Loi-cadre KRITIS : Quand la résilience devient une obligation pour le CISO
7 Min. Temps de lecture
Depuis le 17 mars 2026, la loi-cadre KRITIS est en vigueur. Pour la première fois, des normes minimales uniformes au niveau fédéral s’appliquent à la protection physique des installations critiques, parallèlement au régime de cybersécurité de la loi BSI. Pour les CISOs, cela signifie un changement : la résilience ne peut plus être divisée en une colonne IT et une colonne bâtiment.
Les points clés en bref
- Nouveau cadre juridique depuis mars 2026 : La loi-cadre KRITIS met en œuvre la directive européenne 2022/2557 (CER) et oblige les opérateurs de dix secteurs à assurer une résilience physique, de l’analyse des risques à la déclaration des incidents.
- Deux piliers, un modèle de risque : La cybersécurité selon la loi BSI et la protection physique selon la loi-cadre s’articulent. Quiconque gère les deux séparément néglige les attaques qui se produisent précisément à la jonction.
- Le seuil est contesté : La valeur seuil réglementaire de 500 000 habitants desservis par installation est considérée comme trop élevée par de nombreux pays. Quiconque se situe juste en dessous examine néanmoins sa propre criticité, car elle peut également être établie indépendamment du seuil.
Lié :Zero Trust chez les fournisseurs d’énergie / DORA et NIS2 dans un audit double
Ce que la loi-cadre KRITIS exige des opérateurs
Qu’est-ce que la loi-cadre KRITIS ? La loi-cadre KRITIS est le premier cadre juridique uniforme au niveau fédéral pour la protection physique des infrastructures critiques en Allemagne. Elle met en œuvre la directive européenne CER 2022/2557 et oblige les opérateurs de dix secteurs, notamment l’énergie, l’eau, la santé, l’approvisionnement alimentaire et les transports, à des normes minimales uniformes pour la résilience de leurs installations.
Concrètement, cela signifie que les opérateurs concernés doivent s’enregistrer auprès de l’autorité compétente, effectuer régulièrement une analyse et une évaluation des risques, mettre en œuvre des mesures de résilience techniques et organisationnelles et signaler les perturbations importantes. La configuration précise des procédures individuelles sera précisée par des règlements de droit secondaire. Le seuil réglementaire de 500 000 habitants desservis par installation est déterminant pour la classification. La criticité peut toutefois également être établie en dessous de ce seuil si la défaillance menace de compromettre un service critique.
Le processus parlementaire a été court et intense. Le Bundestag a adopté la loi le 29 janvier 2026, le Bundesrat a donné son accord le 6 mars et la promulgation au Journal officiel de la Fédération a suivi le 16 mars. Les opérateurs ont ainsi moins de temps que prévu, malgré la discussion plurienne qu’on aurait pu espérer.
Deux piliers qui vont de pair
Pour les responsables de la sécurité, la véritable nouveauté n’est pas le règlement physique en lui-même, mais son couplage avec le régime cyber existant. L’Allemagne, en tant que grand pays de l’UE, développe parallèlement ces deux piliers. Les deux visent la même installation.
| Dimension | Loi BSI (cyber) | Loi KRITIS (physique) |
|---|---|---|
| Objet protégé | Systèmes et réseaux informatiques | Bâtiments, installations et exploitation |
| Fondement de l’UE | Directive NIS2 | Directive CER 2022/2557 |
| Obligation principale | Gestion des risques cyber, obligation de déclaration | Résilience physique, analyse des risques, obligation de déclaration |
| Responsabilité typique | BSI | BBK |
Un attaquant qui cherche à mettre hors service un poste de transformation ne se demande pas si la vulnérabilité se situe dans le pare-feu ou dans la serrure. C’est précisément pourquoi la nouvelle loi exige une image commune de la situation. L’analyse des risques selon la loi KRITIS et la gestion des risques selon la loi BSI devraient avoir accès au même modèle de menace, au lieu d’être menées séparément dans deux départements.
Où la loi reste attaquable
Le règlement mérite également un regard critique. La valeur seuil de 500 000 habitants desservis a été critiquée lors de la procédure, car elle laisse dans l’incertitude la classification de fournisseurs plus petits mais régionalement indispensables. Plusieurs pays l’ont jugée trop élevée. Étant donné que la criticité peut être établie en dessous du seuil réglementaire, une zone grise se crée pour certains fournisseurs plus petits, dans laquelle ils doivent évaluer et documenter leur propre impact de manière fiable.
S’ajoute à cela la question de la compétence. Les observateurs spécialisés et les voix issues de la procédure parlementaire déplorent que la répartition des tâches entre le BBK pour la protection physique, le BSI pour la cybersécurité et le ministère de l’Intérieur ne soit pas partout clairement définie. Pour les opérateurs, cela signifie qu’ils devraient clarifier rapidement quelle autorité est leur interlocuteur en cas d’incident.
Ce que les responsables de la sécurité doivent aborder dans les 90 prochains jours
La logique de la loi conduit à un point de départ serré qui se fait sans grand budget et qui établit les bonnes orientations.
Cette approche permet de maîtriser l’effort et de transformer l’obligation en un plan solide. Ceux qui articulent les deux régimes à présent disposeront d’un processus de déclaration clair et d’une image commune de la situation dès le premier incident déclaré.
Foire aux questions
Quelle est la différence entre NIS2 et la loi-cadre KRITIS ?
NIS2 et sa mise en œuvre allemande dans la loi sur le BSI réglementent la cybersécurité des installations critiques. La loi-cadre KRITIS met en œuvre la directive CER et réglemente la protection physique et la résilience générale des mêmes installations. Les deux s’appliquent en parallèle et se recoupent pour de nombreux opérateurs.
Depuis quand la loi-cadre KRITIS est-elle en vigueur ?
La loi a été promulguée le 16 mars 2026 au Journal officiel de la Fédération et est entrée en vigueur le 17 mars 2026. Le Bundestag l’a adoptée le 29 janvier 2026, le Bundesrat a donné son approbation le 6 mars 2026.
Quels secteurs sont concernés ?
La loi couvre dix secteurs d’infrastructures critiques, dont l’énergie, l’eau, la santé, l’approvisionnement alimentaire, les transports et la circulation. Le critère déterminant est de savoir si une installation fournit un service critique pour l’approvisionnement de la population.
Que signifie le seuil de 500 000 habitants ?
La règle générale est qu’une installation doit desservir au moins 500 000 personnes. Les installations qui dépassent ce seuil tombent généralement sous le coup de la loi. Toutefois, la criticité peut également être établie en dessous de ce seuil, raison pour laquelle les petits opérateurs devraient également vérifier leur classement.
Qui est responsable de la mise en œuvre ?
Pour la protection physique, c’est généralement l’Office fédéral de protection de la population et de gestion des catastrophes qui est compétent, pour la cybersécurité, c’est le BSI. La délimitation précise entre les autorités est contestée dans le milieu spécialisé, raison pour laquelle les opérateurs devraient clarifier leur interlocuteur spécifique dès que possible.
Quelles sanctions sont prévues en cas de non-respect ?
La loi prévoit des amendes en cas de manquement à ses obligations, par exemple en cas de défaut d’enregistrement ou de non-déclaration. Le montant exact dépend du cas d’espèce et de la nature de la violation, raison pour laquelle les opérateurs devraient prendre dès le départ au sérieux les obligations de preuve.
Conseils de lecture de la rédaction
- Le plan d’urgence que personne n’a testé
- RSA Conference 2026 : les devoirs des CISOs DACH
- Oracle PeopleSoft : une faille activement exploitée
Plus du réseau MBF Media
Source de l’image : générée par IA (juin 2026)
