Selon incyber.org (article signé par Marie De Freminville, 26 août 2025), la directive européenne NIS2 doit être transposée par chaque État membre (échéance octobre 2024) et renforce fortement les exigences de cybersécurité, de gestion des risques et de réponse aux incidents par rapport à NIS 2016. Bien que non directement applicable en Suisse, de nombreuses entreprises suisses sont concernées dès lors qu’elles opèrent dans l’UE, font partie de chaînes d’approvisionnement critiques ou traitent des données de citoyens européens.
L’article rappelle l’extension du champ de NIS2 aux entités essentielles et importantes (énergie, transport, santé, infrastructures numériques, administration publique, etc.). Il propose des questions-clés pour s’auto-positionner (présence d’entités dans l’UE, services à des clients UE, traitement de données de citoyens UE, appartenance à un secteur essentiel/important) et liste des exigences minimales: CISO identifié, politique de cybersécurité validée, procédure de notification d’incident ≤ 24h, analyses de risques/audits/tests réguliers, formations pour administrateurs et dirigeants. 🔒
Secteur financier 🇨🇭/🇪🇺: les banques liées à l’UE (filiales, sous-traitants, partenaires) doivent établir une gouvernance cybersécurité au conseil d’administration, nommer un CISO exécutif, réviser la stratégie, créer un comité de sécurité, cartographier les risques (incluant chaîne d’approvisionnement/fournisseurs IT), prévoir des notifications en 24h et un plan de réponse, conduire des audits et un tableau de bord NIS2, évaluer la maturité cybersécurité des prestataires et mettre à jour les contrats. Le cadre FINMA (circulaires 2018/3 « Outsourcing » et 2023/1 « Gestion des risques informatiques ») est rappelé. Les IMF (SIX Group, SIX x-clear, SIX SIS, SIC…) doivent démontrer une conformité équivalente à NIS2, y compris sur le plan contractuel/opérationnel.
Autres secteurs essentiels:
- Santé 🏥: entités (hôpitaux, cliniques, laboratoires, eHealth/MedTech/télémédecine, prestataires IT santé) doivent produire: politique cybersécurité Santé, analyse de risques IT/DMP/IoMT, procédure de notification d’incidents, registre de conformité/tableau de bord, rapports d’audit/plans de remédiation, attestations de sensibilisation / format.
- Énergie ⚡: intégrer OT/SCADA à la politique, créer un comité cybersécurité interdisciplinaire, cartographier les systèmes critiques (supervision, contrôle distribué, réseaux, postes HT), renforcer la sécurité des SI industriels (séparation, contrôle d’accès), détection d’incidents, PCA/PRA, clauses NIS2 dans les contrats, formation des administrateurs/dirigeants/opérateurs; anticiper l’évolution du droit suisse (LSI, OICN, directives OFEN/NCSC).
- Transports 🚆✈️🚢🛣️: tous modes critiques couverts; forte interconnexion UE; alignement volontaire recommandé (isolation/segmentation, surveillance SCADA, identification des systèmes interconnectés avec l’UE), en cohérence avec OICN, LSI, et exigences de l’OFT.
- Infrastructures numériques ☁️: acteurs DNS, registres, cloud critiques, data centers, CDN, IXPs servant l’UE doivent démontrer un niveau équivalent NIS2 (audits, certifications, clauses contractuelles), cartographier les clients/services exposés UE, renforcer détection/résilience/surveillance, formaliser procédures/audits/documentation, et contrôler la conformité des sous-traitants; contexte légal suisse: LSI, LTC, recommandations NCSC/SEFRI.
Conclusion: La Suisse dispose de cadres exigeants, mais leur périmètre et leurs attentes diffèrent de NIS2. Les entreprises suisses en interaction avec l’UE doivent vérifier les actions à mener pour soutenir la confiance des partenaires et répondre aux exigences réglementaires. Article de type explicatif de cyberlégislation visant à clarifier le périmètre NIS2 et les attendus de conformité pour les acteurs suisses.
🔗 Source originale : https://incyber.org/article/je-suis-une-entreprise-suisse-suis-je-concernee-par-nis2/