NIS2 en Finlande

1. Aperçu rapide de l’applicabilité aux PME en Finlande

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Finlande ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Finlande et, dans certains cas, aux prestataires numériques étrangers desservant le marché finlandais.

Les PME devraient évaluer leur qualification au titre du régime national finlandais de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Finlande

La Finlande a transposé la Directive par la nouvelle loi sur la cybersécurité (Kyberturvallisuuslaki 124/2025) autonome, ratifiée par le Président le 4 avril 2025 et entrée en vigueur le 8 avril 2025 — la première loi horizontale consolidée de cybersécurité de Finlande, qui remplace les anciennes dispositions NIS sectorielles.

Les obligations de l'administration publique sont mises en œuvre séparément par des modifications à la loi sur la gestion de l'information dans l'administration publique. La loi aligne le régime finlandais sur la Directive (UE) 2022/2555 au niveau minimal de transposition (sans gold-plating) et décentralise la supervision auprès de sept autorités sectorielles coordonnées par Traficom.

Trois spécificités nationales : le secteur financier est exclu du champ d'application (couvert par DORA) ; les amendes administratives ne peuvent pas être imposées aux entités du secteur public (autorités étatiques, municipalités, zones de bien-être et entités similaires) ; et les amendes sont prononcées par une commission de sanctions établie séparément nommée par les autorités de supervision — et non directement par celles-ci. La Commission européenne a émis un avis motivé en mai 2025 (avant l'entrée en vigueur) ; la complétude de la notification reste à l'examen.

3. Champ d’application en Finlande

Le périmètre sectoriel de la Finlande reflète les catégories minimales de la directive sans extension confirmée au-delà du socle.

4. Seuils de taille et applicabilité aux PME en Finlande

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la stabilité sociétale, la sécurité publique ou la continuité des services essentiels.

Les autorités finlandaises conservent des pouvoirs formels de désignation lorsque le risque systémique ou des considérations de sécurité nationale justifient l’inclusion.

5. Cadre de classification des entités en Finlande

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification repose sur le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifient une surveillance renforcée.

La Finlande applique la structure de supervision à deux niveaux de la directive au sein de son modèle réglementaire sectoriel.

6. Exigences de gestion des risques de cybersécurité en Finlande

Le régime national finlandais s’aligne sur le socle de la directive pour la gestion des risques de cybersécurité. Les entités dans le champ doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques liés à la chaîne d’approvisionnement au titre de NIS2 en Finlande
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et garanties cryptographiques
• Procédures de gestion des vulnérabilités
• Sensibilisation et formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et l’exposition aux risques de l’organisation. L’alignement sur la norme ISO/IEC 27001 et les orientations finlandaises en cybersécurité est encouragé.

La surveillance de la chaîne d’approvisionnement exige une diligence raisonnable des fournisseurs et des garanties contractuelles de cybersécurité.

7. Responsabilité de la direction et gouvernance en Finlande

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre finlandais :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction générale doit garantir des compétences adéquates en cybersécurité.
• Les sanctions administratives — prononcées par une commission de sanctions établie séparément sur proposition de l'autorité de supervision compétente — peuvent sanctionner les défaillances de gouvernance.
• Les pouvoirs de suspension des dirigeants n'ont pas été transposés dans le droit finlandais NIS2. La responsabilité personnelle peut découler des obligations du droit des sociétés général, mais pas de dispositions spécifiques NIS2.

Les attentes en matière de responsabilité de la direction au titre de NIS2 en Finlande élèvent la gouvernance de la cybersécurité au niveau exécutif.

8. Obligations de notification des incidents en Finlande

9. Autorités de supervision et modèle d’exécution en Finlande

Autorité coordinatrice et CSIRT national : le Centre national de cybersécurité de Traficom (NCSC-FI). Traficom agit comme point de contact national unique et coordinateur de la réponse aux incidents, mais n'est pas l'autorité principale d'application pour la plupart des secteurs.

La Finlande applique un modèle de supervision sectoriel décentralisé. Sept autorités désignées supervisent la conformité dans leurs secteurs : Traficom (numérique/communications), Autorité de l'énergie (énergie), Agence finlandaise de sécurité et des produits chimiques / Tukes (produits chimiques), Centre ELY de Savonie du Sud (eau), Autorité finlandaise de l'alimentation / Ruokavirasto (alimentation), Autorité nationale de surveillance du bien-être et de la santé / Valvira (santé) et Agence finlandaise des médicaments / Fimea (médicaments/dispositifs médicaux). Chaque autorité tient son propre registre d'entités et sa plateforme d'enregistrement.

Supervisory powers include:

• Demandes d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination européenne en cybersécurité

La structure d'application correspond aux exigences de coopération de la Directive. Les amendes administratives sont prononcées par une commission de sanctions établie séparément sur proposition de l'autorité de supervision compétente. Le secteur public ne peut pas être sanctionné par des amendes.

10. Amendes et sanctions NIS2 en Finlande

La Finlande applique des sanctions administratives conformes à la Directive. Les amendes sont prononcées par une commission de sanctions établie séparément sur proposition de l'autorité de supervision compétente. Les amendes administratives ne peuvent pas être imposées aux entités du secteur public (autorités étatiques, municipalités, zones de bien-être et entités similaires).

L’application des amendes NIS2 en Finlande peut également inclure :

• Injonctions contraignantes de remédiation
• Identification publique des entités non conformes
• Suspension de certifications ou d'autorisations
• Les pouvoirs de suspension des dirigeants n'ont pas été transposés dans le droit finlandais NIS2 et ne sont pas disponibles comme outil d'application.

11. Chaîne d’approvisionnement et sécurité des fournisseurs au titre de NIS2 en Finlande

Les entités doivent gérer l’exposition cyber liée aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Exigences contractuelles de répercussion des obligations de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche finlandaise s’aligne sur les attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d’enregistrement et d’auto-identification en Finlande

Entities within scope must:

• Auto-identification et enregistrement auprès de l'autorité de supervision sectorielle compétente — l'échéance était le 8 mai 2025 (dépassée ; les entités non enregistrées doivent agir immédiatement). Les entités opérant dans plusieurs secteurs doivent s'enregistrer auprès de chaque autorité compétente.
• Fournir les coordonnées d'identification de l'entité.
• Indiquer la classification sectorielle et les services couverts par NIS2.
• Maintenir les coordonnées à jour ; signaler les changements dans un délai de deux semaines.

Jalons de conformité clés : échéance d'enregistrement 8 mai 2025 (dépassée) ; système de gestion des risques de cybersécurité requis d'ici le 8 juillet 2025 (dépassée). Chaque autorité sectorielle exploite sa propre plateforme d'enregistrement ; le NCSC-FI de Traficom fournit des orientations et un outil d'auto-évaluation.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le RGPD et autres lois en Finlande

Le Règlement général sur la protection des données continue de s’appliquer conjointement.

Les chevauchements à considérer incluent :

• Notification d’une violation de données personnelles dans les 72 heures
• Coordination entre autorités de contrôle
• Enquêtes parallèles en cybersécurité et protection des données
• Règles sectorielles finlandaises en matière de cybersécurité

Un incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal en Finlande sont supervisées par les autorités finlandaises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Finlande peuvent être soumis à la supervision finlandaise selon leur structure d’établissement.

Les exigences de représentation suivent les normes de la directive pour les prestataires non européens desservant les marchés finlandais.

15. Calendrier de mise en œuvre en Finlande

• Adoption de la Directive : 2022
• Loi sur la cybersécurité (124/2025) ratifiée par le Président le 4 avril 2025 ; publiée au Recueil des lois de Finlande.
• Entrée en vigueur : 8 avril 2025.
• Notification à la Commission : avis motivé de la CE du 7 mai 2025 (avant promulgation) ; complétude de la notification en cours d'examen par la Commission.
• Jalons de conformité : échéance d'enregistrement 8 mai 2025 (dépassée) ; système de gestion des risques de cybersécurité requis le 8 juillet 2025 (dépassée) ; application et audits en cours.

La Finlande a achevé la transposition le 8 avril 2025. Tous les jalons initiaux de conformité — enregistrement (8 mai 2025) et mise en œuvre du système de gestion des risques (8 juillet 2025) — sont passés. La supervision et l'application actives sont en cours auprès des sept autorités sectorielles.

16. Principaux points à retenir pour les PME en Finlande

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre.
• Les petites entités peuvent être désignées si elles sont opérationnellement critiques.
• La supervision de la gouvernance au niveau du conseil est obligatoire. Note : les pouvoirs de suspension des dirigeants n'ont pas été transposés en Finlande — la responsabilité de la direction relève du droit des sociétés général.
• La notification d'incidents suit les délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les amendes sont prononcées par une commission de sanctions, et non directement par les autorités de supervision. Les entités du secteur public ne peuvent pas être sanctionnées.
• La gestion des risques fournisseurs est une obligation centrale.
• Toutes les échéances initiales sont désormais dépassées — l'enregistrement était dû le 8 mai 2025 et les systèmes de gestion des risques le 8 juillet 2025. Les entités non encore conformes doivent prioriser la remédiation immédiatement.

FAQ : Guide NIS2 pour les PME en Finlande