29 janvier 2026. Après plusieurs années de reports, le Parlement allemand a adopté deux textes attendus par les opérateurs d’importance vitale et, plus largement, par les entreprises exposées aux risques numériques et de continuité d’activité: le KRITIS-Dachgesetz (loi-cadre sur les infrastructures critiques) et la loi de transposition de NIS2. L’information a été détaillée dans une analyse publiée par energie. blog, signée par Waldemar Ahrend-Reimche (OEDIV SecuSys) et Dr. Anke Schäfer (OEDIV SecuSys).
Le cur du mouvement est clair: imposer des exigences minimales, homogènes et intersectorielles en matière de résilience, de sécurité et de préparation aux crises. Pour les directions générales, la question n’est plus de savoir si le sujet relève du seul service informatique. Les deux lois rapprochent la cybersécurité, la gestion des risques et la continuité d’activité dans un même bloc d’obligations, avec des attentes explicites sur la gouvernance, la documentation et la capacité à tenir en situation dégradée.
Ce durcissement réglementaire intervient dans un contexte européen où l’extension du périmètre des entités concernées, l’augmentation des obligations de notification et la responsabilisation des dirigeants deviennent la norme. Pour les entreprises opérant en Allemagne ou dépendantes d’acteurs allemands dans leur chaîne de valeur, l’adoption du 29 janvier 2026 agit comme un signal opérationnel: les programmes de conformité doivent passer du cadrage à l’exécution, avec des preuves auditables.
Le KRITIS-Dachgesetz fixe des standards minimaux intersectoriels de résilience
Le premier apport du KRITIS-Dachgesetz tient à l’unification. Le texte vise des standards minimaux applicables à l’échelle fédérale, au-delà des approches sectorielles parfois fragmentées. Dans la lecture proposée par energie. blog, l’objectif affiché est d’augmenter la résilience des infrastructures critiques, en liant sécurité technique, organisation interne et capacité de réponse aux crises.
Concrètement, le texte place la continuité des services au centre: une entreprise classée critique n’est plus seulement évaluée sur la prévention, mais sur sa capacité à absorber un choc, à maintenir des fonctions essentielles et à revenir à un niveau nominal. Cette logique rapproche le monde cyber (détection, réponse, remédiation) et le monde sûreté/continuité (plans de secours, redondances, gestion de crise). Pour de nombreux opérateurs, cela implique de sortir d’une conformité documentaire et de démontrer des mécanismes testés, mesurés et mis à jour.
Le caractère intersectoriel a un effet immédiat: des exigences comparables s’appliquent à des secteurs aux cultures de risque très différentes. Les acteurs de l’énergie et des télécoms, souvent déjà structurés, se retrouvent alignés avec d’autres secteurs où la maturité est plus hétérogène. Cela tire mécaniquement le marché vers des référentiels communs, des audits plus fréquents et une standardisation des preuves: cartographies de dépendances, analyses de scénarios, exercices de crise, et indicateurs de temps de rétablissement.
Le texte s’inscrit aussi dans une logique de crise multi-événements: cyberattaque, panne d’approvisionnement, incident industriel, événement climatique. En rapprochant des exigences minimales de préparation, il pousse les entreprises à traiter leurs dépendances (énergie, connectivité, prestataires, cloud, logistique) comme des risques structurants. Dans les faits, cela favorise les programmes de résilience fondés sur l’identification des fonctions vitales, la priorisation des actifs et la formalisation de décisions d’arbitrage, par exemple entre coût de redondance et niveau de service attendu.
La transposition NIS2 élargit le périmètre et renforce les obligations de cybersécurité
Le second texte, la loi de transposition de NIS2, s’inscrit dans la trajectoire européenne d’élévation du niveau de cybersécurité. Energie. blog insiste sur le fait que l’adoption met fin à une période d’attente et replace les entreprises dans une logique d’exécution: mise en conformité, gouvernance, et capacité de notification. Le point clé, pour les organisations, est l’extension du champ des entités concernées, avec des obligations plus prescriptives que dans le cadre précédent.
Au-delà du périmètre, la philosophie de NIS2 repose sur une exigence de gestion des risques de bout en bout. La cybersécurité n’est plus une pile de mesures techniques isolées. Elle devient un système: politiques, procédures, formation, contrôle des accès, gestion des vulnérabilités, sécurité des fournisseurs, et réponse aux incidents. Cette approche transforme la relation entre la DSI, la direction des risques, les achats et le juridique, car la conformité se prouve aussi par la maîtrise de la chaîne de sous-traitance.
La question de la notification des incidents est un autre point structurant. NIS2 impose des obligations de signalement plus exigeantes, ce qui suppose une capacité de détection, de qualification et de décision en temps contraint. Dans la pratique, les entreprises doivent disposer d’une chaîne de commandement claire: qui déclenche l’escalade, qui valide la notification, qui parle au régulateur, qui coordonne la communication. Sans cette mécanique, la conformité reste théorique et l’organisation s’expose à des erreurs de qualification ou à des retards.
Enfin, NIS2 pousse vers des preuves auditables: registres d’incidents, résultats de tests, revues de droits, évaluations de risques, et éléments démontrant l’amélioration continue. Pour les groupes multinationaux, le sujet devient aussi celui de l’harmonisation: un dispositif unique doit pouvoir satisfaire des exigences nationales, avec des variations locales, sans exploser en coûts de gouvernance. C’est souvent là que se joue la réussite, car la conformité NIS2 exige des standards communs, mais aussi des responsabilités locales explicites.
Ce que les directions doivent livrer: gouvernance, preuves, exercices et chaîne fournisseurs
Les deux textes convergent vers une même exigence: transformer des intentions en livrables opposables. La première brique est la gouvernance. Les entreprises doivent clarifier la responsabilité des décisions de sécurité et de résilience, au niveau exécutif, avec des arbitrages documentés. Dans les faits, cela se traduit par des comités réguliers, des indicateurs partagés et une traçabilité des décisions, notamment sur l’acceptation de risques et les priorités d’investissement.
La seconde brique est la production de preuves. Les autorités et les auditeurs ne se contentent pas d’un catalogue de politiques. Ils attendent des éléments vérifiables: inventaires d’actifs, cartographies des dépendances, analyses de risques mises à jour, et résultats de contrôles. Une entreprise qui ne sait pas démontrer où sont ses systèmes critiques, qui y accède, comment ils sont sauvegardés et comment ils redémarrent après incident, part avec un handicap majeur. Le travail de fond est souvent l’alignement entre réalité opérationnelle et documentation.
Troisième brique, les exercices et tests. Les textes orientés résilience et crise supposent des scénarios joués, des plans éprouvés et des retours d’expérience. Un plan de continuité non testé perd sa valeur au premier incident réel. Les exercices permettent aussi de valider la coordination entre cyber, production, communication, juridique et direction générale. Ils révèlent les angles morts: dépendance à une personne clé, absence de procédure de bascule, ou incapacité à restaurer dans les délais.
Quatrième brique, la chaîne fournisseurs. NIS2, comme les approches modernes de cybersécurité, impose de traiter les prestataires comme une extension du système d’information. Cela implique des exigences contractuelles, des évaluations de risques, des clauses de notification, et des droits d’audit adaptés. Pour les entreprises industrielles ou de services essentiels, la dépendance à des intégrateurs, à l’infogérance ou au cloud devient un sujet de conformité à part entière. La difficulté est d’obtenir des garanties sans bloquer l’exploitation, ce qui suppose une segmentation des fournisseurs selon la criticité et des exigences proportionnées.
Calendrier du 29 janvier 2026: pourquoi l’écart entre conformité et sécurité réelle se réduit
L’adoption le 29 janvier 2026 change la dynamique interne des organisations. Tant que les textes restaient en discussion, de nombreuses entreprises pouvaient se limiter à des projets pilotes, des diagnostics ou des plans à moyen terme. Avec un cadre voté, l’arbitrage se déplace: il faut planifier, budgéter, exécuter et produire des résultats. La conformité devient un chantier transversal, avec des dépendances fortes entre métiers et fonctions support.
Le risque principal, dans cette phase, est de viser une conformité papier qui ne résiste pas à un incident. Les deux lois, telles que présentées par energie. blog, mettent l’accent sur la préparation aux crises et la capacité à tenir. Cela réduit l’espace pour des dispositifs décoratifs. Une entreprise peut rédiger des politiques en quelques semaines, mais elle ne peut pas improviser une capacité de restauration, une supervision efficace ou une gestion de crise mature sans investissement et sans répétition.
Cette pression a aussi un effet sur le marché: montée en charge des besoins en audit, en outillage de détection, en gestion des identités, en sauvegarde durcie, en segmentation réseau, et en services de réponse à incident. Pour les entreprises, la question devient celle de la priorisation. Les programmes les plus efficaces commencent par les actifs les plus critiques, puis étendent progressivement les contrôles. Ils privilégient les mesures qui réduisent le risque: réduction des privilèges, durcissement des sauvegardes, supervision centralisée, et procédures d’escalade.
Enfin, l’adoption renforce un point souvent sous-estimé: la coordination avec les autorités et les parties prenantes. La notification, la gestion d’un incident majeur et la continuité de service ne se jouent pas seulement en interne. Elles impliquent partenaires, fournisseurs, clients et régulateurs. Les entreprises qui se préparent le mieux sont celles qui définissent des canaux de communication, des modèles de rapports et des responsabilités, avant la crise. Dans ce cadre, la conformité cesse d’être un exercice annuel et devient une discipline opérationnelle, mesurée à chaque test et à chaque incident.
Questions fréquentes
- Quelles entreprises sont les plus concernées par KRITIS et NIS2 après le vote du 29 janvier 2026 ?
- Les textes visent en priorité les acteurs liés aux infrastructures et services essentiels, avec une logique intersectorielle pour KRITIS et un périmètre élargi côté NIS2. L’identification précise dépend du classement et des critères d’application retenus par le cadre national, mais le signal est clair pour les opérateurs critiques et leurs prestataires clés.
- Quelles sont les premières actions concrètes à lancer pour être prêt ?
- Priorité à une cartographie des actifs et dépendances critiques, une gouvernance formalisée (décisions, indicateurs, responsabilités), des procédures de gestion d’incident et de notification, des exigences fournisseurs proportionnées à la criticité, puis des exercices de crise et des tests de restauration documentés.
- Pourquoi la documentation seule ne suffit plus ?
- Les deux lois orientent l’évaluation vers des capacités démontrables : détection, réaction, continuité et retour à la normale. Sans tests, preuves et amélioration continue, une conformité déclarative risque d’échouer lors d’un audit ou d’un incident réel.
