Cyberdome Allemagne : la cyberdéfense nationale dans le cadre de la directive NIS 2
Le ministère fédéral de l'Intérieur (BMI) et l'Office fédéral de la sécurité informatique (BSI) développent, dans le cadre du programme Cyberdome Allemagne une nouvelle structure nationale chargée de détecter et de contrer les cyberattaques. Cette initiative constitue une réponse stratégique à l'aggravation de la menace et s'inscrit dans le droit fil des exigences de l'Union européenne directive NIS2, dont la loi nationale de transposition est entrée en vigueur le 6 décembre 2025.
Le programme : objectifs et structure du Cyberdome
Le Cyberdome Allemagne, issu d'une décision du Conseil des ministres d'août 2025, vise à mettre en place une structure de défense centralisée et hautement automatisée. Ce programme repose sur trois piliers :
- Réseau de détection : Le développement des systèmes de détection au sein des réseaux publics et chez les exploitants d'infrastructures critiques (KRITIS) vise à fournir une image précise et actualisée de la situation en matière de menaces en Allemagne.
- Réseau d'analyse : Dans ce composant central, les données collectées sont regroupées, analysées et enrichies d'informations sur les menaces afin d'identifier les schémas d'attaque.
- Écosystème ouvert : Un échange automatisé de mesures de protection et d'informations entre les autorités publiques, le secteur privé et les prestataires de services informatiques doit permettre une réaction rapide et coordonnée face aux incidents de sécurité.
Cette structure a pour objectif de renforcer systématiquement la résilience numérique de l'Allemagne.
Lien avec la directive NIS2 et le cadre juridique
Cette initiative est étroitement liée à la Directive NIS2 (directive (UE) 2022/2555) y est liée. Celle-ci oblige les entreprises de 18 secteurs à mettre en œuvre des mesures complètes de gestion des risques et à signaler les incidents de sécurité. L'Allemagne n'a dans un premier temps pas respecté le délai de transposition fixé par l'UE (17 octobre 2024), ce qui a conduit la Commission européenne à engager une procédure d'infraction et à transmettre un avis motivé le 7 mai 2025. La loi de transposition de la directive NIS 2 (NIS-2UmsuCG) est entrée en vigueur le 6 décembre 2025 est entrée en vigueur et a profondément modifié la loi sur le BSI.
Ainsi, les obligations prévues par la directive s'appliquent directement et sans période transitoire aux entreprises concernées en Allemagne depuis le 6 décembre 2025. Cela concerne les moyennes et grandes entreprises (à partir de 50 salariés ou d'un chiffre d'affaires annuel de 10 millions d'euros) dans 18 secteurs critiques et importants. Certaines entités, telles que les fournisseurs de DNS, les registres de TLD ou les opérateurs KRITIS, relèvent de cette réglementation quelle que soit leur taille. Article 21 de la directive NIS 2 prévoit notamment des mesures visant à garantir la sécurité de la chaîne d'approvisionnement ainsi que des contrôles de sécurité réguliers. En cas d'infraction, les infrastructures essentielles s'exposent à des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, pour les établissements importants, jusqu'à 7 millions d'euros, soit 1,4 % du chiffre d'affaires annuel mondial.
Pour les entreprises de la région DACH, l’entrée en vigueur de la loi NIS-2UmsuCG implique des obligations concrètes et immédiates : les entités concernées devaient s’enregistrer auprès du BSI avant le 6 mars 2026 (article 33 de la loi BSIG). Les incidents de sécurité doivent être signalés sans délai au BSI, en tant qu’autorité de contrôle compétente ; en cas de fuites de données à caractère personnel, l’obligation de notification dans les 72 heures prévue à l’article 33 du RGPD s’applique également. Les exploitants d’infrastructures critiques (KRITIS) sont en outre soumis aux exigences renforcées de la loi BSIG révisée.
Calendrier et prochaines étapes
La mise en œuvre du Cyberdome se fait par étapes. En mars 2026, le BSI a lancé une coopération avec la société govdigital eG et des prestataires informatiques de dix Länder afin de développer le réseau de capteurs au niveau des Länder et des communes. Un plan de mise en œuvre détaillé pour l'ensemble du programme devrait être disponible d'ici fin 2026 et devra faire l'objet d'une décision du Conseil des ministres.
Parallèlement, le BMI travaille à la mise à jour de la stratégie nationale de cybersécurité, dont la publication est prévue au cours du second semestre 2026. Conformément à la décision du Conseil des ministres d’août 2025, il était également prévu d’établir la base juridique pour des mesures de défense actives — telles que des interventions dans des infrastructures ennemies à l’étranger — dans un Loi sur le renforcement de la cyberdéfense ; l'état d'avancement parlementaire actuel de ce projet reste incertain.
Comment LocateRisk facilite la mise en conformité avec la directive NIS2
Les exigences réglementaires de la loi NIS-2UmsuCG imposent aux entreprises d'adopter une approche vérifiable et systématique en matière de gestion de la cybersécurité. Un inventaire exhaustif des points de vulnérabilité externes et une évaluation continue des risques au sein de la chaîne d'approvisionnement constituent des éléments essentiels de la mise en conformité.
LocateRisk aide les entreprises à respecter les exigences découlant de Article 21 de la directive NIS2 à remplir :
- Gestion de la surface d'attaque externe (EASM) : La plateforme fournit un inventaire continu et automatisé de tous les actifs informatiques accessibles depuis l'extérieur, y compris les sous-domaines oubliés, les ressources cloud non répertoriées et les interfaces exposées. Cette transparence totale constitue la base de toute gestion des risques et de l’obligation de justification vis-à-vis des auditeurs et du BSI en tant qu’autorité de contrôle.
- Gestion des risques liés aux fournisseurs (VRM) : Cette solution répond aux exigences en matière de sécurité de la chaîne d'approvisionnement grâce à une surveillance continue des prestataires tiers. Elle permet ainsi d'identifier et d'évaluer à un stade précoce les risques liés aux prestataires et aux partenaires, avant qu'ils ne débouchent sur un incident soumis à déclaration.
En tant que prestataire assurant le développement et l'hébergement dans des centres de données allemands certifiés, LocateRisk répond aux exigences en matière de protection des données et de souveraineté numérique. Selon ses propres informations, la plateforme est conforme aux exigences du RGPD et de la norme « IT-Grundschutz » du BSI, et certifiée ISO 27001 ; l'hébergement dans des centres de données allemands réduit en outre le risque d'accès par des autorités non européennes dans le cadre du Cloud Act américain.
Sources et informations complémentaires
Connaissez-vous votre surface d'attaque externe ?
Les nouvelles exigences réglementaires rendent indispensable une visibilité totale sur vos systèmes informatiques externes et ceux de vos prestataires. Savez-vous lesquels de vos systèmes sont accessibles depuis Internet et quels risques cela comporte ?
Demander un contrôle de sécurité gratuit
—
Remarque à titre personnel : Cet article reflète la situation juridique au moment de sa publication. Le droit des technologies de l'information et les exigences en matière de conformité étant extrêmement complexes, ce texte ne constitue qu'un premier guide et ne saurait être considéré comme un avis juridique contraignant. En cas de doute, nous vous recommandons de solliciter un avis juridique pour la mise en œuvre au sein de votre entreprise. Toute responsabilité quant au contenu est exclue.
Questions fréquentes
La loi allemande relative à la transposition de la directive NIS 2 et au renforcement de la cybersécurité (NIS-2UmsuCG) est entrée en vigueur le 6 décembre 2025. Le délai de transposition fixé par l'UE avait déjà expiré le 17 octobre 2024 ; l'Allemagne ne l'avait pas respecté dans un premier temps, ce qui avait déclenché une procédure d'infraction engagée par la Commission européenne.
Sont concernées les moyennes et grandes entreprises (à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires) dans 18 secteurs, dont l'énergie, les transports, la santé, les infrastructures numériques et l'administration publique. Certaines entités, telles que les fournisseurs de DNS, les registres de TLD ou les opérateurs d’infrastructures critiques (KRITIS), relèvent de cette réglementation quelle que soit leur taille. Les entités essentielles sont soumises à une surveillance proactive, assortie d’amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial ; les entités importantes sont quant à elles soumises à une surveillance réactive, assortie d’amendes pouvant atteindre 7 millions d’euros ou 1,4 %.
À l'heure actuelle, le Cyberdome est conçu comme un réseau de détection et d'analyse. Conformément à la décision du Conseil des ministres d’août 2025, il était prévu de créer à l’avenir, par le biais d’une loi sur le renforcement de la cyberdéfense, la base juridique nécessaire à la mise en place de mesures de défense actives ; l’état d’avancement de ce projet au Parlement reste incertain. De telles interventions seraient strictement réglementées et limitées à la défense contre des menaces graves.
Français 
Deutsch 
English