Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Réglementation nationale En vigueur

IT-SiG Réglementation

La loi allemande sur la sécurité informatique et les standards BSI imposent des contrôles cryptographiques robustes aux opérateurs KRITIS, la directive BSI TR-03145 encadrant les opérations d'AC et la gestion des certificats.

En bref

Statut
En vigueur
Type
Réglementation nationale
Portée
Opérateurs KRITIS

Vue d'ensemble

La loi allemande sur la sécurité informatique (IT-Sicherheitsgesetz 2.0), promulguée en 2021, et les standards BSI établissent des exigences globales de cybersécurité pour les opérateurs d'infrastructures critiques (KRITIS). Le BSI (Bundesamt für Sicherheit in der Informationstechnik) est l'autorité fédérale allemande de cybersécurité, qui publie des directives techniques contraignantes et supervise la conformité KRITIS.

Les principales directives techniques du BSI directement liées à la PKI sont la TR-03145 pour les opérations d'AC et la TR-03116 pour les algorithmes cryptographiques approuvés. Les opérateurs KRITIS dans les secteurs de l'énergie, de l'eau, de l'alimentation, des IT/télécoms, de la santé, de la finance et des transports doivent mettre en œuvre des mesures de sécurité à l'état de l'art, incluant des contrôles fondés sur la PKI pour l'authentification, l'intégrité et la confidentialité.

Depuis mai 2023, tous les opérateurs KRITIS doivent également déployer des systèmes obligatoires de détection d'attaques. L'Allemagne transpose actuellement la directive européenne NIS2 via le NIS2UmsuCG, qui élargira encore le périmètre des entités régulées et renforcera les obligations de sécurité.

Exigences clés

Obligations de sécurité KRITIS (§8a BSIG)

Les opérateurs d'infrastructures critiques doivent mettre en œuvre des mesures organisationnelles et techniques appropriées pour garantir la disponibilité, l'intégrité, l'authenticité et la confidentialité de leurs systèmes informatiques.

BSI TR-03145 (opérations d'AC)

La directive technique BSI TR-03145 définit les exigences relatives aux opérations sécurisées d'AC en Allemagne, couvrant la génération de clés, l'émission de certificats, les procédures de révocation et la journalisation d'audit.

BSI TR-03116 (algorithmes cryptographiques)

La directive technique BSI TR-03116 spécifie les algorithmes cryptographiques approuvés, les longueurs de clé et les protocoles à utiliser dans les systèmes informatiques fédéraux allemands et les infrastructures critiques.

Systèmes de détection d'attaques (SzA)

Les opérateurs KRITIS doivent déployer des systèmes de détection d'attaques (Systeme zur Angriffserkennung) capables de surveiller en continu le trafic réseau et d'identifier les menaces en temps réel.

Signalement d'incidents au BSI

Les opérateurs KRITIS doivent signaler sans délai indu les incidents de sécurité informatique significatifs au BSI, incluant des informations techniques détaillées et des évaluations d'impact pour une réponse coordonnée.

Standards de sécurité sectoriels (B3S)

Les associations professionnelles peuvent élaborer des standards de sécurité spécifiques à un secteur (branchenspezifische Sicherheitsstandards) approuvés par le BSI comme référence pour démontrer la conformité au §8a BSIG.

Jalons clés

15
2015

Promulgation de l'IT-SiG 1.0

La première loi allemande sur la sécurité informatique établit les obligations de cybersécurité pour les opérateurs d'infrastructures critiques et renforce le rôle réglementaire du BSI.

17
2017

Entrée en vigueur des obligations KRITIS

Les opérateurs d'infrastructures critiques doivent mettre en œuvre des mesures de sécurité à l'état de l'art et signaler les incidents significatifs au BSI.

21
2021

Promulgation de l'IT-SiG 2.0

Mise à jour majeure étendant le périmètre à la gestion des déchets et à l'industrie de l'armement, introduisant les systèmes obligatoires de détection d'attaques et renforçant les pouvoirs d'application du BSI.

23
2023 Actuel

Détection d'attaques obligatoire

Tous les opérateurs KRITIS doivent avoir mis en œuvre des systèmes de détection d'attaques (SzA) au 1er mai 2023, conformément à l'IT-SiG 2.0.

25
2025 Application

Transposition de NIS2 via le NIS2UmsuCG

L'Allemagne transpose la directive NIS2 par la loi de transposition NIS2, élargissant encore les obligations pour les entités essentielles et importantes.

Impact sur la PKI et les certificats

Les standards BSI et la loi sur la sécurité informatique ont des implications directes et étendues pour les opérations PKI et la gestion des certificats en Allemagne. Voici les domaines critiques :
1

BSI TR-03145 pour les opérations d'AC

La BSI TR-03145 encadre directement les opérations d'autorité de certification en Allemagne, définissant les exigences relatives à la génération de clés, au cycle de vie des certificats, à la gestion des révocations et à la journalisation d'audit.

2

Algorithmes cryptographiques obligatoires selon la TR-03116

La BSI TR-03116 spécifie les algorithmes cryptographiques approuvés et les longueurs de clé qui affectent directement les standards de certificats, nécessitant des mises à jour régulières des configurations PKI à mesure que les recommandations évoluent.

3

Authentification de la détection d'attaques

L'authentification par certificat est essentielle pour les systèmes de détection d'attaques KRITIS, garantissant l'intégrité et l'authenticité des données de surveillance de sécurité à travers les réseaux d'infrastructures critiques.

4

Obligations de gestion des clés KRITIS

Les opérateurs d'infrastructures critiques doivent mettre en œuvre des pratiques robustes de gestion des clés, incluant le stockage sécurisé, les politiques de rotation et la gestion du cycle de vie des certificats alignées sur les lignes directrices du BSI.

Comment nous aidons

Evertrust & IT-SiG

AC alignée sur la BSI TR-03145 avec StreamStream s'aligne sur les exigences opérationnelles d'AC de la BSI TR-03145, fournissant une génération de clés, une émission de certificats et une gestion des révocations conformes, avec des pistes d'audit complètes.

Application des algorithmes approuvés par le BSI avec HorizonHorizon applique les algorithmes approuvés et les standards de certificats de la BSI TR-03116, signalant automatiquement les certificats non conformes à travers votre infrastructure.

Conformité KRITIS automatiséeLa gestion automatisée des certificats permet aux opérateurs KRITIS de maintenir une conformité continue aux obligations de sécurité, réduisant la charge manuelle et les délais de réaction.

Intégration avec la détection d'attaquesIntégration fluide avec les systèmes de détection d'attaques certifiés par le BSI, fournissant une authentification par certificat pour l'infrastructure de surveillance de sécurité.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts