NIS2 QUELLES PMESONT CONCERNÉES ?

Aperçu

NIS2 EN POINT DE MIRE : 18 SECTEURS, CRITÈRES CLAIRS ET OBLIGATIONS CACHÉES 

18 secteurs critiques, des exigences renforcées en matière de cybersécurité et des sanctions sévères : la nouvelle directive européenne NIS2 ne concerne pas uniquement les entreprises de l'Union européenne. Les PME suisses peuvent également entrer directement ou indirectement dans son champ d'application, souvent sans le savoir. Il est grand temps de vérifier si vous êtes concerné.

Avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, l'UE envoie un message clair avec la directive NIS2 : la cybersécurité n'est plus un simple atout. Depuis octobre 2024, le nouveau cadre réglementaire s'applique dans tous les États membres de l'UE, avec des conséquences importantes pour les entreprises suisses. Ce qui est particulièrement sensible, c'est que les grandes entreprises et les infrastructures critiques ne sont pas les seules concernées. La directive vise spécifiquement les entreprises moyennes de plus de 50 employés. Même les fournisseurs qui travaillent avec des entreprises de l'UE ne peuvent guère échapper aux nouvelles exigences. Pour de nombreuses PME suisses, la question n'est donc pas de savoir si elles doivent mettre en œuvre les exigences de la NIS2, mais comment elles doivent le faire.

NIS2 : première directive sur la cybersécurité avec responsabilité des dirigeants

Outre les sanctions infligées aux entreprises, telles qu'elles sont connues depuis le RGPD (2015), les dirigeants sont désormais également responsables à titre personnel en cas de faute avérée. Ils sont tenus d'approuver les mesures de gestion des risques, de superviser leur mise en œuvre et de signaler les incidents de sécurité aux autorités ainsi qu'aux partenaires, fournisseurs et clients concernés.

Pour remplir ces obligations, les dirigeants doivent suivre régulièrement des formations afin d'être en mesure d'évaluer les cyberrisques et les mesures à prendre. En cas de manquement à cette obligation de diligence, ils s'exposent à des sanctions personnelles dont le montant et la nature sont fixés par les États membres, mais qui doivent être « efficaces, proportionnées et dissuasives ». Dans les cas extrêmes, la direction peut même être déchargée de ses fonctions jusqu'à ce que les lacunes constatées soient comblées.

Champ d'application direct : aperçu des critères essentiels

L'impact de la directive NIS2 sur les entreprises suisses peut être clairement délimité : toute entreprise qui exploite une succursale dans l'UE ou y propose des services informatiques est directement soumise à la directive. Cela s'applique aux entreprises qui réalisent un chiffre d'affaires annuel supérieur à 10 millions d'euros dans l'UE en 2024 ou qui y emploient plus de 50 personnes. Les conséquences sont considérables : les entreprises concernées doivent mettre en place une gestion systématique des risques, effectuer régulièrement des audits de sécurité et signaler les incidents de sécurité dans les 24 heures. Les prestataires de services informatiques, les fournisseurs de services cloud et les entreprises des 18 secteurs critiques sont particulièrement concernés.

Focus sur la chaîne d'approvisionnement : identifier les obligations indirectes de la NIS2

La sphère d'influence de la NIS2 va bien au-delà des entreprises directement réglementées. En tant que fournisseurs d'entreprises de l'UE, les PME suisses sont de plus en plus confrontées aux exigences de la NIS2, même sans obligation formelle. Les grands groupes européens doivent garantir la cybersécurité de l'ensemble de leur chaîne d'approvisionnement. Concrètement, cela signifie que les fournisseurs suisses, par exemple dans l'industrie automobile ou la construction mécanique, doivent se conformer aux normes de sécurité renforcées. De la documentation complète aux tests de pénétration réguliers, ces preuves sont déjà exigées de manière standard dans les appels d'offres européens.

Contrôle NIS2 : analysez vos relations commerciales avec l'UE 

L'examen systématique de vos propres activités au sein de l'UE est la première étape importante pour déterminer si vous êtes concerné par la directive NIS2. Pour cela, il convient d'examiner de près différents aspects de votre activité.

  • Disposez-vous d'une succursale dans l'UE ?
  • Vendez-vous directement dans l'UE ?
  • Votre chiffre d'affaires annuel dans l'UE est-il supérieur à 10 millions d'euros ?
  • Disposez-vous de plus de 50 employés dans l'UE ?
  • Fournisseur de secteurs critiques de l'UE ?
  • Membre d'une chaîne d'approvisionnement de l'UE ?
  • Participation à des appels d'offres de l'UE ?
  • Services cloud pour des clients de l'UE ?

→ Si vous avez répondu «oui» à l'une de ces questions, vous devez faire vérifier en détail vos obligations au titre de la directive NIS2.

ISG suisse et NIS2 : exploiter les synergies 

Pour les PME suisses, la loi nationale sur la sécurité de l'information (LSI) offre une bonne base de départ pour la NIS2. Les deux réglementations exigent des obligations de notification en cas de cyberincidents et une gestion structurée des risques. La NIS2 va toutefois plus loin : elle exige des mesures techniques spécifiques et un rôle actif de la direction. Tirez parti des recoupements pour mettre en place un programme de conformité intégré, ce qui vous permettra d'économiser des ressources et de gagner en clarté.

Votre feuille de route pour la mise en œuvre de la NIS2 : comment procéder de manière systématique 

Une attention particulière doit être accordée à la mise en place d'une gestion des risques robuste et d'une réponse efficace aux incidents. La documentation des mesures prises et la formation régulière des collaborateurs sont également des facteurs clés de succès.

La deuxième étape se concentre sur les mesures techniques et organisationnelles. La mise en place d'un système robuste de gestion des incidents de sécurité est ici essentielle : mettez en place des processus clairs pour l'obligation de signaler les incidents de sécurité dans les 24 heures. Établissez une gestion systématique des risques qui tienne compte des exigences spécifiques de la NIS2. N'oubliez pas la chaîne d'approvisionnement : vos fournisseurs doivent également être impliqués.

La troisième étape concerne la structure de gouvernance. La NIS2 exige que la direction joue un rôle actif, depuis l'approbation des mesures de sécurité jusqu'à la vérification régulière de leur efficacité. Définissez des responsabilités et des procédures d'escalade claires. Il est particulièrement important de documenter toutes les décisions et mesures de manière exhaustive.

Enfin, vous devez impliquer vos collaborateurs. Les formations régulières ne sont pas seulement une exigence de la NIS2, elles sont aussi la clé du succès. Développez un programme de sensibilisation qui explique clairement les nouvelles exigences et les intègre dans le travail quotidien.

POSEZ DÈS MAINTENANT LES BASES POUR LA CONFORMITÉ NIS2 

La directive NIS2 pose de nouveaux défis aux PME suisses, mais leur offre également des opportunités. En adoptant une approche systématique dès maintenant, vous pouvez non seulement mettre en œuvre efficacement les exigences, mais aussi améliorer considérablement votre cybersécurité. MTF Solutions vous aide à y parvenir grâce à une approche en trois étapes qui a fait ses preuves :

  • NIS2 QuickCheck : lors d'un premier entretien, nous analysons votre situation spécifique. Êtes-vous directement ou indirectement concerné par la directive NIS2 ? Quelles sont les exigences qui vous concernent ? Où en êtes-vous aujourd'hui ?
  • Analyse des lacunes et feuille de route : nos experts identifient systématiquement les écarts entre la situation actuelle et la situation souhaitée. Vous recevez une feuille de route sur mesure avec des recommandations d'actions concrètes, des priorités et des délais.
  • Accompagnement de la mise en œuvre : si vous le souhaitez, nous vous aidons dans la mise en œuvre concrète, de la mise en œuvre technique à la formation des collaborateurs en passant par la conception des processus.
     

NIS2 : il est temps d'agir, même pour les PME suisses

La directive européenne NIS2 concerne plus d'entreprises suisses qu'il n'y paraît à première vue. Non seulement les PME ayant des activités directes dans l'UE doivent agir, mais les fournisseurs et les partenaires commerciaux des entreprises de l'UE sont également de plus en plus tenus de se conformer aux normes de cybersécurité renforcées. Il apparaît ainsi que la NIS2 est plus qu'une obligation réglementaire. La directive offre la possibilité de systématiquement améliorer la sécurité informatique et d'obtenir ainsi un avantage concurrentiel.

Voici un aperçu des principales conclusions :

  • L'impact dépasse largement le champ d'application formel.
  • Les PME suisses impliquées dans les chaînes d'approvisionnement de l'UE doivent se préparer.
  • La mise en œuvre nécessite une approche systématique.
  • Les synergies avec la loi suisse sur la sécurité de l'information (LSI) peuvent être exploitées.
  • Agir tôt présente des avantages.
     

Faites le premier pas vers la conformité à la NIS2.

Analysons ensemble votre niveau d'impact par rapport à la NIS2. Nos experts vous accompagnent avec leur expérience pratique et leurs solutions éprouvées, de la première analyse à la mise en œuvre réussie. Prenez rendez-vous dès maintenant pour un premier entretien gratuit !

CONTACTER MAINTENANT

FAQ 

  1. En tant que PME purement suisse sans succursale dans l'UE, sommes-nous concernés par la NIS2 ?
    Formellement, pas directement. Mais dès que vous êtes fournisseur ou partenaire d'une entreprise de l'UE elle-même concernée par la NIS2, vous êtes indirectement concerné. De nombreux clients de l'UE exigent déjà des PME suisses des preuves de sécurité informatique.
     
  2. Quels secteurs suisses sont particulièrement concernés par la NIS2 ?
    Les PME qui travaillent avec des secteurs critiques de l'UE sont principalement concernées : énergie, transports, santé, services informatiques, construction mécanique, équipementiers automobiles ou services cloud. Même les entreprises suisses sans siège direct dans l'UE peuvent être concernées par le champ d'application via leur chaîne d'approvisionnement.
     
  3. Quels critères déterminent si ma PME suisse est directement concernée par la directive NIS2 ?
    La directive s'applique aux entreprises de 50 employés ou dont le chiffre d'affaires annuel est supérieur à 10 millions d'euros dans l'UE, à condition que vous soyez active dans l'un des 18 secteurs critiques ou que vous y fournissiez des services.
     
  4. Que signifie « impact indirect » pour les PME suisses ?
    De nombreuses PME suisses approvisionnent des entreprises de l'UE. Ces entreprises doivent démontrer la sécurité de l'ensemble de leur chaîne d'approvisionnement et transmettre les exigences de la directive NIS2 à leurs partenaires. Cela crée une obligation de fait, même sans réglementation directe.
     
  5. Quelles sanctions les PME suisses encourent-elles en cas d'urgence ?
    Si votre PME opère directement dans l'UE, des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial peuvent être prononcées. Les dirigeants sont également personnellement responsables. Les PME indirectement concernées risquent de perdre des contrats si elles ne respectent pas les exigences de la NIS2.
     
  6. Quelles sont les responsabilités de la direction des PME suisses ?
    La direction de l'entreprise doit approuver et surveiller les mesures de sécurité, signaler les incidents et participer régulièrement à des formations en cybersécurité. La NIS2 exige donc un engagement actif, y compris de la part des dirigeants suisses exerçant des activités dans l'UE. Ils sont personnellement responsables des manquements à l'obligation de diligence, pouvant aller jusqu'à une amende ou une révocation temporaire.
     
  7. La loi suisse sur la sécurité de l'information (LSI) n'est-elle pas déjà suffisante ?
    La LSI constitue une bonne base, car elle stipule également les obligations de déclaration et la gestion des risques. NIS2 va cependant plus loin : il requiert des mesures techniques plus détaillées, une plus grande implication de la direction et prend en compte l’ensemble de la chaîne d’approvisionnement.
     
  8. Comment les PME suisses peuvent-elles se lancer dans NIS2 ? Quelles opportunités offre-t-il ?
    Commencez par un rapide examen de vos relations avec l’UE : y a-t-il des clients, des succursales ou des chaînes d’approvisionnement dans l’UE ? Ensuite, nous recommandons de réaliser une analyse des lacunes avec des mesures claires, de la gestion des risques à la formation des collaborateurs. Les entreprises qui respectent NIS2 renforcent leur cyber-résilience, signalent leur fiabilité aux partenaires de l’UE et améliorent leurs chances de participer aux appels d’offres européens.

Aussi intéressant 

Directive NIS2Pourquoi les PME devraient revoir leur informatique dès maintenant

Plus

Contrôlede sécurité

Plus
Aperçu

Avez-vous des Questions ?

Michael Stüssi
Sales Manager
+41 31 888 88 88
[email protected]