Identifié comme exploitant d'une installation critique ? Nous vous accompagnons en toute sécurité jusqu'à l'audit.
De l'analyse de portée à la définition du périmètre, l'analyse d'écarts, la feuille de route et la mise en œuvre, jusqu'à l'audit de conformité §39 accompagné — propulsé par l'IA, en allemand et prêt pour l'audit. À la demande, en service entièrement managé.
Huit étapes. Un résultat.
Structuré du périmètre d'application jusqu'à la réussite de l'audit externe.
KRITIS en pratique
Témoignages de secteurs régulés — état actuel du droit, retour d'expérience d'audit et démarche concrète.
KRITIS repose aujourd'hui sur deux piliers — et les deux vous concernent simultanément.
L'ancien paysage KRITIS a été fondamentalement réorganisé en 2025/2026. La cybersécurité et la résilience physique sont désormais régies par deux lois distinctes. Quiconque exploite une installation critique relève en règle générale des deux.
Cybersécurité & preuve de conformité
La loi de transposition NIS2 a réformé le BSIG et est entrée en vigueur le 6 décembre 2025 — sans période de transition. Elle régit la gestion des risques, les obligations de notification et la procédure de preuve §39.
- Les exploitants d'installations critiques sont automatiquement « entité particulièrement importante » (§28 BSIG).
- Preuve des mesures auprès du BSI tous les trois ans (§39 BSIG).
- Délais de notification 24 h / 72 h / rapport final en cas d'incidents de sécurité.
- Enregistrement auprès du BSI via le nouveau portail (§33/§34 BSIG).
Résilience physique
La loi-cadre KRITIS transpose la directive CER de l'UE et traite la sécurité physique selon une approche tous risques — adoptée par le Bundestag le 29.01.2026, en vigueur en 2026.
- Enregistrement des installations auprès du BBK via la plateforme commune BBK/BSI.
- Analyses de risques, mesures de résilience et gestion de crise (§13).
- Point de contact 24/7 et chaînes de notification en cas de perturbations.
- Le mapping vers ISO 27001 et ISO 22301 crée des synergies de mise en œuvre.
Êtes-vous réellement exploitant d'une installation critique ?
La question la plus importante d'abord — et elle est devenue plus complexe en 2026. Ce qui compte, ce n'est plus la seule installation, mais l'interaction entre BSI-KritisV, transposition NIS2 et loi-cadre KRITIS. Nous évaluons votre périmètre de manière fiable et juridiquement solide.
Évaluation du seuil
Votre installation atteint-elle le seuil de référence de 500 000 personnes desservies ? Nous évaluons des critères quantitatifs et qualitatifs comme la part de marché, la portée et les interdépendances par secteur.
Double classification
Quiconque exploite une installation critique est automatiquement entité particulièrement importante au sens du §28 BSIG — cela signifie des obligations doublées, sans choix. Nous rendons visible ce qui s'applique à vous.
Interface avec l'analyse NIS2
La portée KRITIS est déterminée en parallèle avec la portée NIS2 et proprement imbriquée — une base de données cohérente plutôt que deux évaluations parallèles.
→ Vers le conseil NIS2Quels secteurs relèvent de KRITIS
Services critiques au profit de la collectivité — dans tous les secteurs régulés. Les exploitants d'installations critiques dans ces domaines sont soumis aux obligations du BSIG et de la loi-cadre KRITIS.
Énergie
Électricité, gaz, carburants & pétrole, chauffage urbain
Eau
Alimentation en eau potable & évacuation des eaux usées
Alimentation
Approvisionnement alimentaire & logistique
IT & télécommunications
Réseaux, centres de données, services numériques
Santé
Hôpitaux, médicaments, laboratoires
Finance & assurance
Paiements, bourses, assureurs
Transport & circulation
Air, rail, route, mer, logistique
Déchets municipaux
Élimination & gestion des déchets
Complété par l'espace, l'administration publique et d'autres secteurs au titre de NIS2 — l'affectation concrète est clarifiée dans l'analyse de périmètre.
De la portée d'application à l'audit réussi — en huit étapes.
Un parcours continu et prêt pour l'audit. Chaque étape est réservable séparément ou comme processus entièrement managé — propulsé par l'IA avec VamiGRC et accompagné par des lead auditors expérimentés.
Analyse de portée KRITIS
Nous établissons sur une base juridique solide si et avec quelles installations vous êtes considéré comme exploitant d'installations critiques — en parallèle de la portée NIS2 et proprement imbriqué. Le résultat est une classification fiable incluant les obligations qui en découlent au titre du BSIG et de la loi-cadre KRITIS.
Interface : portée NIS2Définition du périmètre
Délimitation précise de l'installation critique au sein de l'entreprise — y compris processus, IT et OT associés. Nous définissons le périmètre et le schéma réseau de manière que la détection d'attaque soit totalement visible et que les zones non surveillées soient clairement identifiées — exactement comme l'exige la procédure §39 (GAiN 2.2).
Analyse d'écarts KRITIS
Comparaison cible/réel structurée par rapport à la base d'audit applicable — B3S spécifique au secteur, exigences trans-sectorielles et spécificités KRITIS. Nous tenons compte d'ISO 27001 et d'ISO 22301 afin de réutiliser les structures existantes et d'éviter les doublons.
Feuille de route & plan d'action détaillé
Les écarts sont transformés en plan de mise en œuvre priorisé et planifié, avec responsabilités, charges et jalons clairs — aligné sur le prochain audit et les délais du BSIG et de la loi-cadre.
Accompagnement de la mise en œuvrevCISO / vISB en option
Nous accompagnons la mise en œuvre opérationnellement — sur demande avec un vCISO externe ou un responsable de la sécurité des systèmes d'information virtuel (vISB) qui remplit pleinement la fonction RSSI du point de vue réglementaire (BSIG, NIS2, ISO 27001). Pilotage, reporting à la direction et préparation d'audit, d'une seule source.
Plateforme SMSIVamiGRC en option
Sur demande, nous implémentons et exploitons votre plateforme SMSI — soit votre solution existante, soit notre propre plateforme propulsée par l'IA VamiGRC. Risques, contrôles, politiques, mesures et preuves sur une base de données unique et prête pour l'audit.
Découvrir VamiGRCAudit interne formel
Avant l'audit externe, nous menons un audit interne formel selon des normes reconnues — incluant liste des non-conformités, classification (majeur / mineur) et plan de remédiation concret. Vous abordez ainsi la vérification sans surprise.
Accompagnement de l'audit externe
Nous coordonnons l'organisme d'audit indépendant, préparons l'ensemble des documents de preuve et annexes (périmètre, liste des non-conformités, base d'audit) et vous accompagnons tout au long de la procédure §39 jusqu'à la preuve de conformité réussie auprès du BSI.
L'audit n'est pas un projet de fin — c'est la référence dès le premier jour.
Les exploitants d'installations critiques doivent prouver leurs mesures auprès du BSI tous les trois ans. L'organisme d'audit et l'équipe d'audit doivent être externes à l'entreprise ainsi qu'indépendants juridiquement et économiquement ; un B3S seul ne suffit pas. À partir du 01.01.2027, des exigences supplémentaires s'appliquent à la reconnaissance des certificats dans la preuve. Nous intégrons l'audit dès la première étape — pour que les exigences ne deviennent pas un goulot d'étranglement.
KRITIS n'est jamais seul — nous le connectons à votre paysage de conformité.
KRITIS, NIS2 et votre système de management partagent risques, contrôles et preuves. Au lieu de projets en silos, nous créons une base cohérente et réutilisable.
Conseil NIS2
Les exploitants d'installations critiques sont automatiquement entité particulièrement importante. Nous réunissons les obligations KRITIS et NIS2 de manière cohérente — une portée, une démarche intégrée.
Vers le conseil NIS2 →VamiGRC
Notre plateforme SMSI et GRC propulsée par l'IA : risques, contrôles, politiques, mesures et preuves sur une base de données prête pour l'audit — monitoring continu inclus.
Découvrir VamiGRC →GRC as a Service
Vous ne voulez pas constituer une équipe ? Nous prenons en charge l'ensemble de l'exploitation KRITIS et GRC en tant que pile externe — vCISO, plateforme et accompagnement d'audit, prêt pour l'audit dès le premier jour.
GRC as a Service →« GRC as a Service » — votre audit KRITIS, entièrement managé.
De la portée d'application à la maintenance continue du SMSI jusqu'à l'audit triennal : nous prenons en charge le cycle complet en tant que pile GRC externe — avec un vCISO/vISB dédié, la plateforme VamiGRC et la coordination de l'organisme d'audit. Sans constituer de département interne, sans verrouillage fournisseur.
Tout ce dont votre programme KRITIS a besoin
Questions fréquentes sur le conseil KRITIS
Comment savoir si je suis exploitant d'une installation critique ?
Quelle est la différence entre KRITIS, NIS2 et la loi-cadre KRITIS ?
À quelle fréquence la preuve §39 BSIG doit-elle être fournie ?
Avons-nous tout de même besoin d'un responsable interne de la sécurité de l'information ?
Devons-nous utiliser la plateforme VamiGRC ?
Pouvons-nous externaliser l'ensemble de la conformité KRITIS ?
Confiance issue de secteurs régulés
Ce que les clients disent de leur collaboration avec VamiSec.
« VamiSec a réalisé avec nous une analyse d'écarts NIS2 pour un client KRITIS. Ce qui m'a particulièrement marqué, c'est la compétence de toute l'équipe et son savoir approfondi. Nous recommandons VamiSec à 100 %, sans réserve. »
« Je travaille depuis plusieurs années avec M. Milke. Il a élaboré des concepts stratégiques, mené des audits techniques et animé des ateliers en tant que formateur. Sa manière calme et assurée fait de lui un véritable trusted advisor. »
Clarifiez votre portée KRITIS — lors d'une consultation initiale gratuite.
Pas de présentation commerciale, mais une évaluation honnête de votre situation et des prochaines étapes pertinentes.
