Loi-cadre KRITIS en vigueur : ce que les exploitants d’installations critiques doivent mettre en œuvre d’ici juillet 2026

⏱ 12 min de lecture

Avec l’adoption du texte par le Bundesrat le 6 mars 2026, la loi-cadre KRITIS est définitivement entrée en vigueur. Pour quelque 2 000 exploitants d’infrastructures critiques en Allemagne, le compte à rebours commence maintenant : d’ici au 17 juillet 2026, ils devront s’enregistrer auprès de l’Office fédéral de la protection de la population et de l’aide en cas de catastrophe (BBK) – et démontrer bien plus que leur seule sécurité informatique. Pour la première fois, la loi impose une protection physique et organisationnelle transsectorielle qui va bien au-delà des exigences NIS2 actuelles.

Ce que régit la loi-cadre KRITIS – et pourquoi elle arrive maintenant

La directive de l’UE sur la résilience des entités critiques (directive CER, 2022/2557) oblige tous les États membres à créer des réglementations nationales pour la protection physique des infrastructures critiques. L’Allemagne met en œuvre cette exigence avec la loi-cadre KRITIS – la première loi fédérale à rendre obligatoires, tous secteurs confondus, la sécurité physique et la résilience organisationnelle.

Jusqu’à présent, en Allemagne, la protection des infrastructures critiques reposait surtout sur la réglementation du BSI dans le domaine numérique (loi sur la sécurité informatique, désormais NIS2). Les risques physiques tels que le sabotage, les catastrophes naturelles ou les pénuries d’approvisionnement étaient réglementés secteur par secteur, voire pas du tout. Les attaques contre les gazoducs Nord Stream en 2022, les actes de sabotage ciblés contre les infrastructures ferroviaires et la menace hybride croissante ont fortement accru la pression politique.

Résultat : une loi qui regroupe la sécurité physique, la protection du personnel, la gestion de crise et les obligations de signalement dans un cadre réglementaire unique – tout en allant délibérément au-delà du seul domaine de la sécurité informatique.

« Les infrastructures critiques sont l’épine dorsale de notre société. Leur protection est une mission qui incombe à l’ensemble de l’État et qui doit penser ensemble la résilience physique et numérique. »Ministère fédéral de l’Intérieur, à propos de l’adoption de la loi-cadre KRITIS

Les 11 secteurs KRITIS en un coup d’œil

La loi-cadre KRITIS définit onze secteurs considérés comme des infrastructures critiques. Pour chaque secteur, le BBK fixe des seuils spécifiques à partir desquels un exploitant entre dans le champ de la réglementation :

● Énergie : électricité, gaz, pétrole, chauffage urbain – production, transport et distribution. Outre les grands fournisseurs, les régies municipales et les gestionnaires de réseaux dépassant les seuils sont également concernés.

● Transport et circulation : aéroports, ports, infrastructure ferroviaire et transport routier. Les actes de sabotage visant la Deutsche Bahn ont montré à quel point ce secteur est vulnérable.

● Banque et infrastructure des marchés financiers : banques d’importance systémique et infrastructures boursières. Il existe ici d’importants chevauchements avec DORA.

● Santé : hôpitaux, laboratoires, entreprises pharmaceutiques et fabricants de dispositifs médicaux dépassant les seuils.

● Eau potable et eaux usées : approvisionnement en eau et assainissement des eaux usées – un secteur qui dépend particulièrement de la sécurité physique.

● Infrastructure numérique : centres de données, services DNS, IXP – avec de forts chevauchements avec NIS2 ; la loi-cadre KRITIS intervient ici en complément au niveau physique.

● Administration publique : autorités fédérales et régionales, dès lors qu’elles fournissent des services critiques.

● Espace : infrastructure satellitaire et installations au sol – un secteur qui n’a été explicitement intégré qu’avec la directive CER.

● Alimentation : production, transformation et distribution de denrées alimentaires à grande échelle.

● Production : fabrication de biens critiques – par exemple dispositifs médicaux, électronique ou produits chimiques.

● Recherche : établissements de recherche pertinents pour la sécurité publique ou l’approvisionnement.

Loi-cadre KRITIS vs NIS2 : qui réglemente quoi ?

La distinction entre la loi-cadre KRITIS et NIS2 est la question centrale que les exploitants doivent comprendre. Les deux lois concernent en partie les mêmes entreprises – mais elles réglementent des domaines de risque différents.

NIS2 (mise en œuvre en Allemagne par la loi de transposition de NIS2 et de renforcement de la cybersécurité) réglemente la cybersécurité numérique : sécurité des réseaux, réponse aux incidents, gestion des vulnérabilités, chaînes d’approvisionnement sûres dans le domaine informatique. La loi-cadre KRITIS, elle, vise la résilience physique et organisationnelle : protection périmétrique, contrôles d’accès, vérifications du personnel, gestion de la continuité d’activité et communication de crise.

En pratique, cela signifie qu’un fournisseur d’énergie doit pouvoir démontrer à la fois une sécurité informatique conforme à NIS2 et le respect des exigences de protection physique de la loi-cadre KRITIS. La bonne nouvelle : les entreprises qui disposent déjà d’un SMSI fonctionnel conforme à ISO 27001 ont une base solide. La mauvaise nouvelle : dans de nombreuses entreprises, la sécurité physique, la continuité d’activité et les vérifications du personnel ne sont pas au niveau désormais exigé par la loi.

Notre article NIS2 en Allemagne : ce que les entreprises doivent désormais savoir et mettre en œuvre offre un aperçu complet des exigences NIS2.

Les cinq obligations clés de la loi-cadre KRITIS

La loi définit cinq grands domaines d’obligations que tout exploitant concerné doit respecter :

1. Enregistrement obligatoire auprès du BBK

D’ici au 17 juillet 2026, tous les exploitants d’installations critiques devront s’enregistrer auprès de l’Office fédéral de la protection de la population et de l’aide en cas de catastrophe. L’enregistrement comprend des informations sur les installations exploitées, les services critiques fournis et les mesures de protection existantes. Sur la base de cet enregistrement, le BBK établira une vue d’ensemble nationale de tous les exploitants KRITIS – pour la première fois avec un tel niveau d’exhaustivité.

2. Évaluation des risques et planification de la résilience

Les exploitants doivent réaliser une évaluation complète des risques, couvrant non seulement les cyberrisques, mais aussi les menaces physiques : catastrophes naturelles, sabotage, terrorisme, pandémies et pénuries d’approvisionnement. Sur la base de cette évaluation, un plan de résilience doit être élaboré afin de définir des mesures de protection concrètes.

3. Mesures de protection physique

La loi exige des mesures techniques, organisationnelles et liées au personnel pour assurer la protection physique : sécurisation périmétrique, systèmes de contrôle d’accès, vidéosurveillance, systèmes de détection et mesures de protection structurelle. Leur ampleur dépend de la criticité de l’installation et du résultat de l’évaluation des risques.

4. Business Continuity Management (BCM)

Les exploitants doivent mettre en place un système de BCM qui garantit le maintien des services critiques même en cas de perturbations et de défaillances. Cela inclut des analyses d’impact sur l’activité, des plans d’urgence, des procédures de redémarrage et des exercices réguliers. La norme BCM ISO 22301 sert ici de référence.

5. Obligations de notification

Les incidents de sécurité qui affectent ou pourraient affecter la fourniture de services critiques doivent être signalés au BBK. La notification initiale doit intervenir dans un délai de 24 heures, et un rapport détaillé dans un délai de 72 heures. Il existe ici des parallèles avec les obligations de notification NIS2 auprès du BSI – mais avec des systèmes de notification et des interlocuteurs différents.

Vérification du personnel : l’effort sous-estimé

Un domaine que de nombreux exploitants n’ont pas encore vraiment anticipé est la vérification du personnel. La loi-cadre KRITIS prévoit que les collaborateurs travaillant dans des domaines relevant de la sécurité soient soumis à une vérification de fiabilité. Cela concerne non seulement le personnel interne, mais aussi les prestataires de services et les sous-traitants qui ont accès aux installations critiques.

Les détails de cette vérification seront réglementés par un décret distinct. Une chose est toutefois déjà claire : les exploitants doivent mettre en place des processus garantissant que seules les personnes vérifiées obtiennent l’accès aux zones relevant de la sécurité. Dans les secteurs à forte rotation du personnel ou comptant de nombreux prestataires externes – par exemple dans la logistique ou la santé – cela représente un effort organisationnel considérable.

La feuille de route : ce qui doit être fait, et pour quand

La mise en œuvre de la loi-cadre KRITIS suit un calendrier échelonné. Voici les étapes décisives :

● Mars 2026 – immédiatement : Vérifier si sa propre entreprise relève de la définition KRITIS. Les seuils seront définis dans le décret d’application de la loi – des projets existent déjà.

● Avril-mai 2026 : Réaliser une analyse des écarts. Lesquelles des cinq obligations clés sont déjà couvertes (p. ex. par ISO 27001, ISO 22301 ou une réglementation sectorielle) ? Où subsistent des lacunes ?

● Juin 2026 : Préparer les documents d’enregistrement. L’enregistrement auprès du BBK exige des informations détaillées sur les installations, les services et les mesures de protection – ce n’est pas un formulaire que l’on remplit en une heure.

● 17 juillet 2026 : Date limite pour l’enregistrement obligatoire. À partir de cette date, tous les opérateurs concernés devront être enregistrés auprès du BBK.

● T3-T4 2026 : Établir l’évaluation des risques et le plan de résilience. Le BBK mettra à disposition des guides et des modèles – mais la mise en œuvre opérationnelle incombe à l’opérateur.

● 2027 : Premiers contrôles par le BBK. L’office fédéral pourra réaliser des audits et exiger des améliorations en cas de lacunes.

Exploiter les synergies avec les normes existantes

Bonne nouvelle pour les entreprises qui sont déjà réglementées ou qui travaillent volontairement selon des normes reconnues : de nombreuses exigences de la loi-cadre KRITIS peuvent être couvertes par les systèmes de management existants.

● ISO 27001 (ISMS) : Couvre l’évaluation des risques, les contrôles d’accès et la gestion des incidents – mais principalement pour la sécurité de l’information. La sécurité physique n’est couverte qu’en partie (Annex A.7 et A.11).

● ISO 22301 (BCM) : Directement applicable aux exigences BCM de la loi-cadre KRITIS. L’analyse d’impact métier, les stratégies de reprise et les exercices y sont déjà définis.

● BSI-Grundschutz : Le compendium du BSI contient des modules pour la sécurité physique (modules INF) et la gestion d’urgence, qui peuvent être directement mis en correspondance avec les exigences KRITIS.

● Normes sectorielles : L’EnWG (énergie), l’IT-SRRL (télécommunications) ou le KHG (hôpitaux) contiennent déjà des exigences de protection propres à chaque secteur, qui servent de base.

Les entreprises qui utilisent ces normes de manière cohérente peuvent réduire considérablement l’effort de mise en œuvre de la loi-cadre KRITIS. La clé réside dans l’intégration : un système de management unifié qui réunit sous un même toit sécurité physique, sécurité informatique et BCM, au lieu de mener trois projets de conformité parallèles.

Amendes et responsabilité : ce que l’on risque en cas de non-respect

La loi-cadre KRITIS prévoit des sanctions lourdes. Les exploitants qui ne s’enregistrent pas, ne réalisent pas d’évaluation des risques ou ne respectent pas leurs obligations de notification s’exposent à des amendes pouvant atteindre 10 millions d’euros. C’est le même ordre de grandeur que pour NIS2 – et cela vise à souligner le sérieux de la réglementation.

En outre, la direction est personnellement responsable du respect des dispositions. Les gérants et les membres du directoire peuvent être tenus de réparer les manquements à leurs obligations. Cette responsabilité personnelle constitue une forte incitation à ne pas déléguer le sujet au service spécialisé pour ensuite l’oublier.

Notre article Cyberassurance 2026 : ce que les entreprises doivent savoir explique comment les entreprises peuvent se protéger contre les conséquences financières des incidents de sécurité.

Recommandations concrètes pour les exploitants

Que doivent faire concrètement les entreprises concernées dès maintenant ? Voici un plan d’action pragmatique :

● Lancer immédiatement l’analyse d’impact : Vérifiez, à partir des définitions sectorielles et des seuils, si votre entreprise relève de la loi. En cas de doute, consultez le BBK – mieux vaut poser une question de trop que manquer le délai d’enregistrement.

● Définir les responsabilités : La loi-cadre KRITIS exige la désignation d’un responsable de la résilience. Clarifiez dès maintenant qui assumera ce rôle, ainsi que les pouvoirs et les ressources dont cette personne disposera.

● Réaliser une analyse des écarts par rapport aux cinq obligations clés : Utilisez les cinq domaines d’obligation comme liste de contrôle et évaluez honnêtement où se situe votre entreprise. La sécurité physique et la vérification du personnel sont particulièrement sous-développées dans de nombreuses entreprises.

● Exploiter les synergies avec NIS2 : Si vous travaillez déjà à la mise en œuvre de NIS2, intégrez les exigences KRITIS dans le même cadre de projet. Les doublons peuvent être évités si la structure de gouvernance est adaptée.

● Impliquer les fournisseurs et prestataires : La sécurité physique ne s’arrête pas à la porte de l’usine. Vérifiez quels prestataires externes ont accès aux installations critiques et commencez les vérifications du personnel.

● Sécuriser le budget suffisamment tôt : La mise en place du BCM, les mesures de protection physique et les vérifications du personnel coûtent de l’argent. Ceux qui n’entament le processus budgétaire qu’en juin 2026 ne respecteront pas l’échéance de juillet.

Perspectives : la protection KRITIS comme facteur de compétitivité

La loi-cadre KRITIS est bien plus qu’une obligation de conformité supplémentaire. Elle oblige les entreprises à aborder leur résilience de manière systématique – à une époque où les menaces hybrides, les tensions géopolitiques et les événements climatiques démontrent chaque jour la vulnérabilité des infrastructures critiques.

Les entreprises qui profitent de cette loi pour porter leur sécurité physique et organisationnelle à un niveau professionnel ne seront pas seulement conformes. Elles seront également mieux placées que les concurrents qui se contentent du minimum lors des appels d’offres, pour les primes d’assurance et en matière de confiance des clients.

L’échéance est fixée : 17 juillet 2026. Cela laisse quatre mois. Ceux qui ne commencent pas maintenant ne seront pas prêts à temps. Vous trouverez les autres tendances qui marqueront la cybersécurité en 2026 dans notre aperçu Tendances cybersécurité 2026 : sept évolutions.

Questions fréquentes

Qui est concerné par la loi-cadre KRITIS ?

Les exploitants d’installations critiques dans onze secteurs qui dépassent certains seuils : énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace, alimentation, production et recherche. Au total, environ 2 000 exploitants sont concernés en Allemagne.

Quelle est la différence entre la loi-cadre KRITIS et NIS2 ?

NIS2 encadre la cybersécurité numérique (réseaux, systèmes informatiques, réponse aux incidents). La loi-cadre KRITIS vise la résilience physique et organisationnelle (protection périmétrique, BCM, vérification du personnel, communication de crise). Les deux lois peuvent concerner la même entreprise et se complètent.

Quels délais s’appliquent concrètement ?

L’enregistrement obligatoire auprès du BBK doit être effectué au plus tard le 17 juillet 2026. Les évaluations des risques et les plans de résilience doivent ensuite être élaborés ; les premiers contrôles par le BBK sont prévus à partir de 2027. Les délais exacts pour les différentes mesures seront fixés dans le règlement d’application de la loi.

Que se passe-t-il en cas d’infraction à la loi-cadre KRITIS ?

Des amendes pouvant atteindre 10 millions d’euros sont possibles. En outre, la direction est personnellement responsable du respect des dispositions. Le BBK peut mener des audits et ordonner des mesures correctives en cas de lacunes.

Quel est le lien entre la loi-cadre KRITIS et DORA ?

DORA (Digital Operational Resilience Act) fait office de lex specialis pour le secteur financier et traite de la résilience opérationnelle numérique. La loi-cadre KRITIS peut également s’appliquer lorsqu’un établissement financier est classé comme opérateur KRITIS – par exemple pour des banques d’importance systémique ou des infrastructures boursières. Dans ce cas, les deux cadres réglementaires doivent être respectés en parallèle.

Source de l’image de couverture : Pexels / Markus Spiske

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow