La loi sur la sécurité informatique 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
La loi sur la sécurité informatique en Allemagne oblige les exploitants d'infrastructures critiques à se conformer au règlement KRITIS visant à garantir la cybersécurité au sein des systèmes KRITIS. Cette mesure vise à garantir l'approvisionnement de l'économie et de la société au sein des secteurs KRITIS grâce à des protocoles de cybersécurité étendus.
En 2021, la loi sur la sécurité informatique 2.0 et le règlement KRITIS 1.5 ont apporté une extension significative de la réglementation. La NIS2 et la RCE de l'UE continueront à développer la réglementation en Europe, tandis que la loi faîtière allemande sur les KRITIS et la loi sur la sécurité informatique 3.0 ainsi que de nouvelles ordonnances juridiques assureront d'autres mises à jour à partir de 2023.
À partir de 2023 et 2024, le champ d'application du règlement KRITIS sera considérablement élargi. Cet élargissement sera double ; la largeur de sa couverture augmentera, car beaucoup plus d'entreprises relèveront de sa compétence (NIS2). En outre, sa profondeur augmentera avec l'introduction de mesures spécifiques (NIS2) ainsi que davantage de résilience (RCE, loi-cadre) en plus de l'accent actuel sur la cybersécurité.
Qui est concerné?
Le règlement KRITIS définit huit secteurs KRITIS de l'économie allemande, dans lesquels les opérateurs KRITIS fournissent des services publics essentiels :
Catégorie |
Secteurs |
Services de base |
Énergie, eau, alimentation, santé |
Approvisionnement |
Transport & ; circulation, élimination (2.0) |
Services |
IT et TC |
Extension 2023-2024
Le règlement européen NIS 2 élargit des secteurs clés dans l'UE et sera pertinent pour le règlement national allemand KRITIS jusqu'en octobre 2024 :
Catégorie |
Secteurs |
Annexe 1 |
Energie, Transports, Banques, Marchés financiers, Santé, Eau potable, Eaux usées, Infrastructure numérique, Gestion des services TIC, Administration publique, Espace |
Annexe 2 |
Poste et courrier, gestion des déchets, produits chimiques, alimentation, industrie, services numériques, recherche |
Une éventuelle loi de protection des KRITIS en 2023 inclura d'autres entreprises, au-delà des opérateurs KRITIS, sur la base des RCE de l'UE (CER) :
Catégorie |
Secteurs |
Toit de la CRITÈRE |
Energie, Transports, Banques, Marchés financiers, Santé, Eau potable, Eaux usées, Alimentation, Infrastructure numérique, Administration publique, Espace |
Nouvelles obligations pour les opérateurs KRITIS
Détection des attaques
Les opérateurs CRITIS sont désormais tenus d'intégrer des systèmes de détection des attaques dans leurs mesures de sécurité techniques et organisationnelles. §L'article 8a (1a) stipule que ces systèmes doivent être capables, en fonctionnement, de détecter et de prévenir les menaces par reconnaissance des formes. A partir du 1er mai 2023, cette exigence deviendra obligatoire et la preuve de sa conformité devra être apportée lors des audits KRITIS.
Conformément à la définition du §2 (9b), des outils techniques et des processus de soutien sont mentionnés. Le guide OH SZA, publié en 2022, esquisse les exigences imposées aux opérateurs du point de vue du BSI à partir de 2023.
Obligations de notification
Dérangements
Les opérateurs CRITIS et les SIEG sont désormais tenus, en vertu de l'article 8b (4a), de communiquer au BSI les informations essentielles, y compris les données à caractère personnel, nécessaires pour remédier aux perturbations importantes.
En outre, il existe désormais une obligation de divulguer l'utilisation d'éléments essentiels conformément au §9b.
Enregistrement direct.
Selon le §8b (3) modifié, les exploitants doivent s'enregistrer rapidement auprès du BSI en tant qu'exploitants KRITIS après identification et indiquer un point de contact. La récente IT-SiG 2.0 autorise en outre le BSI à enregistrer les opérateurs de manière autonome en tant qu'infrastructure critique. Avec l'ajout du §8b (3a), le BSI peut, dans certaines circonstances, demander l'accès aux documents de l'opérateur si les obligations d'enregistrement ne sont pas remplies.
Composants critiques
Selon le nouveau §9b, les opérateurs KRITIS doivent notifier au ministère de l'Intérieur l'utilisation de composants dits critiques, de certains produits informatiques §2(13). Les composants et fonctions importants doivent être régis par la loi qui, dans le domaine des télécommunications, ne s'applique actuellement que jusqu'à la TKG 2021.
Déclaration de garantie
Les composants critiques ne peuvent être utilisés que dans des systèmes KRITIS bénéficiant d'une garantie du fabricant (neuf). La déclaration doit répondre aux exigences minimales fixées par le ministère de l'Intérieur et doit être présentée par l'opérateur KRITIS au ministère de l'Intérieur lors de la déclaration d'utilisation dans le système KRITIS. L'utilisation peut être interdite
L'utilisation peut être interdite
Le ministère de l'Intérieur peut interdire l'utilisation d'ingrédients critiques dans les cas suivants :
- Infraction à l'ordre et à la sécurité publics - lorsque a) le fabricant est sous le contrôle d'un gouvernement, d'une autorité ou des forces armées d'un pays tiers, b) le fabricant a mené des activités qui affectent l'ordre et la sécurité publics en Allemagne, dans l'UE, l'AELE ou l'OTAN, ou c) l'utilisation ne correspond pas aux objectifs de la politique de sécurité de l'Allemagne, de l'UE ou de l'OTAN.
- Manque de confiance dû à des réclamations de garantie du fabricant, à des tests de sécurité et de vulnérabilité et à la contrefaçon de produits connexes. Liste
Inventaire
Pour pouvoir signaler au BSI l'utilisation de composants critiques dans les systèmes KRITIS conformément au § 9b, les exploitants de ces branches doivent procéder à un inventaire des produits informatiques dans les systèmes KRITIS - avec des indications actuelles sur les types, etc. Jusqu'à présent, cela ne s'applique qu'au secteur KRITIS Telecom.
Autres changements en cas d'infraction
Des sanctions plus sévères
Les infractions et les amendes sont sensiblement augmentées dans la loi sur la sécurité de l'information 2.0.
Défauts de conformité
- L'article 14 (1-4) identifie davantage d'infractions intentionnelles ou par négligence aux spécifications KRITIS que d'infractions administratives, notamment :
Infractions |
BSIG-E |
Preuves manquantes |
§8a(3) |
Manifestations de perturbation manquantes, manque de coopération |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Mesures manquantes |
§8a(1) §8c(1) §8f(1) |
Absence d'enregistrement et de point de contact |
§8b(3) §8f(5) |
Manque d'informations |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Erreurs de certifications |
§9a(2) §9c(4) Art. 55 et 56 (UE) 2019/881 |
Amendes
- L'article 14 (5) définit à cet effet des amendes nettement plus élevées pour ces infractions. Il existe désormais des amendes allant jusqu'à 2 millions d'euros, et, en référence à l'article 30, paragraphe 2, de l'OWiG, jusqu'à 20 millions d'euros en tant que personne morale (organe).
Pour plus d'informations détaillées, consultez les sources suivantes:
- Deuxième loi sur le renforcement de la sécurité des systèmes informatiques, IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021 n° 25, 27 mai 2021
- Décision du Conseil fédéral - Deuxième loi sur le renforcement de la sécurité des systèmes informatiques, Conseil fédéral, imprimé 324/21 (décision), 07.05.21
- BBSI-Kritisverordnung, du 22 avril 2016 (BGBl. I p. 958), modifié en dernier lieu par l'article 1 de l'ordonnance du 6 septembre 2021 (BGBl. I p. 4163)
- Annexe 1 : Projet de deuxième décret modifiant le décret sur les critiques du BSI avec préambule et exposé des motifs, Intrapol.org, 26.4.2021
- Annexe 2 : Version de lecture non officielle du règlement modificatif, Intrapol.org, 26.4.2021
- Loi sur le renforcement de la sécurité informatique adoptée à la majorité de la coalition, Bundestag 23.04.2021
- Recommandation de décision et rapport sur le projet de loi du gouvernement fédéral relatif à une deuxième loi sur le renforcement de la sécurité des systèmes informatiques, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
- La commission donne son feu vert à la loi sur la sécurité informatique 2.0, Bundestag Intérieur et Patrie/commission - 21.04.2021 (hib 527/2021)
- Projet de deuxième loi visant à renforcer la sécurité des systèmes informatiques du 25.01.2021 (IT-Sicherheitsgesetz 2.0), projet de loi du gouvernement fédéral, imprimé 19/26106
- Projet de deuxième loi visant à renforcer la sécurité des systèmes informatiques (IT-Sicherheitsgesetz 2.0), communiqué de presse du ministère de l'Intérieur 16.12.2020
- Le cabinet adopte le projet de loi sur la sécurité informatique 2.0, communiqué de presse du ministère de l'Intérieur du 16.12.2020
- Loi sur la sécurité informatique 2.0 - toutes les versions disponibles, GT KRITIS, 21 avril 2021