Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
La loi-cadre KRITIS (KRITIS-DachG) a été adoptée par le gouvernement fédéral à l'automne 2025 et votée par le Bundestag le 29 janvier 2026. L'objectif de cette loi est de définir des prescriptions minimales uniformes pour la protection physique des installations critiques et d'assurer leur mise en œuvre par des mesures coordonnées de soutien et de surveillance. Les réglementations complètent les dispositions existantes en matière de sécurité informatique en adoptant une approche tous risques. Elles offrent donc une protection contre les risques naturels, les défaillances techniques, le sabotage, le terrorisme et d'autres menaces non informatiques. Vous trouverez ci-dessous un aperçu des principaux points de la loi KRITIS-DachG.
Définitions des termes : Service critique, Installations critiques, Résilience, Incident
Pour que les entreprises puissent évaluer si elles sont concernées par la loi sur la protection des infrastructures critiques (KRITIS-DachG), il vaut la peine de jeter un coup d'œil sur les principaux aspects de cette loi. Définitions dans la loi :
- Service critique : On entend par là un service d'utilité publique dans certains secteurs. Par exemple, l'énergie, les transports, les finances et les assurances, les services sociaux (sécurité sociale et protection de base), la santé, l'eau (eau potable/eaux usées), l'alimentation, les technologies de l'information et les télécommunications, l'infrastructure spatiale ou la gestion des déchets. Une défaillance ou une détérioration importante d'un tel service entraînerait des difficultés d'approvisionnement ou des menaces pour la sécurité publique.
- Installation critique : Une installation est tout site ou installation (fixe ou mobile). Une installation est considérée comme critique lorsqu'elle est essentielle à la fourniture d'un service critique. Concrètement, cela signifie que : Si cette installation tombe en panne, le service essentiel est menacé. Les exploitants d'installations critiques peuvent être des entreprises privées ou des organismes publics qui exercent une influence déterminante sur l'installation.
- La résilience : La loi KRITIS-DachG définit la résilience comme la capacité d'une installation critique à prévenir un incident, à s'en protéger, à le repousser, à y réagir, à en limiter les conséquences, à absorber l'incident et à se rétablir ensuite. Il s'agit donc d'une approche globale de la résilience, des mesures de prévention au rétablissement du fonctionnement normal en passant par les réactions d'urgence.
- Incident Un incident au sens de la loi KRITIS-DachG est un événement qui affecte ou pourrait affecter de manière significative la fourniture d'un service critique. Important : les purs cyberincidents (incidents de sécurité informatique), qui relèvent de la loi BSI, ne sont pas considérés comme des incidents au sens de cette loi. La loi KRITIS-DachG vise en premier lieu les dangers physiques et les crises d'approvisionnement classiques. Il s'agirait par exemple de catastrophes naturelles, de pannes de courant à grande échelle, d'actes de sabotage ou de pannes dues à des erreurs humaines, dans la mesure où elles perturbent considérablement l'approvisionnement. Les cyberattaques restent soumises à l'obligation de notification et de traitement en vertu de la LESP, bien qu'il puisse naturellement y avoir des chevauchements (par exemple, des attaques combinées).
Obligations des exploitants d'installations critiques
La loi-cadre KRITIS impose de nouvelles obligations importantes aux exploitants d'installations critiques. Celles-ci visent à garantir qu'ils prennent des dispositions pour prévenir et gérer les crises. En font notamment partie
- Enregistrement des installations et des opérateurs : Tous les exploitants qui relèvent de la loi KRITIS-DachG doivent s'inscrire et inscrire leurs installations critiques dans un registre central auprès de l'Office fédéral pour la protection de la population et l'aide en cas de catastrophe (BBK). Cela se fait via une plateforme en ligne commune du BBK et du BSI afin d'éviter tout chevauchement avec l'enregistrement BSIG existant. L'enregistrement comprend des informations sur l'exploitant (nom, forme juridique, contact), sur l'installation (emplacement, secteur, zone de couverture) et sur le service critique fourni. Un point de contact 24h/24 et 7j/7 doit également être désigné. Délais : Les installations critiques existantes doivent être enregistrées au plus tard le 17 juillet 2026. Les nouvelles installations doivent être enregistrées dans les trois mois suivant leur classement. Si l'enregistrement n'est pas effectué, le BBK peut inscrire lui-même l'exploitant dans le registre après l'avoir consulté.
- Analyse et évaluation des risques : Les exploitants sont tenus d'effectuer régulièrement une analyse systématique des risques de tous les dangers pour leurs installations critiques. Tous les risques pertinents doivent être pris en compte : Des dangers naturels (p. ex. inondations, pandémies) aux attaques intentionnelles en passant par les défaillances techniques. Sur la base de cette analyse, il convient de procéder à une évaluation des risques afin de les classer par ordre de priorité en fonction de leur probabilité d'occurrence et de l'ampleur des dommages. La directive européenne exige que ces analyses des risques des opérateurs soient effectuées dans les 9 mois suivant l'identification. Il est important que les entreprises adaptent leurs modèles de risques et de gestion des risques existants à l'approche tous risques. De nombreux secteurs disposent déjà de normes pour la gestion des urgences et des crises. Celles-ci peuvent être intégrées et étendues.
Mesures de résilience et plan de résilience
Sur la base de l'analyse des risques, des mesures techniques, organisationnelles et humaines appropriées et proportionnées doivent être prises pour protéger les installations critiques. Cela va des mesures de sécurité structurelles (par exemple, contrôles d'accès, systèmes redondants) aux mesures organisationnelles (plans d'urgence, formation du personnel, sauvegarde des pièces de rechange et des réserves de carburant), en passant par la coopération avec les autorités et les partenaires en cas de crise. Toutes les mesures prises doivent être documentées dans un plan de résilience. Ce plan contient la stratégie de l'entreprise pour le maintien de l'activité en cas de crise, les mesures de protection définies et les résultats de l'analyse des risques effectuée au préalable. Le BBK met à disposition des exemples et des modèles à cet effet afin d'aider les entreprises à les élaborer.
Le plan de résilience doit être appliqué et tenu à jour. Il est donc obligatoire de le réviser régulièrement et de l'adapter aux nouvelles menaces.
Bien que toutes les mesures doivent être planifiées au moment de l'enregistrement, certaines d'entre elles peuvent encore être en cours de mise en œuvre. Dans tous les cas, les entreprises doivent commencer à planifier suffisamment tôt, car la mise en œuvre et l'établissement d'une stratégie de résilience peuvent prendre beaucoup de temps.
Points de contact et obligation de notification
- Désignation de points de contact : Comme mentionné précédemment, la loi exige la désignation d'un point de contact permanent par opérateur. Celui-ci doit garantir que les autorités puissent rapidement joindre un interlocuteur en cas de crise ou de soupçon. Dans la pratique, il s'agira le plus souvent d'une hotline d'urgence ouverte 24 heures sur 24 ou d'un service de permanence correspondant. Les coordonnées doivent être indiquées lors de l'enregistrement et être toujours actualisées. Pour les entreprises actives au niveau international, il peut être judicieux d'établir en interne un point de contact central pour toutes les questions relatives aux KRITIS.
- Obligation de signaler les incidents importants : Si, malgré toutes les précautions prises, un incident survient, l'obligation de notification de la loi KRITIS-DachG s'applique. Tout incident important doit être signalé immédiatement au service compétent, au plus tard dans les 24 heures suivant sa connaissance. Un point de notification commun au BBK et au BSI sera mis en place à cet effet. Toutes les notifications d'incidents doivent passer par ce portail central en ligne. Les messages doubles (par exemple, envoyés séparément au BBK et BSI) sont ainsi évitées. Si le premier message contient encore des informations lacunaires (typiquement en situation d'urgence), il doit être actualisé en permanence si les perturbations persistent.
Au plus tard un mois après avoir pris connaissance de l'incident, l'exploitant doit remettre un rapport final détaillé qui met en lumière les causes et toutes les conséquences.
Le contenu des notifications doit inclure au moins le type et la cause de l'incident, l'objet de la notification et la date de l'incident. concernés La notification doit comprendre la zone, la durée et l'étendue de la perturbation (nombre d'utilisateurs concernés, etc.). Le BBK évalue ces notifications de perturbation et informe au besoin d'autres États membres ou la Commission européenne si l'incident a une portée transfrontalière. Important : cette obligation de notification s'applique en plus des éventuelles dispositions spécifiques au secteur. Ainsi, par exemple, les fournisseurs d'énergie doivent continuer à informer, le cas échéant, l'Agence fédérale des réseaux en parallèle, les services de santé leurs autorités de surveillance, etc. dans la mesure où des directives correspondantes existent. La loi KRITIS-DachG ne crée toutefois pas de „Naming & Shaming“ public : les déclarations sont traitées de manière confidentielle. Ce n'est que si l'intérêt public l'exige que le BBK peut, après avoir entendu l'exploitant, informer le public, par exemple pour mettre en garde la population.
Outre ces obligations fondamentales, la loi prévoit d'autres directives, par exemple la participation à des programmes de résilience gouvernementaux.
Surveillance KRITIS
Le respect de ces obligations est contrôlé par un système de surveillance à plusieurs niveaux. L'interlocuteur central est l'Office fédéral pour la protection de la population et l'aide en cas de catastrophe (BBK), qui sert de point de contact unique. Selon le secteur, différentes autorités compétentes sont également désignées : l'Agence fédérale des réseaux pour l'électricité, le gaz, l'hydrogène et les télécommunications, l'Office fédéral des chemins de fer pour le trafic ferroviaire, le Office fédéral de la sécurité dans la technologie de l'information (BSI) pour les services IT/TC, les ministères de la santé (fédéraux/régionaux) pour les établissements de santé, etc.
Les autorités compétentes travaillent en étroite collaboration avec le BBK et le BSI afin d'éviter les chevauchements. Il y aura par exemple un bureau de notification commun et le BBK et le BSI interviendront également ensemble pour l'enregistrement et l'audit grâce à une plateforme en ligne et des procédures coordonnées.
Les autorités disposent de pouvoirs étendus pour contrôler la mise en œuvre des mesures de résilience. Elles peuvent demander aux opérateurs des preuves et des informations, comme l'accès au plan de résilience ou à la documentation interne. Les autorités de surveillance adoptent une approche basée sur les risques : les contrôles ciblés sont effectués en priorité sur les entreprises dont la taille, l'exposition aux risques ou l'impact potentiel des dommages est particulièrement élevé.
Les exploitants doivent fournir sur demande les résultats des audits s'ils ont fait réaliser des vérifications externes. L'autorité peut effectuer elle-même des audits sur place ou faire appel à des experts indépendants. Troisième de l'entreprise. Les entreprises sont tenues de permettre aux auditeurs d'accéder aux locaux de l'entreprise, aux systèmes et installations concernés et de leur fournir des informations. Si des défauts sont constatés, l'autorité peut obliger l'exploitant à présenter un plan d'élimination des défauts dans un délai déterminé et à mettre en œuvre les mesures correspondantes.
Conseil de lecture : Guide DORA sur la surveillance des fournisseurs tiers critiques
Responsabilité et sanctions en cas d'infraction KRITIS
Responsabilité civile de la direction : L'article 20 de la KRITIS-DachG, qui souligne la responsabilité de la direction de l'entreprise, est remarquable. La direction d'un opérateur (c'est-à-dire le conseil d'administration, la direction ou des organes similaires) est tenue de mettre en œuvre des mesures de résilience et de les ancrer dans l'organisation. Si la direction néglige cette obligation de manière fautive, elle est responsable vis-à-vis de l'entreprise des dommages causés. Cette responsabilité civile Responsabilité civile s'applique de manière subsidiaire, à moins que des dispositions du droit des sociétés (par exemple des obligations de diligence en vertu du droit des sociétés anonymes) ne s'appliquent déjà à de tels cas. Pour les décideurs, cela signifie que la résilience est une affaire de chef. Ceux qui ignorent délibérément les directives risquent d'engager leur responsabilité personnelle. Comme dans le droit de la protection des données ou le droit du travail, où les violations de la conformité sont également passibles de sanctions. Responsabilité civile de la direction.
Infractions et amendes : Afin de garantir leur application, la loi contient un catalogue d'amendes. En cas d'infraction, comme par exemple l'absence d'enregistrement, l'omission d'une analyse des risques, l'absence de plan de résilience ou l'absence de notification d'un incident, les amendes peuvent être très élevées. Les montants maximums sont échelonnés en fonction de la gravité de l'infraction et s'élèvent respectivement à 50.000 €, 100.000 €, 200.000 € et 500.000 €. L'amende maximale de 500.000 € devrait s'appliquer en cas de manquements graves ou répétés aux obligations (par exemple, non-respect total des exigences de résilience). En outre, toute violation intentionnelle d'une décision administrative peut être considérée comme une infraction pénale. Infraction être sanctionnés. Cela augmente la pression.
Conséquences spécifiques au secteur : Indépendamment de la loi-cadre KRITIS, les droits de surveillance spécifiques au secteur restent valables. Dans les domaines hautement réglementés (énergie, télécommunications, transports, etc.), des mesures de surveillance pouvant aller jusqu'au retrait des autorisations pourraient être envisagées en cas de non-respect flagrant des obligations de protection. Il s'agirait de la mesure la plus extrême et elle n'est pas explicitement normée dans la loi-cadre KRITIS. Un fournisseur d'énergie qui enfreindrait toutefois durablement les obligations de sécurité pourrait finalement risquer de perdre sa licence d'exploitation.
Dans l'ensemble, le législateur signale toutefois que les nouvelles obligations doivent être prises au sérieux, tant par les amendes que par l'accent mis sur la responsabilité de la direction.
Kritis fait de la résilience une affaire de chef
La loi-cadre KRITIS entraîne de nouvelles obligations, tout à fait exigeantes, pour les entreprises critiques : de l'enregistrement aux processus de notification en passant par les analyses de risques. En même temps, elle offre la possibilité de mettre à jour sa propre gestion de crise et de l'armer contre de multiples dangers.
Les décideurs devraient agir de manière proactive, utiliser des guides officiels et aborder la mise en œuvre par étapes. Avec une bonne planification et un bon soutien, il est possible de satisfaire aux exigences, de sorte qu'en fin de compte, tant la sécurité de l'approvisionnement augmente que la conformité légale est garantie. La devise est la suivante : „La résilience est réalisable si l'on en fait une affaire de chef et si l'on fait participer toutes les parties prenantes”.”
Vous êtes exploitant d'installations critiques ou vous supposez que votre entreprise tombe dans le champ d'application de la loi faîtière KRITIS ? Dans ce cas, il vaut la peine de clarifier la situation suffisamment tôt et de commencer la mise en œuvre de manière structurée. 2B Advice vous assiste de manière pratique : de l'examen de l'impact à l'organisation structurelle et à la mise en place d'un système d'audit adapté. Documentation.
Nous vous aidons en particulier pour
- Portée & analyse de l'impact (services critiques, installations critiques, dépendances, interfaces avec BSIG/NIS-2)
- Analyse et évaluation des risques selon l'approche "tous risques" (résilience méthodologique, capacité de décision pour la direction)
- Plan de résilience & programme de mesures (priorisation, trajectoire de mise en œuvre, gouvernance, preuves)
- Processus de notification & organisation de crise (logique d'annonce 24 heures sur 24, modèles, exercices, concept de communication)
- Aptitude à l'audit (gestion des preuves, contrôles internes, préparation aux audits des autorités/contrôles sur place)
Si vous le souhaitez, nous pouvons convenir d'un bref entretien initial afin d'évaluer votre situation actuelle et d'élaborer une feuille de route concrète. Il vous suffit de nous écrire pour obtenir rapidement une évaluation des prochaines étapes qui auront le plus d'impact sur votre entreprise.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French