Loi-cadre KRITIS : ce qui attend les exploitants d’infrastructures critiques

Alors que le monde de la sécurité se concentre sur NIS2, le ministère fédéral de l’Intérieur travaille parallèlement sur la loi-cadre KRITIS – l’équivalent physique de la réglementation cybernétique. Pour la première fois en Allemagne, des normes minimales pour la protection physique des infrastructures critiques seront ancrées dans la loi au niveau fédéral. Les exploitants font face à une double charge de résilience numérique et physique.

L’essentiel

• La loi-cadre KRITIS met en œuvre la directive européenne CER (résilience des entités critiques)
• Premières normes de protection physique au niveau fédéral pour les exploitants KRITIS
• 11 secteurs concernés : énergie, eau, santé, transport, numérique, etc.
• Évaluations des risques, plans de résilience et obligations de déclaration pour les incidents physiques

NIS2 plus loi-cadre KRITIS : la double réglementation

NIS2 régit la cybersécurité, la loi-cadre KRITIS la protection physique – mais les destinataires se chevauchent massivement. Un fournisseur d’énergie devra à l’avenir respecter les deux réglementations : la gestion des risques cybernétiques selon NIS2 ET les plans de résilience physique selon la loi-cadre KRITIS.

Pour les exploitants, cela signifie : deux cadres de conformité, deux obligations de déclaration, potentiellement deux autorités de surveillance. Le défi réside dans l’intégration des deux exigences dans une gestion des risques cohérente.

Ce que la loi exige concrètement

Obligations centrales pour les exploitants KRITIS : évaluations régulières des risques (tous les 4 ans), plans de résilience avec des mesures de protection concrètes, obligation de déclaration en cas d’incidents perturbant gravement le fonctionnement, vérifications des antécédents pour les employés dans des domaines sensibles et désignation d’une personne de contact responsable auprès du BBK.

Nouveau est l’approche « All-Hazards » : l’évaluation des risques doit inclure non seulement le sabotage et le terrorisme, mais aussi les catastrophes naturelles, les pandémies et les pannes techniques. Cela intègre l’adaptation au climat comme thème de sécurité.

Les 11 secteurs concernés

Énergie, transport, secteur bancaire, infrastructures du marché financier, santé, eau potable, eaux usées, infrastructures numériques, administration publique, espace et alimentation. La délimitation précise des entreprises au sein de ces secteurs considérées comme « installations critiques » est définie par des seuils.

Important pour les PME : les seuils s’orientent vers l’importance de l’approvisionnement, et non vers la taille de l’entreprise. Une petite entreprise de services publics peut être tout aussi concernée qu’un groupe du DAX.

Recommandation de mise en œuvre : intégration plutôt que double travail

Les entreprises qui travaillent déjà à la conformité NIS2 ne devraient pas traiter la loi-cadre KRITIS comme un projet séparé. La recommandation : construire un système de gestion de la résilience intégré qui couvre à la fois les risques cybernétiques et physiques.

La norme ISO 22301 (continuité des activités) offre un cadre qui combine les deux dimensions. Celui qui certifie son BCMS selon 22301 répond automatiquement à une grande partie des exigences de la loi-cadre KRITIS.

Faits clés

Base européenne : directive CER (résilience des entités critiques), à mettre en œuvre d’ici octobre 2024

Secteurs : 11 secteurs avec environ 2 000 exploitants concernés en Allemagne

Obligation de déclaration : 24 heures pour les perturbations importantes du fonctionnement

Questions fréquentes

La loi-cadre KRITIS s’applique-t-elle également aux entreprises de technologie de l’information ?

Oui, le secteur « infrastructures numériques » comprend les centres de données, les services DNS, les registres de noms de domaine de premier niveau et les points d’échange Internet. Les fournisseurs de services cloud et les fournisseurs de services gérés peuvent également être concernés, en fonction des seuils.

Comment cela se rapporte-t-il à la loi existante sur la sécurité informatique ?

La loi sur la sécurité informatique 2.0 régit la cybersécurité pour les KRITIS (remplacée par la mise en œuvre de NIS2). La loi-cadre KRITIS complète la dimension physique. Les deux lois s’appliquent en parallèle.

Combien coûte la mise en œuvre ?

Cela dépend du niveau de maturité : les entreprises disposant d’un BCM existant selon ISO 22301 ont un effort supplémentaire faible. Sans structures existantes : 6 à 12 mois de durée de projet, 100 000 à 500 000 EUR pour les PME (conseil, mesures, documentation).

Articles connexes

• Étude de cas : Prêt pour NIS2 en 6 mois – Un exemple de service public
• Tendances de la cybersécurité 2026 : les 7 développements que les décideurs en sécurité doivent connaître
• Check-list NIS2 2026 : ce que les entreprises doivent mettre en œuvre maintenant

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Efe Burak Baydar

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow