La cybersécurité n’est plus une affaire de spécialistes IT. Avec NIS2, l’Union européenne impose un socle commun de sécurité à des dizaines de milliers d’entreprises. Vous pensez qu’une société suisse échappe à la directive nis2 ? C’est une erreur de lecture. La chaîne d’approvisionnement, les filiales et les contrats vous rattrapent très vite.
Sommaire
- NIS2 : de quoi parle-t-on exactement ?
- Qui est concerné : entités essentielles et importantes
- Les nouvelles obligations imposées aux entreprises
- Sanctions et responsabilité de la direction
- L’impact concret pour les entreprises suisses
- NIS2, nLPD et droit suisse : où en est-on ?
- Comment se mettre en conformité avec un SMSI ISO 27001
- Conclusion
- FAQ

NIS2 : de quoi parle-t-on exactement ?
NIS2 est le nom court de la directive (UE) 2022/2555. Elle a été adoptée le 14 décembre 2022. Son objectif : relever le niveau commun de cybersécurité dans toute l’Union. En effet, elle remplace la première directive NIS de 2016, jugée trop limitée face aux menaces actuelles.
La directive nis2 est entrée en vigueur en janvier 2023. Les États membres avaient ensuite jusqu’au 17 octobre 2024 pour la transposer dans leur droit national. Depuis le 18 octobre 2024, l’ancienne directive NIS1 est abrogée. Autrement dit, le nouveau régime s’applique désormais à travers les lois nationales de chaque pays de l’Union.
Par ailleurs, NIS2 élargit fortement son périmètre. La Commission européenne recense désormais dix-huit secteurs critiques couverts par le texte. De plus, elle renforce les règles de gestion des risques, les obligations de notification et les pouvoirs de contrôle. C’est un changement d’échelle, pas un simple ajustement.
Qui est concerné : entités essentielles et importantes
La directive classe les organisations en deux grandes catégories. D’un côté, les entités essentielles. De l’autre, les entités importantes. Ce classement dépend du secteur, du type de service fourni et de la taille de l’entreprise. En règle générale, ce sont les moyennes et grandes entités des secteurs critiques qui entrent dans le champ.
Les secteurs couverts sont vastes. Ils vont bien au-delà des infrastructures traditionnelles comme l’énergie ou les transports. Voici quelques exemples de domaines visés par NIS2 :
- Énergie, transports, banque et infrastructures des marchés financiers
- Santé, eau potable et eaux usées
- Infrastructures numériques et fournisseurs de services numériques
- Administration publique et secteur spatial
- Gestion des déchets, fabrication de produits critiques, secteur agroalimentaire
- Services postaux et de courrier, réseaux de communication électronique publics
Toutefois, la logique de NIS2 ne s’arrête pas à ces deux catégories. En effet, la directive insiste sur la sécurité de la chaîne d’approvisionnement. Une entreprise concernée doit donc évaluer les risques liés à ses fournisseurs et prestataires. C’est précisément par ce mécanisme que la portée du texte dépasse les frontières de l’Union.

Les nouvelles obligations imposées aux entreprises
NIS2 impose un socle d’obligations concrètes. Elles reposent sur trois piliers : la gestion des risques, la notification des incidents et la gouvernance. Chacun de ces piliers demande des moyens, des processus et des preuves. Passons-les en revue.
La gestion des risques de cybersécurité
Les entités essentielles et importantes doivent adopter des mesures techniques et organisationnelles adaptées. La directive suit une approche dite « tous risques ». Elle couvre aussi bien les cyberattaques que les défaillances techniques, les erreurs humaines ou les incidents physiques. En somme, il s’agit de protéger la disponibilité, l’intégrité et la confidentialité des données.
Le considérant 79 du texte cite explicitement la série de normes ISO/CEI 27000 comme référence. Ce point est capital. Il montre que la mise en œuvre d’un Système de Management de la Sécurité de l’Information est directement alignée avec les attentes de la directive. Nous y reviendrons plus loin.
La notification des incidents
Le rythme de notification est strict. L’article 23 de la directive fixe un calendrier précis pour tout incident significatif. Voici les jalons à retenir :
- Une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident.
- Une notification complète dans les 72 heures, avec une première évaluation de la gravité.
- Un rapport final au plus tard un mois après la notification d’incident.
Ces délais sont courts. Par conséquent, une entreprise concernée doit préparer ses procédures à l’avance. Improviser un signalement en pleine crise n’est pas une option viable. Il faut des rôles clairs, un canal de contact identifié et une documentation prête.
La responsabilité de la direction
C’est l’un des apports majeurs de NIS2. L’article 20 place la cybersécurité au niveau du conseil d’administration. Les organes de direction doivent approuver les mesures de gestion des risques. De plus, ils doivent en superviser la mise en œuvre. Enfin, les membres de la direction sont tenus de suivre une formation adaptée.
Sanctions et responsabilité de la direction
Le régime de sanctions de NIS2 est dissuasif. Il est calibré différemment selon la catégorie de l’entité. L’article 34 impose aux États membres de prévoir des amendes maximales atteignant au moins les montants ci-dessous. Concrètement, la facture peut être lourde en cas de manquement aux articles 21 ou 23.
| Catégorie | Amende maximale exigée (montant fixe) | Alternative liée au chiffre d’affaires |
|---|---|---|
| Entités essentielles | au moins 10 000 000 EUR (env. 9,3 millions CHF) | ou au moins 2 % du CA mondial annuel |
| Entités importantes | au moins 7 000 000 EUR (env. 6,5 millions CHF) | ou au moins 1,4 % du CA mondial annuel |
La règle applique le montant le plus élevé des deux options. Ainsi, pour un grand groupe, le pourcentage du chiffre d’affaires peut dépasser de loin le montant fixe. Cependant, la sanction financière n’est pas le seul risque. Les dirigeants peuvent être tenus personnellement responsables des manquements. La réputation, la confiance des clients et la continuité d’activité sont aussi en jeu.

L’impact concret pour les entreprises suisses
La Suisse ne fait pas partie de l’Union européenne. Une conclusion rapide serait donc de dire que NIS2 ne la concerne pas. Cette conclusion est fausse. En réalité, plusieurs mécanismes rattrapent les entreprises suisses. Voyons lesquels.
Les filiales établies dans l’Union
Une entreprise suisse qui possède une filiale ou un établissement dans un pays de l’Union peut relever directement de NIS2. Si cette filiale opère dans un secteur couvert et dépasse les seuils de taille, elle doit se conformer au régime local. Par conséquent, la maison mère suisse doit piloter cette conformité depuis la Suisse.
L’effet de chaîne d’approvisionnement
C’est le mécanisme le plus puissant. NIS2 oblige les entités concernées à sécuriser leur chaîne d’approvisionnement. Elles doivent donc exiger un certain niveau de sécurité de la part de leurs fournisseurs. Or, de nombreux sous-traitants et prestataires suisses travaillent pour des clients européens.
Dans les faits, cela se traduit par des clauses contractuelles. Vos clients européens vous demanderont des garanties de sécurité. Ils pourront exiger des audits, des attestations ou une certification. En somme, même sans relever juridiquement de NIS2, vous en subirez les exigences par contrat. Ignorer ce point revient à risquer de perdre des marchés.
Les fournisseurs de services numériques
Certaines entreprises suisses fournissent des services numériques à l’échelle européenne. Cloud, hébergement, place de marché en ligne, moteur de recherche : ces activités sont dans le viseur. Selon la localisation de leurs activités et de leurs utilisateurs, elles peuvent devoir désigner un représentant dans l’Union. Une analyse au cas par cas est indispensable.
NIS2, nLPD et droit suisse : où en est-on ?
La Suisse a son propre cadre. La nouvelle loi sur la protection des données, la nLPD, est entrée en vigueur en 2023. Elle encadre le traitement des données personnelles et impose des obligations de sécurité et de notification en cas de violation. Toutefois, la nLPD ne couvre pas exactement le même périmètre que NIS2. Elle vise la protection des données, pas la résilience globale des systèmes critiques.
Sur le volet cybersécurité, la Suisse a franchi une étape importante. Depuis le 1er avril 2025, une obligation de signaler les cyberattaques contre les infrastructures critiques est en vigueur. Le Conseil fédéral a pris cette décision le 7 mars 2025. Les exploitants concernés doivent désormais annoncer les incidents à l’Office fédéral de la cybersécurité.
Ce dispositif suisse se rapproche de l’esprit de NIS2, sans en être une copie. Les deux textes convergent vers une même idée : la sécurité des systèmes critiques est une responsabilité collective. Pour une entreprise active des deux côtés de la frontière, il faut donc satisfaire les deux logiques en parallèle. C’est là qu’un référentiel commun devient précieux.
Formation recommandée
ISO 27001 Lead Implementer
Réf. ISO-27001LI
Apprenez à déployer un Système de Management de la Sécurité de l’Information aligné sur les exigences de NIS2 et à préparer votre organisation à l’audit de certification.
Niveau : Intermédiaire
Lieu : Genève / Lausanne / Virtuel
Comment se mettre en conformité avec un SMSI ISO 27001
La bonne nouvelle : vous n’avez pas à réinventer la roue. Un cadre reconnu répond déjà à la plupart des exigences de NIS2. Ce cadre, c’est la norme ISO/CEI 27001 et son Système de Management de la Sécurité de l’Information, le SMSI. La directive elle-même renvoie à cette famille de normes.
Un SMSI structure la sécurité comme un processus continu, pas comme un projet ponctuel. Il repose sur une analyse des risques, des mesures de traitement, un suivi et une amélioration constante. Voici comment cette démarche répond point par point aux attentes de la directive :
- Gestion des risques : le SMSI impose une analyse formelle et documentée des risques.
- Mesures de sécurité : la norme fournit un catalogue de mesures organisationnelles et techniques.
- Notification des incidents : le SMSI définit des procédures de détection et de réponse aux incidents.
- Gouvernance : la direction s’engage formellement et pilote le système.
- Chaîne d’approvisionnement : les relations fournisseurs sont encadrées par des exigences précises.
Concrètement, la mise en conformité se déroule par étapes. D’abord, vous définissez le périmètre et le contexte de votre organisation. Ensuite, vous menez l’analyse des risques et vous choisissez les mesures. Puis, vous déployez ces mesures et vous formez vos équipes. Enfin, vous surveillez, vous auditez et vous améliorez en continu.
C’est exactement ce qu’enseigne une formation de ISO 27001 Lead Implementer. Vous apprenez à planifier, déployer et gérer un SMSI conforme à la version ISO 27001:2022. Cette compétence répond à un besoin métier concret. Elle permet aussi de démontrer aux clients européens que votre entreprise prend la sécurité au sérieux.
Pour approfondir le cadre officiel, plusieurs ressources publiques font autorité. Le texte intégral de la directive est disponible sur EUR-Lex. La Commission européenne détaille le champ d’application sur son portail dédié à NIS2. Côté suisse, l’Office fédéral de la cybersécurité précise l’obligation de signaler.

Formation recommandée
ISO 27001 Lead Implementer
Réf. ISO-27001LI
Maîtrisez la mise en œuvre d’un SMSI de bout en bout et anticipez les exigences de la directive nis2 pour vos clients et partenaires européens.
Niveau : Intermédiaire
Lieu : Genève / Lausanne / Virtuel
Conclusion
NIS2 change la donne pour la cybersécurité en Europe. La directive élargit son périmètre, durcit les obligations et responsabilise les dirigeants. Les sanctions financières sont désormais dissuasives. Cependant, l’essentiel n’est pas la peur de l’amende. C’est la construction d’une véritable culture de la sécurité.
Pour les entreprises suisses, la vigilance s’impose. Filiales dans l’Union, effet de chaîne d’approvisionnement, exigences contractuelles : les canaux d’exposition sont nombreux. Par ailleurs, la Suisse renforce son propre cadre, avec la nLPD et l’obligation de signaler les cyberattaques contre les infrastructures critiques. Se préparer aujourd’hui, c’est protéger vos marchés de demain.
La démarche la plus solide reste la mise en place d’un SMSI aligné sur ISO 27001. Elle répond aux exigences de NIS2 tout en rassurant vos partenaires. Investir dans les compétences internes est donc un choix stratégique. C’est le meilleur moyen de transformer une contrainte réglementaire en avantage concurrentiel.
FAQ
NIS2 s’applique-t-elle directement aux entreprises suisses ?
La directive s’applique dans les pays de l’Union européenne. Toutefois, une entreprise suisse peut y être soumise via une filiale établie dans l’Union. Elle peut aussi en subir les exigences par contrat, via ses clients européens et l’effet de chaîne d’approvisionnement.
Quelle est la différence entre entité essentielle et entité importante ?
Le classement dépend du secteur, du service fourni et de la taille de l’organisation. Les deux catégories ont les mêmes obligations de base. En revanche, le régime de supervision et le plafond des amendes diffèrent, avec un niveau plus élevé pour les entités essentielles.
Quels sont les délais de notification d’un incident ?
L’article 23 de la directive prévoit une alerte précoce dans les 24 heures, une notification complète dans les 72 heures, puis un rapport final au plus tard un mois après la notification d’incident. Ces délais courts imposent des procédures préparées à l’avance.
Une certification ISO 27001 suffit-elle pour être conforme à NIS2 ?
La norme ISO 27001 couvre la grande majorité des exigences de la directive, qui renvoie d’ailleurs à la série ISO/CEI 27000. Un SMSI bien conçu constitue une base très solide. Il faut néanmoins vérifier les obligations locales de transposition dans chaque pays concerné.
Que risque une entreprise en cas de non-conformité ?
Les entités essentielles s’exposent à des amendes pouvant atteindre au moins 10 000 000 EUR, soit environ 9,3 millions CHF, ou 2 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes, ce plafond est d’au moins 7 000 000 EUR, environ 6,5 millions CHF, ou 1,4 %. Les dirigeants peuvent aussi être tenus personnellement responsables.
