Loi sur la sécurité informatique 2.0 : Exigences pour les opérateurs d'infrastructures critiques

Introduction

La Loi sur la sécurité informatique 2.0 (IT-Sicherheitsgesetz 2.0) en Allemagne, entrée en vigueur en mai 2021, représente l'une des expansions les plus significatives de la réglementation en matière de cybersécurité en Europe. S'appuyant sur la Loi sur la sécurité informatique de 2015, la version 2.0 a considérablement élargi le champ d'application des entités soumises à des obligations de cybersécurité, renforcé les pouvoirs de l'Office fédéral de la sécurité dans les technologies de l'information (BSI) et introduit de nouvelles exigences pour les systèmes de détection des attaques (Systeme zur Angriffserkennung). Pour les opérateurs d'infrastructures critiques (KRITIS) dans le secteur financier, y compris les banques, les compagnies d'assurance, les bourses et les prestataires de services de paiement, la Loi a créé des obligations qui affectent directement la manière dont la sécurité informatique est gérée, surveillée et rapportée.

En 2026, la Loi sur la sécurité informatique 2.0 coexiste avec -- et est partiellement remplacée par -- la mise en œuvre allemande de la directive EU NIS2 (Directive (UE) 2022/2555). La Loi sur la mise en œuvre de NIS2 et le renforcement de la cybersécurité (NIS2UmsuCG), qui transpose NIS2 dans le droit allemand, élargit encore le champ d'application des entités concernées et ajuste les obligations établies par la Loi sur la sécurité informatique 2.0. Pour les institutions financières, comprendre à la fois les exigences actuelles de la Loi sur la sécurité informatique 2.0 et les ajustements à venir de NIS2 est essentiel pour maintenir la conformité. Cet article fournit cette double perspective.

Qu'est-ce que la Loi sur la sécurité informatique 2.0 ?

La Loi sur la sécurité informatique 2.0 (Zweites Gesetz zur Erhohung der Sicherheit informationstechnischer Systeme) n'est pas un statut autonome mais une loi omnibus qui modifie plusieurs lois existantes, en particulier la Loi BSI (BSI-Gesetz, BSIG). Le BSIG, tel que modifié par la Loi sur la sécurité informatique 2.0, contient les exigences opérationnelles pour les opérateurs KRITIS et d'autres entités concernées.

La Loi désigne le BSI comme l'autorité centrale de l'Allemagne en matière de sécurité informatique et lui accorde des pouvoirs élargis, y compris l'autorité d'émettre des directives techniques contraignantes, de réaliser des analyses de vulnérabilité actives des systèmes exposés à Internet et d'ordonner la remédiation des lacunes de sécurité. Pour les opérateurs KRITIS, le BSI sert de point de contact principal pour le reporting d'incidents et la vérification de la conformité.

Les opérateurs KRITIS sont définis par la réglementation BSI-Kritisverordnung (BSI-KritisV), qui spécifie des valeurs seuils pour chaque secteur KRITIS. Dans le secteur financier, les opérateurs sont classés comme KRITIS s'ils dépassent des seuils définis pour les volumes de transactions, les actifs sous gestion ou le nombre de personnes assurées. Les secteurs concernés incluent la banque, l'infrastructure des marchés financiers et l'assurance.

La Loi sur la sécurité informatique 2.0 a également introduit une nouvelle catégorie de "sociétés d'intérêt public spécial" (Unternehmen im besonderen offentlichen Interesse, UBI), qui inclut les sous-traitants de la défense, les entreprises d'importance économique significative et les opérateurs d'installations dangereuses. Bien que la plupart des institutions financières relèvent de la catégorie KRITIS plutôt que UBI, certains groupes financiers ayant des filiales liées à la défense peuvent être affectés par les deux.

Exigences clés

Normes de sécurité minimales (Section 8a BSIG)

Les opérateurs KRITIS doivent mettre en œuvre des précautions organisationnelles et techniques appropriées pour protéger la disponibilité, l'intégrité, l'authenticité et la confidentialité de leurs systèmes informatiques. Ces mesures doivent refléter l'"état de l'art" (Stand der Technik) et être proportionnelles au risque. La section 8a(1) BSIG exige que ces mesures soient mises en œuvre par l'opérateur et que la conformité soit démontrée au BSI tous les deux ans par le biais d'audits, d'inspections ou de certifications.

Pour les institutions financières, la norme de "l'état de l'art" est définie en pratique par référence à des cadres établis. Le BSI lui-même publie des directives techniques (Technische Richtlinien) et des normes IT-Grundschutz qui fournissent des spécifications détaillées. Les normes de sécurité spécifiques à l'industrie (branchenspezifische Sicherheitsstandards, B3S) développées par des associations sectorielles et approuvées par le BSI peuvent également être utilisées pour démontrer la conformité. Le B3S du secteur financier, développé par la Deutsche Kreditwirtschaft, s'aligne étroitement avec MaRisk, BAIT et ISO 27001, fournissant un pont entre les obligations KRITIS et les cadres de conformité existants du secteur financier.

Systèmes de détection des attaques (Section 8a(1a) BSIG)

L'une des additions les plus significatives apportées par la Loi sur la sécurité informatique 2.0 est l'exigence pour les opérateurs KRITIS de mettre en œuvre des systèmes de détection des attaques (Systeme zur Angriffserkennung). Cette exigence, codifiée dans la section 8a(1a) BSIG, est entrée en vigueur le 1er mai 2023.

Le BSI a publié des directives détaillées sur ce qui constitue des systèmes de détection des attaques conformes dans son "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" (février 2023). Les directives spécifient que les systèmes de détection des attaques doivent couvrir trois domaines fonctionnels :

Journalisation et détection (Protokollierung und Detektion) : Collecte et analyse continues des données de journalisation pertinentes en matière de sécurité provenant des systèmes informatiques, des réseaux et des applications. Cela inclut l'utilisation de systèmes de gestion des informations et des événements de sécurité (SIEM) ou de technologies équivalentes.

Évaluation et corrélation (Auswertung und Korrelation) : Analyse automatisée des données collectées pour identifier des motifs indicatifs de cyberattaques. Le BSI s'attend à l'utilisation de l'intelligence sur les menaces, de l'analyse comportementale et des capacités de détection d'anomalies.

Réponse et remédiation (Reaktion und Behebung) : Processus définis pour répondre aux attaques détectées, y compris les procédures de réponse aux incidents, les protocoles de communication et les mesures de remédiation.

Le BSI évalue la maturité des systèmes de détection des attaques sur une échelle de 0 à 5, le niveau 3 ("établi") étant considéré comme le niveau minimum acceptable. Les opérateurs KRITIS doivent démontrer leur maturité en matière de détection des attaques lors des audits de conformité biennaux en vertu de la section 8a(3) BSIG. Les institutions supervisées par BaFin doivent traiter cette exigence parallèlement à leurs obligations de détection des incidents DORA.

Obligations de reporting BSI (Section 8b BSIG)

Les opérateurs KRITIS doivent signaler les incidents de sécurité informatique significatifs au BSI sans délai excessif. La section 8b(4) BSIG définit les déclencheurs de reporting et les délais :

• Notification initiale : Dans les 24 heures suivant la prise de connaissance d'une perturbation significative. Il s'agit d'un rapport préliminaire qui doit inclure la nature de l'incident et une évaluation initiale de l'impact.
• Rapport intermédiaire : Dans les 72 heures, fournissant une évaluation plus détaillée incluant la cause probable, les systèmes affectés et les mesures prises.
• Rapport final : Dans un mois, fournissant une analyse complète post-incident incluant la cause racine, l'évaluation complète de l'impact et les leçons apprises.

Une "perturbation significative" inclut tout incident de sécurité informatique qui pourrait entraîner une défaillance ou une altération significative de l'infrastructure critique exploitée. Le seuil est délibérément fixé bas pour garantir que le BSI ait une visibilité précoce sur les menaces potentielles.

De plus, les opérateurs KRITIS doivent s'enregistrer auprès du BSI et maintenir un point de contact pour les questions de sécurité informatique qui soit joignable à tout moment (section 8b(3) BSIG). Ils doivent également fournir au BSI des informations sur leur infrastructure informatique lorsqu'elles sont demandées dans le but d'une analyse de menaces et d'un avertissement.

Vérification de conformité biennale (Section 8a(3) BSIG)

Tous les deux ans, les opérateurs KRITIS doivent démontrer au BSI qu'ils respectent les exigences de la section 8a. Cela se fait par le biais d'audits réalisés par des auditeurs approuvés par le BSI, par le biais d'inspections, ou par le biais de certifications reconnues (telles que ISO 27001 sur la base de l'IT-Grundschutz). Les résultats de l'audit, y compris les lacunes identifiées, doivent être soumis au BSI.

Si le BSI identifie des lacunes, il peut ordonner à l'opérateur de les remédier dans un délai spécifié (section 8a(4) BSIG). Le non-respect des remédiations peut entraîner des amendes administratives allant jusqu'à 2 millions d'euros en vertu de la section 14 BSIG.

Composants critiques et déclarations de fiabilité (Section 9b BSIG)

La Loi sur la sécurité informatique 2.0 a introduit un nouveau régime pour les composants critiques dans l'infrastructure KRITIS. En vertu de la section 9b BSIG, les opérateurs KRITIS doivent notifier le Ministère fédéral de l'Intérieur (BMI) avant de déployer des composants critiques de fabricants pouvant poser des préoccupations en matière de sécurité. Le BMI peut interdire l'utilisation de composants spécifiques si le fabricant est jugé peu fiable. Cette disposition a été principalement conçue pour répondre aux préoccupations concernant l'équipement des réseaux 5G, mais s'applique à tous les secteurs KRITIS.

Relation avec NIS2 et autres cadres

La relation entre la Loi sur la sécurité informatique 2.0 et NIS2 est une question d'évolution plutôt que de remplacement. La Loi sur la mise en œuvre de NIS2 et le renforcement de la cybersécurité (NIS2UmsuCG) transpose NIS2 dans le droit allemand en modifiant davantage le BSIG et la législation connexe. Les changements clés de NIS2 incluent :

Champ d'application élargi : NIS2 élargit considérablement les entités soumises à des obligations de cybersécurité au-delà des opérateurs KRITIS traditionnels. Les nouvelles catégories d'"entités essentielles" (wesentliche Einrichtungen) et d'"entités importantes" (wichtige Einrichtungen) englobent un nombre beaucoup plus important d'organisations, y compris des entreprises de taille moyenne dans les secteurs couverts.

Reporting d'incidents harmonisé : L'article 23 de NIS2 établit des délais de reporting d'incidents à l'échelle de l'UE qui s'alignent étroitement sur les obligations de reporting BSI déjà établies par la Loi sur la sécurité informatique 2.0, mais avec quelques ajustements aux fenêtres de notification spécifiques.

Responsabilité de la direction : L'article 20 de NIS2 introduit une responsabilité personnelle pour les organes de direction qui ne veillent pas à la conformité avec les exigences de cybersécurité -- une escalade significative par rapport à l'approche de la Loi sur la sécurité informatique 2.0.

Amendes plus élevées : NIS2 augmente les amendes maximales à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, bien au-dessus du maximum de 2 millions d'euros prévu par la Loi sur la sécurité informatique 2.0.

Pour les institutions financières, DORA prend la priorité sur NIS2 pour les exigences de résilience opérationnelle numérique (l'article 4 de NIS2 prévoit un principe de lex specialis pour les entités couvertes par une législation sectorielle spécifique). Cependant, les exigences de la Loi sur la sécurité informatique 2.0 / NIS2UmsuCG restent pertinentes pour les aspects non couverts par DORA, en particulier le régime des composants critiques en vertu de la section 9b BSIG et les obligations de reporting spécifiques au BSI.

ISO 27001, en particulier lorsqu'il est mis en œuvre sur la base de l'IT-Grundschutz du BSI, fournit un chemin reconnu pour démontrer la conformité avec l'exigence de "l'état de l'art" en vertu de la section 8a BSIG. De nombreux opérateurs KRITIS utilisent la certification ISO 27001 comme base pour leur vérification de conformité biennale.

ENISA (l'Agence de l'Union européenne pour la cybersécurité) publie des rapports sur le paysage des menaces et des directives de bonnes pratiques qui informent la norme de "l'état de l'art" mentionnée dans la Loi sur la sécurité informatique 2.0. Les opérateurs KRITIS devraient surveiller les publications d'ENISA comme source pour les attentes de sécurité évolutives.

Automatisation de la conformité avec Matproof

Les exigences de la Loi sur la sécurité informatique 2.0 créent un cycle de conformité continu : mettre en œuvre des mesures de sécurité, déployer des systèmes de détection des attaques, signaler des incidents et démontrer la conformité tous les deux ans. Chaque phase génère des exigences documentaires qui s'accumulent au fil du temps. Deux ans de preuves doivent être disponibles pour chaque audit biennal, les systèmes de détection des attaques doivent produire des journaux continus, et les rapports d'incidents doivent être déposés dans des délais stricts.

Matproof automatise la collecte des preuves qui sous-tend ce cycle de conformité. La plateforme se connecte à l'infrastructure de sécurité -- systèmes SIEM, pare-feux, systèmes de gestion des identités et environnements cloud -- et collecte continuellement des preuves mappées aux exigences du BSIG. Lorsque l'audit biennal approche, les équipes de conformité disposent d'un référentiel de preuves structuré couvrant toute la période d'audit plutôt qu'une course à la documentation de dernière minute.

Pour l'exigence de détection des attaques en vertu de la section 8a(1a), Matproof surveille si les trois domaines fonctionnels (journalisation, corrélation et réponse) fonctionnent comme prévu et génère des preuves de leur niveau de maturité. Cela soutient directement l'évaluation de maturité du BSI lors de la vérification de conformité.

Le mappage inter-cadres de la plateforme relie les exigences du BSIG aux contrôles DORA et ISO 27001 qui se chevauchent. Les preuves collectées pour l'audit biennal de la Loi sur la sécurité informatique 2.0 satisfont simultanément aux exigences de preuves de gestion des risques TIC de DORA et à la documentation d'audit ISO 27001. Toutes les données restent dans des centres de données allemands, répondant aux propres attentes du BSI en matière de souveraineté des données dans les opérations d'infrastructure critiques.

Feuille de route de mise en œuvre

Phase 1 (Semaines 1-2) : Classification KRITIS. Déterminez si votre institution respecte les valeurs seuils KRITIS définies dans la BSI-KritisV pour le secteur financier. Si vous êtes classé comme KRITIS, enregistrez-vous auprès du BSI et établissez le point de contact requis 24/7. Si vous êtes nouvellement concerné en raison de NIS2UmsuCG, comprenez les obligations ajustées.

Phase 2 (Semaines 3-6) : Évaluation de la base de sécurité. Évaluez votre posture de sécurité actuelle par rapport aux exigences de la section 8a BSIG, en utilisant le B3S du secteur financier ou l'IT-Grundschutz du BSI comme cadre de référence. Identifiez les lacunes, en particulier dans les systèmes de détection des attaques requis par la section 8a(1a).

Phase 3 (Semaines 7-12) : Déploiement de la détection des attaques. Si vos systèmes de détection des attaques ne répondent pas au niveau de maturité minimum 3 du BSI, priorisez leur amélioration. Cela implique généralement de déployer ou de mettre à niveau les capacités SIEM, d'intégrer des flux d'intelligence sur les menaces et d'établir des procédures formelles de réponse aux incidents. Documentez la mise en œuvre pour l'audit biennal.

Phase 4 (Semaines 13-16) : Préparation à l'audit. Organisez les preuves de la période des deux dernières années dans la structure attendue par les auditeurs approuvés par le BSI. Effectuez une révision pré-audit pour identifier les lacunes documentaires. Engagez le cabinet d'audit tôt pour s'aligner sur le champ d'application et les attentes.

En cours : Conformité continue. Maintenez la collecte automatisée de preuves, effectuez des tests réguliers des systèmes de détection des attaques et maintenez les procédures de réponse aux incidents à jour. Surveillez les publications du BSI pour des mises à jour sur les directives techniques et le calendrier de mise en œuvre de NIS2UmsuCG.

FAQ

Comment déterminer si mon institution financière est un opérateur KRITIS ?

La classification KRITIS est basée sur des valeurs seuils définies dans la BSI-Kritisverordnung (BSI-KritisV). Pour le secteur bancaire (Sektor Finanzwesen), les seuils concernent les volumes de transactions, le nombre de comptes gérés ou la valeur des actifs sous gestion. Pour l'assurance, le seuil concerne le nombre de personnes assurées. Si votre institution dépasse le seuil applicable, vous êtes un opérateur KRITIS et devez vous conformer à la section 8a BSIG. Le BSI fournit des directives sur l'application des valeurs seuils, et BaFin peut clarifier les questions de classification pour les institutions supervisées.

Que se passe-t-il si nous ne signalons pas un incident de sécurité informatique au BSI ?

Le non-respect de la notification d'un incident de sécurité informatique significatif dans les délais requis constitue une infraction administrative en vertu de la section 14 BSIG. Les amendes peuvent atteindre jusqu'à 500 000 euros par violation. Plus important encore, les incidents non signalés peuvent s'aggraver s'ils affectent d'autres opérateurs d'infrastructures critiques, et le BSI peut adopter une vue particulièrement critique de la posture de conformité globale d'un opérateur si les obligations de reporting ne sont pas respectées. Avec NIS2UmsuCG, les pénalités pour les manquements au reporting augmenteront considérablement.

La certification ISO 27001 satisfait-elle aux exigences de la Loi sur la sécurité informatique 2.0 ?

La certification ISO 27001, en particulier lorsqu'elle est basée sur l'IT-Grundschutz du BSI, est reconnue comme une base solide pour démontrer la conformité à la section 8a BSIG. Cependant, ISO 27001 à elle seule peut ne pas couvrir toutes les exigences spécifiques au BSIG, en particulier l'exigence des systèmes de détection des attaques en vertu de la section 8a(1a) et les obligations de reporting d'incidents en vertu de la section 8b. Les opérateurs KRITIS devraient utiliser ISO 27001 comme base et la compléter par des mesures spécifiques au BSIG.

Comment la Loi sur la sécurité informatique 2.0 et DORA interagissent-elles pour les institutions financières ?

Pour les institutions financières supervisées par BaFin, DORA prend la priorité pour la gestion des risques TIC, le reporting d'incidents et les tests de résilience numérique. L'article 4 de NIS2 prévoit un principe de lex specialis qui donne la priorité à DORA lorsque ses exigences sont au moins aussi strictes que celles de NIS2. Cependant, certaines exigences de la Loi sur la sécurité informatique 2.0 -- telles que le régime des composants critiques en vertu de la section 9b BSIG et les obligations de coopération spécifiques au BSI -- ne sont pas couvertes par DORA et continuent de s'appliquer indépendamment. Les institutions financières doivent se conformer à la fois à DORA et aux exigences restantes de la Loi sur la sécurité informatique 2.0 / NIS2UmsuCG.