Les points cl\u00e9s en bref<\/p>\n
- \n
- Nouveau cadre juridique depuis mars 2026 :<\/strong> La loi-cadre KRITIS met en \u0153uvre la directive europ\u00e9enne 2022\/2557 (CER) et oblige les op\u00e9rateurs de dix secteurs \u00e0 assurer une r\u00e9silience physique, de l’analyse des risques \u00e0 la d\u00e9claration des incidents.<\/li>\n
- Deux piliers, un mod\u00e8le de risque :<\/strong> La cybers\u00e9curit\u00e9 selon la loi BSI et la protection physique selon la loi-cadre s’articulent. Quiconque g\u00e8re les deux s\u00e9par\u00e9ment n\u00e9glige les attaques qui se produisent pr\u00e9cis\u00e9ment \u00e0 la jonction.<\/li>\n
- Le seuil est contest\u00e9 :<\/strong> La valeur seuil r\u00e9glementaire de 500 000 habitants desservis par installation est consid\u00e9r\u00e9e comme trop \u00e9lev\u00e9e par de nombreux pays. Quiconque se situe juste en dessous examine n\u00e9anmoins sa propre criticit\u00e9, car elle peut \u00e9galement \u00eatre \u00e9tablie ind\u00e9pendamment du seuil.<\/li>\n<\/ul>\n<\/div>\n
Li\u00e9 :<\/span>Zero Trust chez les fournisseurs d’\u00e9nergie<\/a> \/<\/span> DORA et NIS2 dans un audit double<\/a><\/p>\n
Ce que la loi-cadre KRITIS exige des op\u00e9rateurs<\/h2>\n
Qu’est-ce que la loi-cadre KRITIS ?<\/strong> La loi-cadre KRITIS est le premier cadre juridique uniforme au niveau f\u00e9d\u00e9ral pour la protection physique des infrastructures critiques en Allemagne. Elle met en \u0153uvre la directive europ\u00e9enne CER 2022\/2557 et oblige les op\u00e9rateurs de dix secteurs, notamment l’\u00e9nergie, l’eau, la sant\u00e9, l’approvisionnement alimentaire et les transports, \u00e0 des normes minimales uniformes pour la r\u00e9silience de leurs installations.<\/p>\n
Concr\u00e8tement, cela signifie que les op\u00e9rateurs concern\u00e9s doivent s’enregistrer aupr\u00e8s de l’autorit\u00e9 comp\u00e9tente, effectuer r\u00e9guli\u00e8rement une analyse et une \u00e9valuation des risques, mettre en \u0153uvre des mesures de r\u00e9silience techniques et organisationnelles et signaler les perturbations importantes. La configuration pr\u00e9cise des proc\u00e9dures individuelles sera pr\u00e9cis\u00e9e par des r\u00e8glements de droit secondaire. Le seuil r\u00e9glementaire de 500 000 habitants desservis par installation est d\u00e9terminant pour la classification. La criticit\u00e9 peut toutefois \u00e9galement \u00eatre \u00e9tablie en dessous de ce seuil si la d\u00e9faillance menace de compromettre un service critique.<\/p>\n
Le processus parlementaire a \u00e9t\u00e9 court et intense. Le Bundestag a adopt\u00e9 la loi le 29 janvier 2026, le Bundesrat a donn\u00e9 son accord le 6 mars et la promulgation au Journal officiel de la F\u00e9d\u00e9ration a suivi le 16 mars. Les op\u00e9rateurs ont ainsi moins de temps que pr\u00e9vu, malgr\u00e9 la discussion plurienne qu’on aurait pu esp\u00e9rer.<\/p>\n
Deux piliers qui vont de pair<\/h2>\n
Pour les responsables de la s\u00e9curit\u00e9, la v\u00e9ritable nouveaut\u00e9 n’est pas le r\u00e8glement physique en lui-m\u00eame, mais son couplage avec le r\u00e9gime cyber existant. L’Allemagne, en tant que grand pays de l’UE, d\u00e9veloppe parall\u00e8lement ces deux piliers. Les deux visent la m\u00eame installation.<\/p>\n
\n\n\n
\n \nDimension<\/th>\n Loi BSI (cyber)<\/th>\n Loi KRITIS (physique)<\/th>\n<\/tr>\n<\/thead>\n \n Objet prot\u00e9g\u00e9<\/strong><\/td>\n Syst\u00e8mes et r\u00e9seaux informatiques<\/td>\n B\u00e2timents, installations et exploitation<\/td>\n<\/tr>\n \n Fondement de l’UE<\/strong><\/td>\n Directive NIS2<\/td>\n Directive CER 2022\/2557<\/td>\n<\/tr>\n \n Obligation principale<\/strong><\/td>\n Gestion des risques cyber, obligation de d\u00e9claration<\/td>\n R\u00e9silience physique, analyse des risques, obligation de d\u00e9claration<\/td>\n<\/tr>\n \n Responsabilit\u00e9 typique<\/strong><\/td>\n BSI<\/td>\n BBK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n Un attaquant qui cherche \u00e0 mettre hors service un poste de transformation ne se demande pas si la vuln\u00e9rabilit\u00e9 se situe dans le pare-feu ou dans la serrure. C’est pr\u00e9cis\u00e9ment pourquoi la nouvelle loi exige une image commune de la situation. L’analyse des risques selon la loi KRITIS et la gestion des risques selon la loi BSI devraient avoir acc\u00e8s au m\u00eame mod\u00e8le de menace, au lieu d’\u00eatre men\u00e9es s\u00e9par\u00e9ment dans deux d\u00e9partements.<\/p>\n
![\"Umspannwerk](\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/st-17945-kritis-umspannwerk.jpg\")
Les infrastructures critiques comme un poste de transformation ont besoin d’une protection physique et num\u00e9rique \u00e0 la fois. Image : Pexels \/ Kris M\u00f8klebust<\/em><\/figcaption><\/figure>\n O\u00f9 la loi reste attaquable<\/h2>\n
Le r\u00e8glement m\u00e9rite \u00e9galement un regard critique. La valeur seuil de 500 000 habitants desservis a \u00e9t\u00e9 critiqu\u00e9e lors de la proc\u00e9dure, car elle laisse dans l’incertitude la classification de fournisseurs plus petits mais r\u00e9gionalement indispensables. Plusieurs pays l’ont jug\u00e9e trop \u00e9lev\u00e9e. \u00c9tant donn\u00e9 que la criticit\u00e9 peut \u00eatre \u00e9tablie en dessous du seuil r\u00e9glementaire, une zone grise se cr\u00e9e pour certains fournisseurs plus petits, dans laquelle ils doivent \u00e9valuer et documenter leur propre impact de mani\u00e8re fiable.<\/p>\n
S’ajoute \u00e0 cela la question de la comp\u00e9tence. Les observateurs sp\u00e9cialis\u00e9s et les voix issues de la proc\u00e9dure parlementaire d\u00e9plorent que la r\u00e9partition des t\u00e2ches entre le BBK pour la protection physique, le BSI pour la cybers\u00e9curit\u00e9 et le minist\u00e8re de l’Int\u00e9rieur ne soit pas partout clairement d\u00e9finie. Pour les op\u00e9rateurs, cela signifie qu’ils devraient clarifier rapidement quelle autorit\u00e9 est leur interlocuteur en cas d’incident.<\/p>\n
Ce que les responsables de la s\u00e9curit\u00e9 doivent aborder dans les 90 prochains jours<\/h2>\n
La logique de la loi conduit \u00e0 un point de d\u00e9part serr\u00e9 qui se fait sans grand budget et qui \u00e9tablit les bonnes orientations.<\/p>\n
\nTrois \u00e9tapes pour le prochain trimestre<\/div>\n\n\n1<\/div>\nD\u00e9terminer l’impact.<\/strong> Sur la base du seuil et de l’affectation sectorielle, v\u00e9rifier si vos installations rel\u00e8vent de la loi-cadre, et dans les cas limites, justifier documentairement la criticit\u00e9.<\/div>\n<\/div>\n\n2<\/div>\n\u00c9tablir une image des risques.<\/strong> \u00c9tablir une mod\u00e9lisation commune des menaces pour l’analyse des risques physiques et la gestion des risques cybern\u00e9tiques, afin que les attaques combin\u00e9es soient visibles.<\/div>\n<\/div>\n\n3<\/div>\nD\u00e9terminer les voies de d\u00e9claration.<\/strong> D\u00e9terminer \u00e0 l’avance quelle autorit\u00e9 est comp\u00e9tente en cas d’incident, puis simuler le processus de d\u00e9claration lors d’un exercice de table.<\/div>\n<\/div>\n<\/div>\n<\/div>\nCette approche permet de ma\u00eetriser l’effort et de transformer l’obligation en un plan solide. Ceux qui articulent les deux r\u00e9gimes \u00e0 pr\u00e9sent disposeront d’un processus de d\u00e9claration clair et d’une image commune de la situation d\u00e8s le premier incident d\u00e9clar\u00e9.<\/p>\n
Foire aux questions<\/h2>\n
Quelle est la diff\u00e9rence entre NIS2 et la loi-cadre KRITIS ?<\/h3>\n
NIS2 et sa mise en \u0153uvre allemande dans la loi sur le BSI r\u00e9glementent la cybers\u00e9curit\u00e9 des installations critiques. La loi-cadre KRITIS met en \u0153uvre la directive CER et r\u00e9glemente la protection physique et la r\u00e9silience g\u00e9n\u00e9rale des m\u00eames installations. Les deux s’appliquent en parall\u00e8le et se recoupent pour de nombreux op\u00e9rateurs.<\/p>\n
Depuis quand la loi-cadre KRITIS est-elle en vigueur ?<\/h3>\n
La loi a \u00e9t\u00e9 promulgu\u00e9e le 16 mars 2026 au Journal officiel de la F\u00e9d\u00e9ration et est entr\u00e9e en vigueur le 17 mars 2026. Le Bundestag l’a adopt\u00e9e le 29 janvier 2026, le Bundesrat a donn\u00e9 son approbation le 6 mars 2026.<\/p>\n
Quels secteurs sont concern\u00e9s ?<\/h3>\n
La loi couvre dix secteurs d’infrastructures critiques, dont l’\u00e9nergie, l’eau, la sant\u00e9, l’approvisionnement alimentaire, les transports et la circulation. Le crit\u00e8re d\u00e9terminant est de savoir si une installation fournit un service critique pour l’approvisionnement de la population.<\/p>\n
Que signifie le seuil de 500 000 habitants ?<\/h3>\n
La r\u00e8gle g\u00e9n\u00e9rale est qu’une installation doit desservir au moins 500 000 personnes. Les installations qui d\u00e9passent ce seuil tombent g\u00e9n\u00e9ralement sous le coup de la loi. Toutefois, la criticit\u00e9 peut \u00e9galement \u00eatre \u00e9tablie en dessous de ce seuil, raison pour laquelle les petits op\u00e9rateurs devraient \u00e9galement v\u00e9rifier leur classement.<\/p>\n
Qui est responsable de la mise en \u0153uvre ?<\/h3>\n
Pour la protection physique, c’est g\u00e9n\u00e9ralement l’Office f\u00e9d\u00e9ral de protection de la population et de gestion des catastrophes qui est comp\u00e9tent, pour la cybers\u00e9curit\u00e9, c’est le BSI. La d\u00e9limitation pr\u00e9cise entre les autorit\u00e9s est contest\u00e9e dans le milieu sp\u00e9cialis\u00e9, raison pour laquelle les op\u00e9rateurs devraient clarifier leur interlocuteur sp\u00e9cifique d\u00e8s que possible.<\/p>\n
Quelles sanctions sont pr\u00e9vues en cas de non-respect ?<\/h3>\n
La loi pr\u00e9voit des amendes en cas de manquement \u00e0 ses obligations, par exemple en cas de d\u00e9faut d’enregistrement ou de non-d\u00e9claration. Le montant exact d\u00e9pend du cas d’esp\u00e8ce et de la nature de la violation, raison pour laquelle les op\u00e9rateurs devraient prendre d\u00e8s le d\u00e9part au s\u00e9rieux les obligations de preuve.<\/p>\n
Conseils de lecture de la r\u00e9daction<\/h3>\n
- Deux piliers, un mod\u00e8le de risque :<\/strong> La cybers\u00e9curit\u00e9 selon la loi BSI et la protection physique selon la loi-cadre s’articulent. Quiconque g\u00e8re les deux s\u00e9par\u00e9ment n\u00e9glige les attaques qui se produisent pr\u00e9cis\u00e9ment \u00e0 la jonction.<\/li>\n