← Voir tous les articles

  • 31 mars 2025

Conformité au NIS2 : Un nouveau défi pour les entreprises et les PME suisses

Alors que l'UE renforce les règles de cybersécurité avec le NIS2, les entreprises suisses - en particulier les PME - doivent se préparer aux exigences de conformité transfrontalières, à l'augmentation des cyber-risques et à la pression croissante des clients et des chaînes d'approvisionnement de l'UE.

Alors que les menaces en matière de cybersécurité gagnent en ampleur et en sophistication, la La nouvelle directive NIS2 de l'Union européenne redessine le paysage réglementaire de la résilience numérique, et son impact dépasse largement les frontières de l'UE.

Pour Entreprises suissesPour les entreprises, en particulier celles qui travaillent avec des partenaires de l'UE ou qui opèrent dans des secteurs critiques, le NIS2 est plus qu'une réglementation étrangère - c'est une réalité stratégique qui pourrait affecter les partenariats, les chaînes d'approvisionnement et la compétitivité à long terme.

Qu'est-ce que le NIS2 ?

Les Directive sur la sécurité des réseaux et de l'information 2 (NIS2) est la nouvelle loi de l'UE sur la cybersécurité, qui est entrée en vigueur en janvier 2023 et doit être transposée dans les législations nationales d'ici octobre 2024.

Elle remplace la directive NIS originale (2016) et introduit :

  • Un champ d'application plus large: Davantage de secteurs sont désormais couverts, notamment l'industrie manufacturière, les services postaux, l'espace, la production alimentaire et l'administration publique.
  • Des exigences plus strictes en matière de cybersécurité: Les entreprises doivent mettre en œuvre la gestion des risques, la sécurité de la chaîne d'approvisionnement, la réponse aux incidents et la planification de la continuité des activités.
  • Rapports obligatoires: Les cyberincidents importants doivent être signalés dans les 24 heures.
  • Une plus grande responsabilité: L'encadrement supérieur est tenu responsable du respect des règles.
  • Des sanctions plus sévères: Les amendes peuvent atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires globalle plus élevé des deux.

 

Pourquoi les PME et les entreprises suisses devraient-elles s'en préoccuper ?

La Suisse ne fait pas partie de l'UE, mais dans une économie numérique hautement connectée, la conformité ne s'arrête pas aux frontières.

Les entreprises suisses peuvent être affectées si elles :

  • Fournir des services aux clients basés dans l'UE

Les clients des secteurs couverts par le NIS2 (par exemple, les soins de santé, l'énergie, la finance) peuvent avoir besoin de conformité contractuelle avec le NIS2 de leurs fournisseurs tiers, y compris des entreprises suisses.

  • Opérer dans des secteurs critiques

Même si elles sont basées en Suisse, les entreprises des secteurs des transports, des télécommunications, de la finance, de l'infrastructure numérique et de l'industrie manufacturière sont des cibles de choix pour les cyberattaques - et peuvent déjà intégrer des exigences de type NIS2 dans leur gestion des risques.

  • Participer aux chaînes d'approvisionnement internationales

Si vous faites partie d'une chaîne de valeur multinationale, vous pouvez être confronté, directement ou indirectement, à des pressions en matière de diligence raisonnable et de conformité liées au NIS2.

  • veulent assurer la pérennité de leur entreprise

L'alignement sur le NIS2 permet à votre entreprise de devancer les tendances réglementaires, de renforcer la confiance avec les partenaires européens et d'améliorer la résilience cybernétique globale.

 

Comment votre entreprise peut-elle se préparer à NIS2 ?

Que vous soyez ou non directement soumis à la NIS2, la directive précise que meilleures pratiques en matière de cybersécurité que chaque organisation devrait envisager d'adopter.

1. Évaluer les risques de cybersécurité

  • Procéder à des évaluations régulières des risques liés à votre infrastructure informatique.
  • Identifier et cartographier les actifs critiques, les dépendances et les points de défaillance potentiels.

2. Mettre en œuvre des plans de réponse et de signalement des incidents

  • Mettre en place un processus clair de détection, d'escalade et de signalement des incidents de sécurité.
  • Se préparer à notifier les partenaires ou autorités concernés dans les 24 heures suivant un événement majeur.

3. Sécuriser votre chaîne d'approvisionnement

  • Vérifier la maturité des fournisseurs et des partenaires en matière de cybersécurité.
  • Veillez à ce que les services tiers ne deviennent pas des maillons faibles de votre infrastructure.

4. Renforcer la gouvernance et la responsabilité

  • Impliquer la direction générale dans la planification de la cybersécurité.
  • Attribuer un agent de sécurité ou responsable pour le contrôle de la conformité.

5. Sensibiliser l'ensemble de l'organisation

  • Proposer une formation aux employés sur l'hameçonnage, l'hygiène des mots de passe et les pratiques sûres.
  • Faire de la cybersécurité un élément de la culture d'entreprise, et non un simple problème informatique.

 

Perspectives d'avenir

La directive NIS2 représente une nouvelle référence pour la sécurité numérique en Europe (****) et un signal d'alarme pour les entreprises des pays voisins comme la Suisse.

Pour les PME suisses, se préparer dès maintenant est un avantage concurrentiel. Non seulement elle réduit les risques juridiques et opérationnels, mais elle envoie également un message fort aux partenaires et aux clients : Nous prenons la cybersécurité au sérieux - et nous sommes prêts pour l'avenir.

  • Nous pouvons vous aider à vous mettre en conformité avec le FADP !

Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité

Contactez-nous

Qu'en pensez-vous ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Perspectives connexes

  • Articles connexes
Le modèle "Pay or Consent" de Meta fait l'objet d'un examen approfondi au regard du GDPR
Alors que Meta introduit un modèle "pay or consent", les régulateurs de l'UE se demandent si le choix n'est pas soumis à des pressions.
L'UE va investir $1,4 milliard d'euros dans l'IA, la cybersécurité et les compétences numériques dans le cadre du programme "Europe numérique
La Commission européenne engage 1,3 milliard d'euros pour accélérer l'IA, renforcer la cybersécurité et combler le fossé numérique.
Après que ChatGPT a faussement accusé un homme de meurtre, une plainte relative au GDPR met en évidence les risques liés à l'imprécision de l'IA
Cet incident souligne l'importance de l'exactitude des données, de la protection des personnes et du droit de rectification