Le 17 juillet 2026 marquait la date limite d'enregistrement des opérateurs d'infrastructures critiques allemands auprès du BSI et du BBK dans le cadre du KRITIS-Dachgesetz. Seul un tiers des 2 000 opérateurs concernés s'est mis en conformité, risquant des amendes jusqu'à 10 millions d'euros.
En bref
- Le 17 juillet 2026 marquait la date limite d'enregistrement auprès du BSI et du BBK pour environ 2 000 opérateurs d'infrastructures critiques allemands dans le cadre du KRITIS-Dachgesetz, entré en vigueur le 17 mars 2026.
- Seul environ un tiers des entités concernées avait accompli cette démarche à la date butoir, exposant les deux tiers restants à des amendes pouvant atteindre 10 millions d'euros.
- Les entreprises françaises exploitant des installations critiques sur le territoire allemand sont également concernées et doivent vérifier en urgence si elles entrent dans le périmètre KRITIS.
KRITIS-Dachgesetz : ce que la deadline du 17 juillet 2026 signifie concrètement
Le 17 juillet 2026 constituait une date charnière pour la conformité réglementaire des opérateurs d'infrastructures critiques en Allemagne. Ce jour marquait l'expiration du délai légal d'enregistrement imposé par le KRITIS-Dachgesetz — la loi allemande sur la protection des installations critiques — entrée en vigueur le 17 mars 2026. Les opérateurs identifiés comme exploitants d'installations critiques (Betreiber kritischer Anlagen) devaient se déclarer simultanément auprès de deux autorités fédérales : le Bundesamt für Sicherheit in der Informationstechnik (BSI, l'agence fédérale de sécurité informatique) et le Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK, l'office fédéral de la protection civile et de l'aide en cas de catastrophe).
Cette double obligation d'enregistrement illustre la double nature du KRITIS-Dachgesetz. D'une part, la loi transpose en droit allemand la directive européenne CER (Critical Entities Resilience — UE 2022/2557) sur la résilience physique des entités critiques face aux catastrophes naturelles, aux attaques terroristes et au sabotage physique — volet dont le BBK est le régulateur compétent. D'autre part, elle s'articule avec la loi de mise en oeuvre NIS2 (NIS2-Umsetzungsgesetz) portant sur les obligations de cybersécurité — détection des incidents, gestion des risques informatiques, notification des autorités — supervisées par le BSI. Les deux corps de réglementation fonctionnent de concert mais restent juridiquement distincts, exigeant des opérateurs une double conformité couvrant à la fois les risques physiques et les risques numériques.
Le périmètre d'application concerne environ 2 000 opérateurs actifs dans 18 secteurs d'importance critique identifiés par la réglementation européenne et nationale : énergie, transports, eau, banque et marchés financiers, infrastructures numériques, santé, alimentation, infrastructure spatiale, administration publique et plusieurs autres domaines stratégiques. Pour chaque secteur, des seuils quantitatifs — taille des installations, nombre de personnes desservies, criticité géographique ou économique — déterminent si un opérateur entre dans le périmètre de la loi. Ces seuils sont définis dans les ordonnances d'application sectorielles (Rechtsverordnungen) accompagnant la loi principale et peuvent être révisés pour élargir le périmètre au fil du temps.
Le taux de conformité à la date butoir est alarmant. Selon les analyses publiées par des cabinets spécialisés en droit réglementaire tels que Morrison Foerster, Reed Smith et A&O Shearman dans leurs publications de veille juridique du premier semestre 2026, seul environ un tiers des entités soumises à l'obligation d'enregistrement avait effectivement accompli cette démarche au 17 juillet 2026. Ce chiffre fait écho au constat similaire dressé par le consortium OpenKRITIS : la transposition de NIS2 par les États membres a globalement révélé un décalage important entre les obligations formelles et le niveau effectif de conformité des opérateurs dans les délais impartis.
Les sanctions prévues par le KRITIS-Dachgesetz pour non-conformité sont significatives et progressives. Un opérateur qui manque à ses obligations d'enregistrement, ne réalise pas les évaluations des risques requises ou ne se conforme pas aux obligations de notification d'incidents s'expose à des amendes administratives pouvant atteindre 10 millions d'euros. Pour les manquements liés aux obligations de cybersécurité sous NIS2, les amendes peuvent être calculées en proportion du chiffre d'affaires mondial annuel de l'entité, avec des plafonds distincts selon la catégorie — entité essentielle ou entité importante au sens de la directive. Ces niveaux de sanction sont comparables aux montants prévus par le RGPD et constituent un puissant levier d'incitation à la conformité pour les retardataires.
Concrètement, les obligations qui s'imposent aux opérateurs après l'enregistrement sont substantielles et s'échelonnent sur plusieurs mois. L'enregistrement n'est que la première étape d'un processus de mise en conformité global. Les opérateurs doivent ensuite réaliser des évaluations des risques couvrant les risques physiques (sous CER) et les risques cyber (sous NIS2), mettre en place des mesures techniques et organisationnelles appropriées, établir des plans de continuité d'activité et de reprise après incident, et définir des procédures de notification aux autorités compétentes dans les délais prescrits. Le KRITIS-Dachgesetz impose également la désignation d'un point de contact unique (Single Point of Contact) pour les communications avec les autorités de régulation, facilitant la coordination lors des crises.
Pour les opérateurs qui n'auraient pas encore amorcé leur démarche de mise en conformité, la situation post-deadline du 17 juillet n'est pas irrémédiable mais exige une action immédiate pour limiter l'exposition aux sanctions. Les opérateurs se découvrant nouvellement qualifiés — par exemple suite à une acquisition, une extension d'activité ou la publication de nouvelles ordonnances sectorielles élargissant le périmètre — disposent d'un délai de trois mois à compter de la date de qualification effective pour procéder à leur enregistrement. Pour les opérateurs clairement dans le périmètre depuis mars 2026, l'absence d'enregistrement au 17 juillet constitue formellement une infraction exposant aux sanctions prévues, même si les autorités allemandes exercent traditionnellement une certaine progressivité dans leurs actions coercitives lors des premières phases d'application d'une nouvelle réglementation.
La dimension européenne de cet enjeu dépasse le cas allemand. Le projet de règlement Digital Omnibus de la Commission européenne propose des simplifications procédurales pour 2027, notamment un principe de déclaration unique — dit « report once, share many » — consolidant les obligations de notification d'incidents au titre de NIS2, RGPD, eIDAS, DORA et de la directive CER. Une reconnaissance implicite que la multiplicité des régimes génère une charge administrative difficile à absorber simultanément pour les opérateurs multi-secteurs ou multi-pays. Selon le suivi réalisé par Reed Smith, plusieurs États membres de l'Union européenne présentent des taux de transposition et de conformité opérationnelle largement en deçà des attentes à mi-2026.
Ce que les entreprises françaises doivent comprendre de la régulation NIS2 allemande
Le KRITIS-Dachgesetz intéresse directement les entreprises françaises actives en Allemagne dans un secteur réglementé. Une entreprise française opérant une centrale de production d'énergie, un centre de données, un réseau de transport ou un établissement de santé sur le territoire allemand peut être qualifiée d'opérateur d'installation critique selon les critères allemands, indépendamment de son siège social en France. Dans ce cas, les obligations d'enregistrement auprès du BSI et du BBK s'appliquent à l'entité juridique ou à la filiale allemande concernée, et les sanctions en cas de manquement relèvent du droit allemand. La nationalité de la maison mère ne constitue pas un facteur exonératoire dans le cadre de ce régime réglementaire.
En France, la transposition de NIS2 via la loi de programmation militaire 2024-2030 (LPM) a introduit un cadre NIS2 national dont l'ANSSI est l'autorité de supervision. Les opérateurs de services essentiels (OSE) et les entités essentielles ou importantes définies dans la transposition française sont soumis à des obligations analogues à celles du cadre allemand, bien qu'avec des calendriers de mise en oeuvre et des seuils de qualification potentiellement différents. Les RSSI et directeurs juridiques des groupes opérant dans plusieurs pays de l'Union européenne doivent maintenir une cartographie précise de leurs qualifications réglementaires par État membre, les obligations n'étant pas uniformément identiques malgré l'harmonisation visée par la directive NIS2.
Le contexte de la deadline allemande illustre une difficulté structurelle de la conformité NIS2 à l'échelle européenne : le décalage entre l'ambition réglementaire des directives et la capacité opérationnelle des acteurs économiques à absorber ces obligations dans les délais impartis. Le taux d'enregistrement d'environ un tiers en Allemagne au 17 juillet 2026 rappelle les niveaux de conformité RGPD observés dans les premières années suivant l'entrée en application du règlement en 2018 — avec une courbe d'apprentissage progressive et des premières sanctions concentrées sur les manquements les plus flagrants. Les analystes de Morrison Foerster anticipent une intensification des contrôles par le BSI et le BBK au second semestre 2026, avec un focus initial sur les secteurs énergie et numérique jugés prioritaires.
Pour les directions sécurité et conformité, l'événement du 17 juillet 2026 est un rappel concret de la nécessité d'une veille réglementaire active et d'une cartographie dynamique des obligations applicables par territoire. Les textes NIS2, CER, DORA, Cyber Resilience Act (CRA) et leurs transpositions nationales forment un corpus réglementaire dense dont la maîtrise requiert une approche structurée et pluridisciplinaire. Les entreprises qui ont investi dans des programmes de conformité proactifs — impliquant conjointement les équipes juridiques, techniques et opérationnelles — abordent les deadlines réglementaires avec un niveau de sérénité que les retardataires exposés aux sanctions ne peuvent pas se permettre.
Ce qu'il faut retenir
- Le 17 juillet 2026 marquait la date limite d'enregistrement NIS2/KRITIS pour environ 2 000 opérateurs d'infrastructures critiques en Allemagne ; seul environ un tiers des entités est en conformité, les autres s'exposant à des amendes jusqu'à 10 millions d'euros.
- Le KRITIS-Dachgesetz impose une double conformité — cybersécurité (BSI/NIS2) et résilience physique (BBK/CER) — aux opérateurs de 18 secteurs critiques, y compris les filiales allemandes de groupes étrangers.
- Les entreprises françaises actives en Allemagne dans un secteur réglementé doivent vérifier en urgence leur qualification KRITIS et engager immédiatement les démarches d'enregistrement pour limiter leur exposition aux sanctions réglementaires.
Une entreprise française peut-elle être concernée par le KRITIS-Dachgesetz allemand ?
Oui, si l'entreprise ou l'une de ses filiales exploite une installation critique sur le territoire allemand dans l'un des 18 secteurs réglementés (énergie, transports, eau, santé, numérique, etc.) et que les seuils quantitatifs définis dans les ordonnances sectorielles sont atteints. Les obligations d'enregistrement auprès du BSI et du BBK s'appliquent indépendamment du siège social de la maison mère. Un audit de périmètre NIS2/KRITIS mené conjointement par les équipes juridiques et techniques est recommandé pour toute entreprise du secteur critique opérant en Allemagne.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
OpenAI lance GPT-5.6 Sol, Terra et Luna avec ChatGPT Work
OpenAI a déployé le 9 juillet 2026 sa famille de modèles GPT-5.6 en trois tiers — Sol, Terra et Luna — accompagnée de ChatGPT Work, un agent autonome conçu pour orchestrer des tâches d'entreprise complexes via des workflows multi-agents sur Slack, Notion, Microsoft 365 et Google Drive.
Aflac Japon : brèche de données pour 4,38 millions d'assurés
Aflac Life Insurance Japan a révélé une intrusion dans son portail assuré entre le 15 et le 25 juin 2026, compromettant les données de 4,38 millions de clients, dont les coordonnées bancaires de 230 000 assurés. La FSA japonaise a ordonné un rapport d'amélioration obligatoire.
AWS us-east-1 en panne : 3 heures de blackout mondial
Le 16 juillet 2026, une panne de 3 heures dans la région AWS us-east-1 a paralysé des services critiques mondiaux : réseaux hospitaliers, logistique aérienne, ChatGPT, Signal et Coinbase.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire