'eau, 104 MW pour l'électricité).
§39 - Preuve de conformité obligatoire tous les 3 ans (Nachweispflicht)
Tous les 3 ans, vous devez soumettre de manière proactive au BSI des résultats d'audit, des rapports de sécurité ou des certifications attestant la conformité à toutes les mesures du §30 et à la détection d'attaques du §31. Le BSI n'a pas à venir vous chercher - c'est vous qui venez à lui. Si le BSI constate des manquements, il émet des injonctions de remédiation contraignantes assorties de délais et exige la preuve que vous avez corrigé les problèmes. Considérez cela comme un cycle de certification ISO obligatoire, sauf que l'auditeur est l'État. Première échéance : décembre 2028 (5 ans pour les hôpitaux : décembre 2030).
Ce que cela signifie pour votre entreprise
Si vous êtes une entreprise de 50 à 250 salariés en Allemagne - l'utilisateur NISD2 type - vous êtes presque certainement classé comme wichtige Einrichtung (entité importante). Votre entreprise de fabrication, votre activité de transformation alimentaire ou votre fournisseur de services informatiques relève de cette catégorie. Le travail de conformité que vous devez accomplir est exactement le même que celui d'une grande entité essentielle ou même d'un exploitant KRITIS. La seule différence pratique : le BSI ne vous auditera pas de manière proactive sauf s'il a une raison de le faire (un incident, une plainte ou un signalement).
Ce n'est pas une raison d'en faire moins. Si le BSI vous audite - de manière réactive, après un incident - et vous trouve non conforme, des amendes pouvant atteindre 7 millions EUR ou 1,4 % du chiffre d'affaires mondial s'appliquent. Et votre direction est personnellement responsable en vertu du §38. La position la plus sûre est la conformité totale, quelle que soit la catégorie. NISD2 vous donne le même processus de conformité que celui utilisé par les entités essentielles et KRITIS, parce que les exigences sont identiques.
Questions fréquentes
Mon entreprise peut-elle être à la fois importante et essentielle ?
Non. Les catégories s'excluent mutuellement en vertu du §28 BSIG. Si vous atteignez le seuil des entités essentielles (250 salariés et plus ou >50M de chiffre d'affaires dans un secteur de l'Annexe I), vous êtes essentielle. Si vous atteignez le seuil des entités importantes mais pas celui des entités essentielles, vous êtes importante. KRITIS est un sous-ensemble des entités essentielles - les exploitants KRITIS sont automatiquement classés comme essentiels, avec des obligations supplémentaires en plus.
Je suis une entité importante. Dois-je accomplir moins de travail de conformité ?
Non. Les 10 catégories de mesures de sécurité du §30(2) BSIG s'appliquent de façon identique aux entités importantes et essentielles. La seule différence est l'application des règles : le BSI surveille les entités essentielles de manière proactive (audits aléatoires) et les entités importantes de manière réactive (uniquement après des preuves de non-conformité). Mais les mesures elles-mêmes, les délais de déclaration d'incidents et la responsabilité de la direction sont tous identiques.
Comment savoir si je suis KRITIS ?
La classification KRITIS est définie dans le règlement BSI-KritisV, sur la base de seuils d'approvisionnement précis : 500 000 personnes desservies pour l'eau, 104 MW de puissance installée pour l'électricité, 30 000 cas d'hospitalisation par an pour les hôpitaux, etc. Si la défaillance de votre infrastructure ne perturbait pas directement l'approvisionnement public à ces échelles, vous n'êtes pas KRITIS. La plupart des entreprises de taille intermédiaire ne sont pas KRITIS - elles sont des entités importantes ou essentielles.
Que se passe-t-il si je me trompe sur la classification de mon entité ?
La classification détermine l'intensité de la surveillance et les plafonds de sanction, et non ce que vous devez mettre en œuvre. Si vous mettez en œuvre les 10 catégories de mesures (ce dans quoi NISD2 vous guide), vous êtes conforme quelle que soit la classification. Le risque d'une mauvaise classification est de sous-estimer votre exposition à la surveillance - de penser que le BSI ne vous auditera pas alors qu'il le peut effectivement.
Le CIR 2024/2690 distingue-t-il les entités importantes des entités essentielles ?
Non. Le CIR s'applique à des types d'entités précis (fournisseurs de cloud, fournisseurs DNS, fournisseurs de services gérés, etc.) qu'elles soient classées comme importantes ou essentielles. Les exigences techniques du CIR sont identiques pour les deux catégories.
- §28 BSIG - Classification des entités (entités essentielles et importantes)
- §30 BSIG - Mesures de gestion des risques (10 catégories, identiques pour tous les types d'entités)
- §31 BSIG - Systèmes de détection d'attaques (KRITIS uniquement)
- §32 BSIG - Obligations de déclaration d'incidents (délais identiques pour tous les types d'entités)
- §33 BSIG - Obligations d'enregistrement (renforcées pour KRITIS)
- §38 BSIG - Responsabilité de la direction (identique pour tous les types d'entités)
- §39 BSIG - Preuve de conformité (KRITIS uniquement, tous les 3 ans)
- §61 BSIG - Surveillance des entités essentielles (proactive)
- §62 BSIG - Surveillance des entités importantes (réactive)
- §65 BSIG - Sanctions et amendes
- CIR 2024/2690 - Règlement d'exécution de l'UE (aucune distinction de type d'entité)
- BSI-KritisV - Règlement sur les seuils KRITIS