La prochaine NIS2UmsuCG de l'Allemagne (Loi sur la mise en œuvre de la directive NIS-2 et sur la régulation des principes essentiels de gestion de la sécurité de l'information dans l'administration fédérale) marque un renforcement majeur des règles de cybersécurité pour les entreprises et les institutions publiques. Basée sur la directive NIS-2 de l'UE, la loi remplacera l'actuelle loi BSI et étendra les obligations bien au-delà du régime KRITIS précédent. Au lieu d'affecter un peu plus de 800 opérateurs d'infrastructures critiques, elle devrait s'appliquer à jusqu'à 30 000 organisations à travers 18 secteurs, y compris l'énergie, le transport, la santé, les infrastructures numériques, les télécommunications, la banque, l'administration publique, l'alimentation, les produits chimiques, la gestion des déchets, la fabrication et les services numériques clés.

Dans le nouveau cadre, les entités sont classées comme « particulièrement importantes » ou « importantes » en fonction du secteur et de la taille. Les grandes entreprises des secteurs de l'annexe 1 et les exploitants d'installations critiques sont généralement considérés comme particulièrement importants, tandis que les entreprises de taille moyenne et celles des secteurs de l'annexe 2 peuvent être classées comme importantes. Certains prestataires de services numériques et exploitants d'infrastructures sont couverts quelle que soit leur taille, lorsque leurs services sont critiques pour le système. Même les fournisseurs plus petits, en particulier les prestataires de services informatiques et de services gérés dans la chaîne d'approvisionnement, peuvent être affectés lorsqu'ils accèdent à des systèmes critiques ou à des zones sensibles. Toutes les organisations couvertes seront tenues de s'enregistrer auprès de l'Office fédéral de la sécurité de l'information (BSI) et de démontrer leur conformité sur demande.

La loi introduit de vastes obligations : les entreprises doivent établir et maintenir un système de gestion de la sécurité de l'information basé sur les risques ; réaliser des évaluations régulières des risques ; mettre en œuvre des mesures techniques et organisationnelles telles que la gestion des vulnérabilités et des correctifs, la sauvegarde et la récupération, le contrôle d'accès, l'authentification multifactorielle, les communications sécurisées, et la sécurité de la chaîne d'approvisionnement ; et assurer la détection, le signalement et la réponse aux incidents. Des obligations de signalement critiques en termes de temps s'appliquent, incluant une notification initiale des incidents graves dans les 24 heures, un rapport de suivi dans les 72 heures, et un rapport final après un mois. Des examens réguliers de l'efficacité de la gestion des risques seront obligatoires, et les exploitants d'installations critiques seront soumis à des audits dirigés par le BSI tous les trois ans.

Crucialement, NIS2UmsuCG n'est pas une directive « douce ». Elle prévoit des mesures d'exécution et des sanctions considérablement plus strictes, incluant des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les conseils d'administration et les directeurs sont personnellement responsables du respect de la directive et peuvent faire face à des conséquences individuelles, y compris des interdictions d'exercer des fonctions de direction, en cas de violations graves. Avec l'entrée en vigueur de la loi prévue vers la fin de 2025 ou au début de 2026 et sans périodes de transition prolongées prévues, il est conseillé aux entreprises d'agir dès maintenant : évaluer si elles entrent dans les catégories critiques, commencer à construire ou à mettre à niveau un SGSI orienté selon la norme ISO 27001, impliquer le personnel à tous les niveaux et engager les fournisseurs dès le début.

Pour de nombreuses organisations, en particulier celles qui viennent d'être incluses dans le champ d'application, attendre l'adoption de la loi sera trop tard. Le message des experts est clair : la directive NIS-2 n'est pas simplement un autre exercice de conformité, mais un changement structurel vers une cybersécurité plus robuste dans toute l'économie européenne. Les entreprises qui agissent tôt peuvent non seulement éviter les sanctions, mais également renforcer leur résilience, protéger leurs opérations et instaurer la confiance avec leurs clients et partenaires dans un environnement cyber de plus en plus hostile.