L'Allemagne renforce la cybersécurité: La nouvelle loi sur la sécurité informatique impose des règles plus strictes à 29 500 entreprises

La menace numérique en Allemagne ne cesse de croître et le gouvernement fédéral répond:

Le Cabinet fédéral a adopté le 30 juillet 2025 une nouvelle loi sur la sécurité informatique, qui vise à renforcer fondamentalement la cybersécurité en Allemagne.

Cette loi est la deuxième loi européenne Directive SRI 2 La loi allemande sur la sécurité des réseaux et de l'information a été transposée dans le droit allemand et la législation actuelle en matière de sécurité informatique a été entièrement modernisée. Aujourd'hui, environ 29 500 entreprises issues de secteurs critiques sont concernées.

Qui est concerné?

La nouvelle loi élargit le Cercle des entreprises engagées significative. Outre les anciens exploitants d'infrastructures critiques (KRITIS), ce que l’on appelle aujourd’hui les «importantes» et les «particulièrement importantes» installations» sont au centre de l’attention.

Les quelque 29 500 entreprises sont des entreprises des secteurs suivants:

• Alimentation en énergie
• Soins de santé
• Technologies de l'information et télécommunications
• Transports et transports
• Approvisionnement en eau
• nutrition
• Finances et assurances
• Gestion des déchets urbains

Cette nette extension du Champ d'application Cela montre à quel point le gouvernement fédéral prend la cybermenace au sérieux. Les secteurs concernés constituent l'épine dorsale de l'économie allemande et doivent être particulièrement protégés contre les cyberattaques susceptibles d'avoir des répercussions sociales importantes.

Exigences spécifiques pour les entreprises

Mesures de protection préventives

À l'avenir, toutes les entreprises concernées devront mettre en place des mesures de sécurité globales:

• Analyse des risques: Évaluation systématique des cybermenaces
  
• Plans d'urgence: Stratégies de réaction préparées en cas d'urgence
  
• Concepts de sauvegarde: Procédures de sauvegarde et de restauration des données sécurisées
  
• Solutions de chiffrement: Protection des données sensibles grâce à la cryptographie

L’ampleur des mesures de protection requises dépend de l’importance de l’institution concernée, ce qui permet de maintenir un équilibre entre les exigences de sécurité et la faisabilité pratique.

Obligations de déclaration strictes en cas d'urgence

En cas de cyberattaque, des délais de notification stricts s'appliqueront à l'avenir:

1. 24 heures: Première notification de l’incident de sécurité
2. 72 heures: Rapport intermédiaire présentant les premières constatations
3. Un mois: Rapport final complet

Cette chaîne de signalement est conçue pour permettre une réponse rapide et aider les autres entreprises à se protéger contre des attaques similaires.

Compétences élargies pour le BSI

La nouvelle loi confère à l'Office fédéral de la sécurité des technologies de l'information (BSI) des pouvoirs de surveillance nettement élargis. À l'avenir, l'Autorité pourra:

• Accompagner les entreprises de manière plus ciblée dans la mise en œuvre des mesures de sécurité
• Surveiller activement le respect des normes de sécurité
• En cas d'infractions graves, infliger des amendes en fonction du chiffre d'affaires annuel des entreprises

Ce renforcement de la surveillance vise à faire en sorte que les nouvelles règles soient non seulement sur le papier, mais aussi mises en œuvre de manière cohérente. Le BSI fournit d'ores et déjà de nombreuses informations, dont une Outils numériques d'auto-évaluation, afin de permettre aux entreprises d’évaluer à un stade précoce les régimes qui les concernent.

Classification politique

Le ministre fédéral de l'Intérieur Alexander Dobrindt a souligné l'importance de la loi: «Avec la nouvelle loi, nous créons un niveau de sécurité nettement plus élevé pour notre économie et notre administration. Les entreprises et les pouvoirs publics sont de plus en plus résistants aux cyberattaques. Nous nous appuyons sur des règles claires, sans bureaucratie inutile.»

L'objectif est clair: Les entreprises doivent être en mesure de maintenir de manière fiable leurs services essentiels, même en cas d'urgence, dans l'intérêt de l'ensemble de la société.

Perspectives: Loi CRITIS et meilleure protection de l'administration fédérale

Parallèlement à la mise en œuvre du SRI 2, Ministère fédéral de l'Intérieur déjà le prochain grand pas: un soi-disant Loi de toiture de KRITIS. Il vise à établir, pour la première fois, des normes minimales intersectorielles pour la protection physique des infrastructures critiques, un complément important aux mesures de sécurité numérique. Des domaines tels que l'électricité, l'eau, la santé ou l'alimentation sont au centre de l'attention.

En outre, l'administration fédérale elle-même est mieux protégée afin de montrer l'exemple et de pérenniser ses propres systèmes informatiques.

Conclusion:

Une étape nécessaire en période de turbulences. La nouvelle loi sur la sécurité informatique arrive à un moment critique. Les cyberattaques contre les infrastructures critiques se multiplient dans le monde entier et l'Allemagne ne peut pas se permettre d'être mal préparée. Avec la mise en œuvre de la directive SRI 2, le gouvernement fédéral comble d'importantes lacunes en matière de sécurité Et je pose enfin les jalons pour un avenir numérique plus résilient.

Pour les entreprises concernées, cela représente d'abord une charge de travail supplémentaire, mais aussi, à long terme, une sécurité et une confiance accrues dans leurs processus numériques. Le Bundestag doit encore approuver le projet de loi, mais compte tenu du large soutien politique en faveur d'une plus grande cybersécurité, une adoption rapide est attendue.

La transformation numérique de notre société exige non seulement de l'innovation, mais aussi de la sécurité. Avec cette loi, l'Allemagne fait un pas important dans la bonne direction.

Sources : bmi.bund.de | it-fachportal.de | cio.de | nis2-navigator.de | bsi.de