La Finlande montre comment la mise en œuvre de NIS2 fonctionne sans tsunami bureaucratique
Alors qu'en Allemagne, par exemple, quelque 30 000 entreprises sont sous pression en raison de la loi de mise en œuvre de la norme NIS2 (NIS2UmsuCG), la Finlande montre une voie plus pragmatique. Le modèle finlandais mise sur la coopération plutôt que sur la contrainte de contrôle et renonce délibérément aux audits obligatoires qui consomment des ressources.
Depuis décembre 2025, la loi d'application NIS2 est en vigueur en Allemagne. Environ 30 000 entreprises de 18 secteurs doivent se conformer à des exigences plus strictes en matière de cybersécurité. Après l'expiration des premiers délais d'enregistrement en mars, l'incertitude règne en de nombreux endroits en ce qui concerne la mise en œuvre concrète, la pratique de surveillance et les obligations de déclaration complexes. Un coup d'œil sur la Finlande montre qu'il est possible de faire autrement.
Le pays a déjà réussi à mettre en œuvre les exigences de l'UE en avril 2025 - avec une approche qui mise sur le pragmatisme et la coopération et évite la bureaucratie. L'un des facteurs clés de la réussite finlandaise est sa culture de la sécurité profondément enracinée : une compréhension commune de la sécurité en tant qu'aspect central, que tous les acteurs vivent et promeuvent au quotidien.
«Approche »Whole-of-Society" plutôt que contrainte de contrôle
En se basant sur une approche «Whole-of-Society», dans laquelle l'État, l'économie et la société coopèrent étroitement, la directive NIS2 a pu être mise en œuvre de manière pragmatique. Avec la loi sur la cybersécurité (124/2025), la Finlande a regroupé les exigences de la directive NIS2 dans une loi nationale. Les exigences spécifiques concernant les autorités ont été intégrées dans la loi sur la gestion de l'information dans l'administration publique.
Les entreprises et les institutions publiques bénéficient ainsi d'une transparence nettement accrue et de responsabilités plus claires en matière de cybersécurité. La loi renforce la cybersécurité nationale en définissant des exigences minimales en matière de gestion des risques et de notification obligatoire des incidents de sécurité, qui s'appliquent à de nombreux secteurs et entreprises critiques.
«En Finlande, la sécurité de la société est une tâche commune basée sur la confiance mutuelle», explique Peter Sund, PDG du Finnish Information Security Cluster (FISC). «Cet esprit de coopération nous a permis d'intégrer efficacement les exigences de la NIS2, car la plupart des entreprises critiques disposaient déjà de normes de sécurité élevées».»
La confiance plutôt que les audits obligatoires
Lors de la mise en œuvre de la NIS2, l'accent a été mis sur une approche uniforme, basée sur les risques, qui mise sur la confiance plutôt que sur des contrôles excessifs. Ainsi, la loi finlandaise renonce délibérément à des audits obligatoires réguliers et consommateurs de ressources pour toutes les entreprises concernées. Au lieu de cela, les organisations doivent mettre en place une gestion des risques fonctionnelle et démontrable, adaptée à leur situation spécifique. Cela permet aux entreprises d'investir des ressources dans des mesures de sécurité effectives au lieu de les consacrer à de simples preuves de conformité.
La responsabilité personnelle comme moteur du changement culturel
Un autre point décisif du modèle finlandais est qu'il s'adresse clairement à la direction de l'entreprise. Leur responsabilité directe est considérée comme un levier central pour un changement durable. «La responsabilité personnelle de la direction opérationnelle est l'un des moteurs les plus puissants d'un changement culturel. Elle veille à ce que la cybersécurité ne soit pas considérée comme une question purement informatique, mais comme une mission stratégique de l'entreprise pour gérer de multiples risques commerciaux qui ont des répercussions sur la société au sens large», explique Sund.
Cette approche garantit que les investissements et les changements de processus nécessaires sont correctement priorisés. La loi de transposition allemande mise également sur la responsabilité, mais la mise en œuvre pratique et l'application de la responsabilité personnelle sont actuellement régies par des règles moins claires et moins rigides.
«La mise en œuvre de la directive NIS2 offre la possibilité de mieux gérer les risques numériques de son entreprise. La cybersécurité peut soit être budgétée, soit financée par une crise - cette dernière solution étant incalculablement plus coûteuse», explique Sund. En outre, face à l'augmentation de la cybercriminalité et d'autres attaques, une action proactive est sans alternative : rien qu'en Finlande, on enregistre environ deux tentatives d'attaques malveillantes par seconde. Une gestion robuste de la sécurité devient donc un facteur décisif pour la stabilité de l'ensemble de la chaîne d'approvisionnement.
L'écosystème finlandais comme modèle
La Finlande possède l'un des écosystèmes de cybersécurité les plus développés d'Europe. La taille du marché est comparable à celle de l'Espagne, pour une fraction de la population. Avec sa position de pointe dans le classement international de la cybersécurité et une forte densité d'entreprises technologiques, la Finlande offre les ressources qui sont fortement demandées en Allemagne.
Les entreprises finlandaises sont leaders dans des domaines clés liés à la NIS2 tels que le cryptage post-quantique, la gestion des identités et des accès (IAM), les composants sécurisés tels que les puces, les services de cybersécurité pour les PME et la détection des menaces basée sur l'IA. Pour l'économie allemande, l'accès à ces solutions éprouvées et à l'expertise qui les sous-tend - par exemple par le biais de coopérations bilatérales, de programmes d'échange et de réseaux d'innovation communs - représente une opportunité de renforcer sa propre souveraineté numérique et de relever avec succès les défis de la mise en œuvre de la NIS2.
Pour plus d'informations sur Business Finland, voir www.businessfinland.com
