SaaSFort
NIS2 BSI §29 BSIG audit inspection Allemagne conformité enforcement

Lettre d'audit BSI reçue ? Votre plan d'action pour les 72 premières heures

Le BSI vient d'envoyer un avis d'inspection §29 BSIG. Voici quoi faire dans les 72 premières heures — ce qu'envoyer, ce que refuser, et ce que les auditeurs cherchent vraiment.

ST
SaaSFort Team
· 9 Min. Lesezeit

Une lettre BSI arrive par courrier recommandé un mardi matin. L’en-tête fait référence au §29 BSIG. La date limite pour la première réponse est de 14 jours ouvrés. La plupart des conseils d’administration n’en ont jamais vu une — et les 72 premières heures déterminent comment se déroulera le reste de l’inspection.

Deux mois après la date limite d’inscription du 6 mars, le BSI n’avertit plus. Il inspecte. Si l’enveloppe sur votre bureau fait référence à Auskunftsersuchen ou Prüfung nach §29 BSIG, voici le plan d’action pour les trois premiers jours. L’édition en allemand avec la terminologie juridique native : BSI-Prüfungsanordnung erhalten? Ihr Reaktionsplan für die ersten 72 Stunden.

Cet article part du principe que vous avez reçu la lettre aujourd’hui. Ignorez ce qui ne s’applique pas.

Heure 0 à 24 : faites ces cinq choses, dans l’ordre

Les 24 premières heures consistent à contrôler la réponse — pas à y répondre. Une réplique prématurée vous engage dans des positions que vous ne pourrez peut-être pas défendre par la suite.

  1. Photographiez l’enveloppe et la lettre, puis conservez les originaux. Le cachet de la poste sur l’enveloppe établit l’horloge de réponse. Le reçu signé du courrier recommandé est votre preuve de la date de début. Conservez les deux — les auditeurs et les avocats vous les demanderont.
  2. Verrouillez les communications internes sur la lettre. Pas de transfert, pas de canaux Slack nommés #audit-bsi. Limitez à une liste de distribution nommée : CEO/Geschäftsführer, CTO/RSSI, Conseil général ou conseil NIS2 externe, contact NIS2 désigné. Tout le monde d’autre est briefé verbalement sur une base du besoin d’en connaître.
  3. Engagez un conseil externe dès le premier jour. Les inspections §29 BSIG sont des procédures de droit administratif avec des droits d’appel, des motifs de refus, et des délais qui interagissent avec les pouvoirs d’enforcement §32 BSIG. Les équipes juridiques internes sans expérience en réglementation allemande de cybersécurité ne suffisent pas. Budget : 5 000 à 15 000 € pour la phase de première réponse.
  4. Identifiez le décideur §38 BSIG. C’est le dirigeant ou le membre du conseil d’administration qui porte la responsabilité personnelle pour la réponse. Il doit être briefé aujourd’hui, pas la semaine prochaine. L’obligation d’approuver et de superviser les mesures de cybersécurité est non délégable — la stratégie de réponse lui appartient. Consultez notre guide de responsabilité personnelle §38 BSIG pour ce que cela signifie concrètement.
  5. N’appelez pas encore le contact BSI indiqué. Les appels sans stratégie documentée créent des expositions non enregistrées. Un bref accusé de réception écrit, envoyé le jour 2 ou 3, est le premier contact correct.

Ce qu’il ne faut pas faire dans les 24 premières heures : ne commencez pas à préparer la réponse substantielle, n’initiez pas de remédiation panique, n’envoyez aucun document au BSI. Vous organisez la réponse, vous ne la livrez pas.

Heure 24 à 48 : décodez ce que le BSI demande réellement

Les lettres d’inspection §29 BSIG tombent dans trois catégories, chacune avec des enjeux et des stratégies de réponse différents. L’en-tête et les autorités citées vous indiquent laquelle vous avez.

Type de lettreAutorité citéeCe que le BSI veutRisque typique
Enforcement d’inscription§33 BSIG (obligation d’inscription)Confirmation du statut dans le périmètre + inscription rétroactiveJusqu’à 500 000 €
Demande de preuves Article 21§29 BSIG + §30 BSIG (mesures de gestion des risques)Preuves documentées des 10 mesuresJusqu’à 10 M€ / 2 % du CA
Inspection liée à un incident§29 BSIG + §32 BSIG (enforcement)Investigation d’un incident notifié ou suspectéIdem + interdiction de gestion Art. 32(6)

La catégorie détermine tout le reste. Une lettre d’enforcement d’inscription se clôture généralement dans les 30 jours si vous vous inscrivez et soumettez la confirmation demandée. Une demande de preuves Article 21 est un processus de 60 à 120 jours. Une inspection liée à un incident peut durer six mois et déclenche les options d’enforcement les plus agressives.

Lisez attentivement le libellé du délai

Les lettres administratives allemandes distinguent Frist (délai contraignant) et Bitte um Rückäußerung bis (réponse souhaitée pour le). Le premier est exécutoire. Le second est négociable par écrit. Les confondre est l’erreur la plus courante dans la première réponse.

Si le délai semble déraisonnable, votre conseil peut demander une Fristverlängerung — typiquement accordée une fois pour jusqu’à 14 jours si la demande est déposée avant l’expiration du délai original. Accordée deux fois, c’est rare. Demander après l’expiration du délai n’est plus une prolongation ; c’est un défaut.

Heure 48 à 72 : constituez maintenant l’inventaire des preuves

Ce que les auditeurs demandent dans les inspections §29 BSIG n’est pas surprenant. C’est la même base de preuves dans presque chaque audit NIS2. L’avantage de commencer à l’heure 48 est que vous avez le temps d’inventorier ce qui existe avant que le BSI lise votre version livrée.

Les sept domaines de preuves que le BSI demande systématiquement :

  1. Confirmation d’inscription (capture d’écran du portail BSI, identifiant d’inscription, contact désigné)
  2. Analyse de risque en vertu de l’Article 21(2)(a) — méthodologie, périmètre, date de dernière mise à jour
  3. Procédures de gestion des incidents en vertu de l’Article 21(2)(b) — incluant le workflow de notification 24h/72h/1 mois. Si vous ne les avez pas documentées, notre modèle de notification d’incident de 24 heures gratuit est le point de départ le plus rapide.
  4. Continuité d’activité et sauvegarde en vertu de l’Article 21(2)(c) — RTO, RPO, date du dernier test
  5. Sécurité de la chaîne d’approvisionnement en vertu de l’Article 21(2)(d) — inventaire des fournisseurs, évaluations des risques des fournisseurs critiques
  6. Gestion des vulnérabilités et posture externe en vertu de l’Article 21(2)(e/f) — résultats de scan, SLA de correctifs, politique de divulgation
  7. Cryptographie, MFA et contrôle d’accès en vertu de l’Article 21(2)(h/i/j) — configuration TLS, couverture MFA, revues des accès privilégiés

La façon la plus rapide d’évaluer où vous en êtes réellement sur les points 6 et 7 est un scan externe. Les deux sont vérifiables de l’extérieur : TLS, en-têtes, DMARC, panneaux d’administration exposés, CVE JavaScript. Les auditeurs tireront eux-mêmes ces données — les connaître avant eux façonne votre stratégie de réponse.

Lancez un scan SaaSFort gratuit — 66 vérifications déterministes dans 25 catégories, sans inscription. La sortie se mappe directement aux mesures Article 21(2) et s’exporte en PDF NIS2 téléchargeable.

Pour un guide structuré des sept domaines de preuves, consultez notre guide des preuves de préparation à l’audit NIS2. Pour un format d’inventaire à remplir, le modèle Excel d’auto-audit NIS2 Article 21 couvre les 10 mesures avec les colonnes statut, priorité, responsable et échéance.

Ce que le BSI ne peut pas contraindre

Le §29 BSIG accorde au BSI de larges droits d’inspection. Il n’accorde pas d’accès illimité. Trois limites sont importantes :

  • Le secret professionnel sur les conseils juridiques obtenus pour l’inspection elle-même est préservé. Les mémos juridiques internes analysant la lettre sont protégés.
  • L’exfiltration de données opérationnelles au-delà de ce qui est nécessaire pour vérifier la conformité Article 21 est contestable. Le BSI peut demander des preuves de mesures, pas des données clients en masse.
  • L’auto-incrimination sur des incidents non encore notifiés en vertu de l’Article 23 a des limites. Si l’inspection fait apparaître un incident significatif non signalé, l’entreprise bénéficie d’une fenêtre de 24 heures à partir du moment de la prise de conscience — typiquement comptée à partir du moment où le BSI le soulève, avec un argument de conseil.

Les motifs de refus doivent être invoqués par écrit, avec citation. “Nous ne partagerons pas cela” sans base juridique transforme une inspection de routine en procédure d’enforcement sous §32 BSIG. Utilisez le refus avec parcimonie et avec l’accord du conseil.

Que envoyer dans la première réponse écrite

Du jour 3 au jour 7, la première réponse écrite quitte votre bureau. Le contenu dépend du type de lettre, mais la structure doit correspondre aux attentes bureaucratiques du BSI :

  • Accusé de réception avec date et numéro de référence
  • Confirmation du contact désigné (nom, rôle, contact direct)
  • Statut de l’obligation d’inscription (déjà inscrit → citez l’identifiant d’inscription ; pas encore inscrit → citez la date de remédiation et la confirmation du portail BSI)
  • Déclaration sur la préparation Article 21 — généralement formulée comme “implémentation en cours en vertu du §30 BSIG avec achèvement prévu le [date]” plutôt que des affirmations absolues
  • Demande de clarifications procédurales si la lettre est ambiguë — les questions écrites forcent le BSI à s’engager sur le périmètre par écrit

La seule chose à ne pas faire : ne jamais affirmer une pleine conformité Article 21 à moins que la base de preuves ne soit déjà prête pour l’audit, avec des documents sourcés, des signatures datées et une validation externe. Les fausses déclarations dans la correspondance §29 BSIG constituent une infraction séparée en vertu du §32 BSIG.

Que faire cette semaine

Regroupant les fils, les sept actions concrètes pour la première semaine :

  1. Verrouillez le groupe de réponse et engagez un conseil externe (Jour 1).
  2. Catégorisez le type de lettre et ses autorités citées (Jour 2).
  3. Inventoriez les preuves Article 21 existantes — ce que vous avez, ce qui manque (Jours 2–3).
  4. Lancez un scan externe pour établir les mesures vérifiables de l’extérieur (scan gratuit, Jour 3).
  5. Rédigez la première réponse écrite avec révision du conseil (Jours 4–5).
  6. Confirmez le statut d’inscription (si non inscrit, inscrivez-vous la même semaine — voir notre guide d’enforcement d’inscription).
  7. Informez la direction en vertu du §38 BSIG avec procès-verbal de réunion documenté (Jours 5–7).

Si la lettre cite des autorités liées aux incidents (§32 BSIG, Article 32 NIS2), le calendrier se compresse. Notre guide de configuration du rapport d’incident NIS2 couvre le workflow de notification complet 24h/72h/1 mois que les auditeurs utiliseront comme référence. Le bundle gratuit de préparation aux incidents — modèles 24h/72h/1 mois (DE+EN), feuille de travail horloge de sensibilisation, journal de communications internes, carte de champs BSI Meldeportal, exercice tabletop — est le moyen le plus rapide de mettre sur papier un workflow défendable avant que l’inspection s’accélère.

FAQ

Puis-je simplement m’inscrire maintenant et la lettre disparaît-elle ?

Parfois. Les lettres d’enforcement d’inscription se clôturent souvent une fois que vous avez terminé l’inscription et soumis la confirmation. Les demandes de preuves Article 21, non — elles sont indépendantes du statut d’inscription et se poursuivent indépendamment.

Combien coûte typiquement une inspection §29 BSIG à l’entreprise ?

Le conseil externe pour une inspection Article 21 de routine coûte 15 000 à 60 000 € sur 60 à 120 jours. Ajoutez 10 000 à 40 000 € pour le scan externe, la consolidation des preuves et les travaux de remédiation éventuels. Les inspections liées aux incidents sont typiquement 2 à 3× plus élevées.

Le CEO doit-il répondre directement au BSI ?

Non. Le contact NIS2 désigné répond. Le CEO/Geschäftsführer est la partie responsable en vertu du §38 BSIG mais pas le répondant opérationnel. La correspondance directe du CEO avec le BSI sans conseil est un déclencheur fréquent d’escalade.

Recevoir une lettre §29 BSIG signifie-t-il que des amendes arrivent ?

Pas automatiquement. Le §29 BSIG est une autorité d’inspection, pas un avis d’amende. Les amendes en vertu du §32 BSIG ne surviennent que si l’inspection identifie une non-conformité aux mesures ou à l’inscription. Une inspection sans tache se clôture sans amende.

Quelle est la différence entre une Prüfung et un Auskunftsersuchen ?

Auskunftsersuchen est une demande d’information — typiquement la catégorie d’enforcement d’inscription. Prüfung est une inspection complète — typiquement les preuves Article 21 ou liées aux incidents. Le mot d’en-tête change le périmètre et la stratégie de réponse. Vérifiez lequel vous avez dès le premier jour.

La base la plus rapide que vous puissiez donner à votre conseil et à votre conseil d’administration dès le premier jour est un scan externe. Lancez un scan SaaSFort gratuit — 66 vérifications sur SSL, DNS, en-têtes, OWASP et authentification email, mappées aux mesures Article 21(2). Export NIS2 PDF inclus. Les nouveaux comptes bénéficient automatiquement d’un essai Growth de 14 jours. Pour la préparation interne, le modèle d’auto-audit NIS2 Article 21 parcourt les 10 mesures dans un seul tableur. Téléchargez notre SaaS Security Playbook 2026 gratuit pour le cadre complet.

Artikel teilen
LinkedIn Post

Von der Theorie zur Praxis

Scannen Sie Ihre Domain kostenlos. Erste Ergebnisse in unter 10 Sekunden — ohne Registrierung.

Kostenlosen Scan starten

Weiterlesen

NIS2BSI

BSI Audit Letter Received? Your First 72-Hour Response Plan

BSI just sent a §29 BSIG inspection notice. Here's what to do in the first 72 hours — what to send, what to refuse, and what auditors actually look for.

Artikel lesen
NIS2BSI

Délai BSI NIS2 dépassé — Le contrôle est maintenant actif

17 500 entreprises allemandes ont manqué la date limite BSI du 6 mars 2026. 7 semaines plus tard, le BSI peut infliger des amendes jusqu'à 500 000 € sans incident requis.

Artikel lesen
NIS2audit

Réussir un audit NIS2 en 30 jours : checklist étape par étape

Checklist NIS2 semaine par semaine sur 30 jours pour les entreprises sans équipe sécurité. Ce que les auditeurs vérifient exactement et comment produire les preuves.

Artikel lesen
Zurück zu allen Artikeln