Page d'accueil
Retour à l'aperçu

KRITIS

KRITIS est l'abréviation de Kritische Infrastrukturen — infrastructures critiques — et désigne en Allemagne les établissements et installations dont la défaillance ou la perturbation entraînerait des pénuries d'approvisionnement significatives ou des menaces pour la sécurité publique. Les secteurs concernés comprennent l'énergie, l'eau, l'alimentation, la santé, les transports, les finances ainsi que les technologies de l'information et de la communication. Le cadre juridique est fourni par la loi sur le BSI en lien avec le règlement KRITIS, qui définit des seuils précis à partir desquels un opérateur est classé comme relevant de KRITIS. Avec l'entrée en vigueur de la loi de transposition NIS2 fin 2025 et de la loi-cadre KRITIS début 2026, le cadre réglementaire en Allemagne a été considérablement élargi et renforcé.

Les opérateurs KRITIS sont soumis à des obligations concrètes en matière de cybersécurité qui vont bien au-delà des recommandations générales. Ils doivent s'enregistrer auprès du BSI, mettre en œuvre des mesures de sécurité techniques et organisationnelles, signaler les incidents de sécurité et démontrer régulièrement leurs mesures de protection. Depuis 2026, la loi-cadre KRITIS ajoute des obligations de protection physique des installations critiques, pour lesquelles un enregistrement séparé auprès de l'Office fédéral de la protection civile et de l'aide en cas de catastrophe est requis. Les opérateurs KRITIS sont ainsi soumis en pratique à une double obligation d'enregistrement et de justification envers deux autorités.

En pratique, KRITIS ne concerne pas uniquement les grands groupes. Les services municipaux, les hôpitaux en gestion municipale ou les fournisseurs d'eau régionaux peuvent tomber sous les seuils KRITIS tout autant que les entreprises opérant à l'échelle nationale. Pour les responsables informatiques de ces organisations, cela signifie que les systèmes et appareils utilisés doivent satisfaire à des exigences accrues en matière de sécurité, de documentation et de capacité à apporter des preuves, bien au-delà de ce qui est courant dans les entreprises non régulées.

La différence essentielle entre KRITIS et NIS2 réside dans leur champ d'application. Tandis que NIS2 couvre un large éventail d'entreprises et d'établissements, KRITIS au sens strict désigne uniquement les quelque 1 800 opérateurs d'installations critiques dépassant un seuil d'approvisionnement défini et soumis aux exigences les plus strictes. Dans le débat public, les deux termes sont fréquemment utilisés comme synonymes, ce qui peut conduire à des erreurs d'appréciation quant à sa propre exposition réglementaire.

Pour les opérateurs KRITIS, la protection exhaustive et la documentation de tous les appareils utilisés constituent un élément central des mesures de protection exigées par la loi. Comment y parvenir avec une solution de gestion des appareils conforme au RGPD et infalsifiable est présenté en détail.