BSI IT-Grundschutz : Guide complet 2026 (Grundschutz++, certification, exigences)
BSI IT-Grundschutz 2026 : 111 modules, normes BSI 200-1 à 200-4, réforme Grundschutz++ depuis janvier 2026, processus de certification, lien NIS2 et coûts pour les autorités et entreprises allemandes.
BSI IT-Grundschutz : Guide complet 2026
Si vous dirigez une autorité fédérale allemande, exploitez une infrastructure critique (KRITIS) ou relevez de la nouvelle loi de transposition NIS2 en tant qu'entité importante ou essentielle, le BSI IT-Grundschutz n'est plus une simple recommandation de bonne pratique — c'est le cadre de référence auquel de nombreuses organisations allemandes seront comparées. Avec l'entrée en vigueur du NIS2UmsuCG le 6 décembre 2025, IT-Grundschutz a pris une importance juridique et opérationnelle accrue, en particulier dans le secteur public allemand.
Dans le même temps, le BSI réforme fondamentalement IT-Grundschutz. Grundschutz++ est introduit progressivement à partir de 2026, avec une période de transition pluriannuelle. Ce guide explique tout ce que les autorités, les entreprises et les responsables conformité doivent savoir en 2026 : structure du Compendium, quatre normes BSI, processus de certification, réforme Grundschutz++, coûts, lien NIS2 et étapes pratiques de mise en œuvre.
Qu'est-ce que le BSI IT-Grundschutz ?
Le BSI IT-Grundschutz est le référentiel de sécurité de l'information développé par l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) pour la construction et l'exploitation systématiques de la sécurité de l'information dans les autorités et les entreprises. Son objectif est de construire un système de management de la sécurité de l'information (SMSI) qui fournit des mesures de protection concrètes pour les systèmes IT, processus métier et infrastructures types.
Développé en continu depuis les années 1990, IT-Grundschutz est aujourd'hui :
- Le cadre de référence central pour les autorités fédérales allemandes dans le régime depuis décembre 2025
- Une méthodologie reconnue pour opérationnaliser les attentes NIS2 en matière de gestion des risques (§30 BSIG)
- La base d'une certification ISO 27001 sur la base du IT-Grundschutz (certificat combiné)
- Un outil éprouvé pour les PME allemandes (protection de base adaptée aux PME)
Le Compendium IT-Grundschutz édition 2023 comprend 111 modules répartis en dix couches thématiques et reste la base pertinente pour les certifications jusqu'à l'introduction complète de Grundschutz++.
Le Compendium IT-Grundschutz : 111 modules en 10 couches
Le Compendium structure les exigences de sécurité en modules (Bausteine) applicables à des types de systèmes, processus et composants d'infrastructure spécifiques. Les dix couches sont :
| Couche | Code | Contenu |
|---|---|---|
| Management de la sécurité | ISMS | Construction et exploitation du SMSI |
| Organisation et personnel | ORP | Structure organisationnelle, rôles, sensibilisation |
| Concepts et approches | CON | Sauvegarde des données, cryptographie, protection des données |
| Exploitation | OPS | Gestion des correctifs, journalisation, réponse aux incidents |
| Détection et réponse | DER | Surveillance, gestion des vulnérabilités, forensique |
| Réseaux et communications | NET | Architecture réseau, segmentation, WLAN |
| Infrastructure | INF | Centres de données, salles serveurs, espaces de bureau |
| Systèmes IT | SYS | Serveurs, clients, appareils mobiles, IoT |
| IT industrielle | IND | SCADA, OT/ICS, contrôles industriels |
| Applications | APP | Applications web, Office, messagerie, bases de données |
Chaque module contient :
- Paysage des menaces (menaces typiques pour ce type de composant)
- Exigences (BASE, STANDARD, BESOIN DE PROTECTION ÉLEVÉ)
- Conseils de mise en œuvre (instructions pratiques étape par étape)
- Références croisées vers ISO 27001, RGPD et autres normes
Les quatre normes BSI 200-1 à 200-4
Le référentiel repose sur quatre normes BSI interdépendantes :
| Norme | Titre | Contenu |
|---|---|---|
| Norme BSI 200-1 | Management de la sécurité de l'information | Construction et exploitation d'un SMSI conforme à ISO 27001 |
| Norme BSI 200-2 | Méthodologie IT-Grundschutz | Approche pour l'analyse des besoins de protection et la modélisation |
| Norme BSI 200-3 | Analyse des risques | Analyse des risques complémentaire pour les besoins de protection élevés |
| Norme BSI 200-4 | Gestion de la continuité d'activité | Processus BCM, planification d'urgence, gestion de crise |
Ces normes définissent comment IT-Grundschutz est mis en œuvre — le Compendium définit ce qui doit être mis en œuvre.
Trois approches : protection de base, standard et noyau
Le BSI IT-Grundschutz propose trois approches adaptées selon la taille de l'organisation et son profil de risque :
1. Protection de base (Basisabsicherung)
La protection de base s'adresse aux mesures de sécurité fondamentales avec un effort minimal. Adaptée pour :
- PME et startups avec des ressources limitées
- Organisations construisant leur premier cadre de sécurité structuré
- Point de départ avant la protection standard complète
Périmètre : Uniquement les exigences BASES de tous les modules pertinents. Aucune certification IT-Grundschutz complète possible, mais le BSI délivre une attestation (Testat).
2. Protection standard (Standardabsicherung)
La protection standard est la mise en œuvre complète du IT-Grundschutz et la base d'une certification ISO 27001 sur la base du IT-Grundschutz. Elle comprend :
- Exigences BASE et STANDARD de tous les modules pertinents
- Analyse complète des besoins de protection
- Modélisation du domaine d'information
Adaptée pour : Organisations de taille moyenne et grande, autorités fédérales, opérateurs KRITIS.
3. Protection noyau (Kernabsicherung)
La protection noyau se concentre sur les actifs les plus critiques — au niveau de sécurité le plus élevé. Adaptée pour :
- Domaines hautement sensibles (données classifiées, infrastructures critiques)
- Organisations avec des besoins de protection élevés selon la norme BSI 200-3
Grundschutz++ : La réforme depuis janvier 2026
Le BSI a fondamentalement réformé IT-Grundschutz. Sous le nom Grundschutz++, le Compendium PDF est remplacé par un référentiel entièrement lisible par machine, orienté processus.
Principaux changements
| Caractéristique | Compendium actuel | Grundschutz++ |
|---|---|---|
| Format | Documents PDF | JSON lisible par machine |
| Périmètre des exigences | ~1 000 exigences | Réduction significative (objectif BSI : jusqu'à 80 %) |
| Structure | Modules par composant IT | Orienté processus |
| Automatisation | Limitée | Entièrement automatisable |
| Mesurabilité | Manuelle | Scores CIA par exigence |
| Disponibilité | Documents statiques | Dépôt GitHub (depuis le 29 sept. 2025) |
Calendrier
- Septembre/octobre 2025 : Publication de l'aperçu Grundschutz++ sur GitHub (BSI-Bund/Stand-der-Technik-Bibliothek)
- 1er janvier 2026 : Lancement officiel de Grundschutz++
- Jusqu'en 2029 : Période de transition — utilisation parallèle des deux versions
- À partir de 2029 : Remplacement complet du Compendium actuel (prévu)
Certification IT-Grundschutz : Étape par étape
Une certification complète IT-Grundschutz (certificat ISO 27001 sur la base du IT-Grundschutz) comporte sept phases principales :
Étape 1 : Initiation et analyse structurelle
Définissez le domaine d'information (Informationsverbund) : quels processus métier, systèmes IT, locaux et connexions de communication sont dans le périmètre. Nommez le responsable de la sécurité de l'information (ISB).
Étape 2 : Analyse des besoins de protection
Évaluez les besoins de protection de chaque composant du domaine d'information en matière de confidentialité, d'intégrité et de disponibilité (triade CIA). Le résultat détermine quels modules et niveaux d'exigences s'appliquent.
Étape 3 : Modélisation du domaine d'information
Affectez les modules IT-Grundschutz pertinents à chaque objet cible. C'est la modélisation IT-Grundschutz — elle définit lesquels des 111 modules s'appliquent à votre organisation.
Étape 4 : Vérification IT-Grundschutz (analyse des écarts)
Pour chaque module appliqué, vérifiez si les exigences sont satisfaites. Les exigences non satisfaites sont documentées comme déficiences.
Étape 5 : Analyse des risques (pour les besoins de protection élevés)
Si certains objets cibles présentent des besoins de protection élevés, une analyse des risques complémentaire est effectuée selon la norme BSI 200-3.
Étape 6 : Mise en œuvre des mesures de sécurité
Remédiez à toutes les déficiences documentées. Priorisez selon le risque et les ressources disponibles. Documentez la mise en œuvre pour l'audit.
Étape 7 : Audit de certification par un auditeur agréé BSI
Un auditeur externe agréé par le BSI (organisme de certification) vérifie la mise en œuvre complète. Le certificat ISO 27001 sur la base du IT-Grundschutz est valable trois ans. Des audits de surveillance annuels sont requis.
BSI IT-Grundschutz et NIS2 : Connexion directe
Avec la loi de mise en œuvre NIS2 (NIS2UmsuCG), entrée en vigueur le 6 décembre 2025, le BSI IT-Grundschutz a acquis une nouvelle portée juridique :
Obligations pour les autorités fédérales
- Toutes les administrations fédérales doivent mettre en œuvre des mesures de gestion des risques basées sur IT-Grundschutz
- Introduction du CISO Bund comme fonction de direction transversale
- Conformité aux normes minimales BSI obligatoire
Enregistrement KRITIS
Les opérateurs KRITIS sont automatiquement qualifiés d'entités essentielles et devaient s'enregistrer auprès du BSI avant le 6 mars 2026.
Sanctions NIS2
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). La mise en œuvre du IT-Grundschutz est le moyen le plus sûr de satisfaire de manière démontrable aux exigences du §30 BSIG.
Obligations de signalement d'incidents
Le NIS2UmsuCG impose le signalement d'incidents : notification initiale dans les 24 heures, rapport complet dans les 72 heures. Le module IT-Grundschutz DER.2.1 (Gestion des incidents de sécurité) couvre directement ces exigences.
Coûts et calendrier : Estimations réalistes
| Approche | Taille organisation | Coûts typiques | Calendrier |
|---|---|---|---|
| Protection de base | Petite (< 50 employés) | 10 000–30 000 € | 3–6 mois |
| Protection standard | Moyenne (50–500 employés) | 50 000–150 000 € | 12–18 mois |
| Protection noyau (actifs critiques) | Grande (> 500 employés) | 100 000–300 000 € | 18–24 mois |
| ISO 27001 + IT-Grundschutz (en parallèle) | Moyenne | 60 000–200 000 € | 12–24 mois |
Économies avec ISO 27001 existant : Réduction de 20–40 % des coûts de préparation en exploitant la documentation SMSI, les politiques et les preuves existantes.
Comment Orbiq soutient la mise en œuvre IT-Grundschutz
Le IT-Grundschutz est exigeant en documentation — de l'analyse des besoins de protection et la modélisation jusqu'à la vérification IT-Grundschutz. Orbiq simplifie ce processus :
Surveillance continue. La surveillance continue collecte automatiquement les preuves techniques depuis vos systèmes — journaux d'accès, statut des correctifs, bases de configuration — éliminant la collecte manuelle de preuves pour la vérification IT-Grundschutz et les obligations NIS2.
Gestion des risques fournisseurs. L'automatisation des questionnaires par IA répond directement aux exigences IT-Grundschutz du module OPS.2.3 (Utilisation de l'externalisation) et de l'article 21 NIS2.
Trust Center pour les autorités et partenaires. La plateforme Trust Center permet de partager le statut IT-Grundschutz et les preuves de sécurité de manière structurée avec les donneurs d'ordre et les auditeurs.
Hébergement des données en UE. Orbiq traite toutes les données exclusivement dans l'infrastructure européenne — aucune exposition au CLOUD Act pour votre documentation conformité.
Lecture complémentaire
- Logiciel de conformité UE : Guide d'achat complet
- Certification ISO 27001 : Guide
- Qu'est-ce qu'un SMSI ?
- Guide de conformité NIS2
- Guide de conformité TISAX
- Guide de conformité DORA
Sources et références
- BSI — Compendium IT-Grundschutz — Compendium officiel édition 2023, 111 modules en 10 couches
- BSI — IT-Grundschutz — Page principale BSI avec toutes les normes et modèles méthodologiques
- IT-Grundschutz++ 2026 — ISMS-Ratgeber WiKi — Vue d'ensemble Grundschutz++ : format JSON, réduction 80 %, période de transition jusqu'en 2029
- Grundschutz++ : L'avenir du BSI IT-Grundschutz — HiScout — Analyse de la réforme Grundschutz++, potentiels d'automatisation
- BSI réforme IT-Grundschutz — IT-Zoom — Contexte de la réforme, objectifs et défis
- Loi NIS2 en vigueur — Communiqué de presse BSI — NIS2UmsuCG en vigueur depuis le 6 décembre 2025
- Enregistrement NIS2 avant le 6 mars 2026 — Digitalagentur Berlin — Obligation d'enregistrement KRITIS et activation du portail BSI
- Application NIS2 2026 — ADVISORI — Cadre des sanctions BSI : 10 M€ ou 2 % du chiffre d'affaires annuel
- NIS2 et KRITIS — Kleeberg — NIS2 et KRITIS pour le Mittelstand allemand
- Vue d'ensemble BSI IT-Grundschutz 2025 — tenfold — Vue pratique : structure des modules, étapes de certification