NIS2 - également un catalyseur de la cybersécurité en Suisse ?

L’un des aspects essentiels de la directive NIS2 est le durcissement des exigences liées à la cybersécurité pour les entreprises et les institutions publiques – avec la définition dans la loi nationale d’exigences de sécurité rigoureuses, par exemple des normes minimales pour la gestion du risque, des obligations de communiquer ou la mise en œuvre de mesures telles que le cryptage, les contrôles d’accès et l’authentification à multiples facteurs. Dans le contexte de la « cybersécurité », il convient aujourd’hui de penser en particulier à la loi fédérale sur la protection des données (LPD) et à la loi sur la sécurité de l’information (LSI). Il n’existe pas de pendant direct à la NIS2 en Suisse. Cependant, en raison de l’effet de rayonnement de la NIS2, les bases légales en place en Suisse doivent se mesurer dans une certaine mesure à cette directive ou doivent pour le moins être remises en question d’un œil critique – ce qui est propice à l’amélioration continue. De même, un rapprochement de la NIS2 pourrait créer une base juridique cohérente et générer un niveau identique à celui de l’UE. Ces adaptations législatives ne feraient pas qu’augmenter la sécurité, mais en plus elles amélioreraient la clarté juridique pour les entreprises. Notamment, un cadre juridique uniforme permettrait aux entreprises de développer leurs stratégies de sécurité de manière ciblée et de les appliquer plus simplement lorsqu’elles sont actives sur les marchés suisse et européen.

La NIS2 peut s’imposer aux entreprises suisses si certaines prestations de services ou certains produits sont proposés dans l’UE, si l’entreprise fait partie d’une chaîne de livraison européenne ou si des succursales se trouvent au sein de l’UE. À cet égard, la NIS2 peut également constituer un élan économique pour la Suisse. Ces entreprises doivent de plus en plus investir dans leurs mesures de cybersécurité afin de répondre aux nouvelles normes. Cela permet un renforcement général de la cybersécurité – en même temps, les bases juridiques susmentionnées représentent aussi un Business Case ; elles encouragent non seulement de nouvelles possibilités et modèles commerciaux dans le domaine de la cybersécurité, mais incitent en plus à développer de nouvelles technologies et solutions – ce qui pourrait entraîner, puis générer et assurer des postes de travail dans le pays. 

L’existence de la NIS2 attise le débat public sur la cybersécurité, et en même temps une sensibilisation est à l’œuvre. Un public averti est déterminant pour augmenter la cyberrésilience générale – ces connaissances sont également transposées dans les entreprises. Le fait que les gens connaissent les moyens de se protéger contribue à faire obstacle aux cyberincidents. 

La NIS2 encourage également la collaboration entre différents acteurs dans le contexte de la cybersécurité. Cette situation pourrait accentuer la coopération entre les entreprises, les autorités et les établissements éducatifs tout en promouvant l’échange de connaissances. De même, instaurer un réseau solide avec les spécialistes et les institutions de cybersécurité dans l’UE est également utile et bienvenu.

Les principaux contenus sont les suivants :

• les entreprises concernées sont réparties entre les entités « essentielles » et « importantes », ce qui influence le montant de l’amende et l’intensité de la surveillance des autorités.
   
• La responsabilité de la direction est engagée : implication dans la gestion du risque, obligation de formation et responsabilité.
   
• La mise en place d’une organisation de sécurité est indispensable : gestion du risque (y c. chaîne de livraison), mesures techniques et organisationnelles (comparables à la norme ISO 27001).
   
• Des incidents de cybersécurité sensibles doivent être annoncés aux autorités à trois niveaux : alerte précoce, notification approfondie et rapport final.
   
• Définition de la fonction de surveillance des autorités et amendes (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel, resp. jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel).