Nouvelles exigences de maturité pour les infrastructures critiques allemandes : Le BSI renforce son cadre d'évaluation

L'Office fédéral allemand de la sécurité des systèmes d'information (BSI) vient de publier un document majeur intitulé "Évaluation de la maturité et du niveau de mise en œuvre dans le cadre des audits de conformité" (RUN), établissant de nouveaux critères d'évaluation pour les infrastructures critiques. Cette nouvelle méthodologie, qui entrera en vigueur le 1er avril 2025, vise à standardiser les processus d'audit et à accroître la transparence dans l'évaluation des systèmes de sécurité des infrastructures critiques allemandes. Le cadre actuel, qui évalue déjà la maturité des systèmes de gestion de la sécurité de l'information (SMSI) et de la continuité d'activité (BCMS), ainsi que le niveau de mise en œuvre des systèmes de détection des attaques, sera significativement élargi.

Les nouvelles directives introduisent quatre domaines d'évaluation supplémentaires : les mesures organisationnelles (OrgM), les mesures liées au personnel (PerM), les mesures physiques (PhyM) et les mesures techniques (TecM), chacun devant faire l'objet d'une évaluation spécifique de son niveau de mise en œuvre. Le BSI a défini des mesures concrètes pour chaque domaine tout en maintenant une flexibilité permettant des adaptations sectorielles ou individuelles, reconnaissant ainsi la diversité des infrastructures critiques. Cette initiative s'inscrit dans une démarche plus large visant à fournir aux opérateurs et aux organismes d'audit une base d'évaluation uniforme et à identifier précisément les domaines nécessitant des améliorations.

L'importance de cette évolution réglementaire réside dans sa capacité à harmoniser les pratiques d'audit tout en renforçant la résilience globale des infrastructures critiques allemandes face aux cybermenaces croissantes. Cette approche structurée et méthodique de l'évaluation de la maturité cybersécurité pourrait servir de modèle pour d'autres pays européens cherchant à renforcer leurs cadres réglementaires en matière de protection des infrastructures critiques.

Source : BSI