NIS2 en Suède

1. Aperçu rapide de l’applicabilité aux PME en Suède

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Suède ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Suède et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché suédois.

Les PME devraient évaluer leur éligibilité au regard du cadre national de cybersécurité de la Suède, en fonction de la classification sectorielle et des seuils fixés par la loi.

2. Aperçu de la mise en œuvre de NIS2 en Suède

La Suède a achevé la transposition de la NIS2 avec la Cybersäkerhetslagen (loi sur la cybersécurité, SFS 2025:1506), adoptée par le Riksdag le 10 décembre 2025 et en vigueur depuis le 15 janvier 2026. La nouvelle loi remplace l'Information Security Act (2018:1174) ; la Cybersäkerhetsförordningen a été publiée en parallèle.

La Suède a manqué l'échéance de transposition du 17 octobre 2024 et a reçu un avis motivé de la Commission européenne le 7 mai 2025, résolu après l'adoption. La loi applique une approche « entité entière » et un modèle de supervision décentralisé : MSB (renommée MCF — Myndigheten för civilt försvar, Agence suédoise de défense civile et de résilience — depuis le 1er janvier 2026) agit comme coordinateur national, point de contact unique de l'UE et CSIRT national, tandis que PTS corégule les secteurs numériques aux côtés des autorités sectorielles.

La formation obligatoire des dirigeants est une obligation sanctionnable, les prestataires de services de confiance doivent notifier en 24 heures (et non 72) et les entités devaient s'enregistrer avant le 16 février 2026 (délai expiré) ; le portail de notification MSB/MCF a été lancé le 2 février 2026. Toutes les obligations NIS2 s'appliquent depuis le 15 janvier 2026 sans période de grâce générale.

3. Champ d'application en Suède

Le champ d'application en Suède reflète les catégories sectorielles minimales de la Directive, sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Suède

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts sont automatiquement incluses dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités suédoises conservent le pouvoir formel de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Suède

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi de conformité structuré.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifient une surveillance renforcée.

La Suède suit la structure de supervision à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en Suède

Le régime national de la Suède s'aligne sur le socle de la directive pour la gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement selon NIS2 en Suède
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes à l'état de l'art ainsi que l'exposition aux risques de l'organisation. L'alignement avec ISO/IEC 27001 et les orientations suédoises en matière de cybersécurité est encouragé.

7. Responsabilité des dirigeants et gouvernance en Suède

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Dans le cadre suédois:

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction générale doit garantir une compétence suffisante en matière de cybersécurité. En vertu de la Cybersäkerhetslagen, la formation des dirigeants aux mesures de sécurité est une obligation sanctionnable — les personnes associées à la direction doivent suivre une formation aux mesures de gestion des risques de cybersécurité.
• Des sanctions administratives peuvent être appliquées en cas de défaillances de gouvernance.
• Les membres des organes de direction d'entités essentielles peuvent, dans certaines situations, faire l'objet d'une interdiction temporaire d'exercer des fonctions de direction à titre de mesure d'exécution.

Les attentes de la Suède en matière de responsabilité des dirigeants au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau de la direction.

8. Obligations de notification des incidents en Suède

9. Autorités de contrôle et modèle d'application en Suède

MSB (Myndigheten för samhällsskydd och beredskap) agit comme coordinateur national, point de contact unique de l'UE et CSIRT national ; renommée MCF (Myndigheten för civilt försvar — Agence suédoise de défense civile et de résilience) depuis le 1er janvier 2026. MSB/MCF est l'autorité désignée pour la réception des notifications d'incidents significatifs dans la plupart des secteurs.

La Suède applique un modèle de supervision décentralisé ; les autorités sectorielles supervisent les entités de leur secteur. PTS (Post- och telestyrelsen — Agence suédoise des postes et télécommunications) édicte la réglementation et supervise l'infrastructure numérique, les fournisseurs numériques, la gestion des services TIC (B2B), le spatial et les services postaux et de courrier. MSB/MCF couvre la plupart des autres secteurs ; certains secteurs peuvent disposer d'autorités de supervision supplémentaires désignées.

Les pouvoirs de contrôle comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions contraignantes en matière de conformité
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application s'aligne sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Sweden

Sweden applique des sanctions administratives conformes à la directive.

L'application des amendes NIS2 en Suède peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension des autorisations ou certifications
• Interdiction temporaire d'exercer des fonctions de direction (pour les membres d'organes de direction d'entités essentielles, dans certaines situations)

Jusqu'à 7 millions d'€ ou 1,4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Suède

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers par les moyens suivants :

• Évaluations des risques fournisseurs
• Dispositions contractuelles de déclinaison des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de Sweden s'aligne sur les attentes de base de la Directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Sweden

Les entités relevant du champ d'application doivent :

• S'enregistrer auprès de l'autorité sectorielle de supervision compétente — MSB/MCF pour la plupart des secteurs, ou PTS pour l'infrastructure numérique, les fournisseurs numériques, la gestion des services TIC (B2B), le spatial et les services postaux et de courrier. L'enregistrement doit intervenir dès que possible à partir du 15 janvier 2026 ; le délai initial d'enregistrement pour les entités dans le champ était le 16 février 2026 (désormais expiré). Le portail de notification MSB/MCF a été lancé le 2 février 2026.
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle — l'autorité de supervision utilise les informations d'enregistrement pour classer les entités comme essentielles ou importantes
• Tenir à jour les contacts de notification

La Cybersäkerhetslagen applique une approche d'entité entière : si une entité est dans le champ, la conformité s'applique à l'ensemble de son empreinte informatique. Des règlements complémentaires de MSB/MCF et PTS (notification, mesures de sécurité, formation, notification d'incidents) ont été publiés à partir du 15 janvier 2026, d'autres règlements étant attendus jusqu'à la fin du premier trimestre 2026.

L'auto-identification est obligatoire. Les entités qui n'ont pas respecté le délai d'enregistrement du 16 février 2026 doivent agir immédiatement, car l'enregistrement est une obligation sanctionnable.

13. Interaction avec le GDPR et d'autres lois en Suède

The General Data Protection Regulation continue de s'appliquer parallèlement.

Les considérations de chevauchement comprennent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Suède sont supervisées par les autorités suédoises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Suède peuvent être soumis à des obligations nationales en fonction de leur structure d'établissement.

Les obligations de représentation suivent les normes de la directive pour les prestataires non-UE opérant sur le marché suédois.

15. Calendrier de mise en œuvre en Suède

• Adoption de la Directive : 2022
• Modifications législatives nationales : Cybersäkerhetslagen (SFS 2025:1506) adoptée par le Riksdag le 10 décembre 2025 ; Cybersäkerhetsförordningen publiée en parallèle ; remplace la loi 2018:1174
• Entrée en vigueur : 15 janvier 2026, avec des règlements complémentaires effectifs à la même date
• Notification à la Commission : Avis motivé de la CE du 7 mai 2025 ; résolu après l'adoption et l'entrée en vigueur
• Jalon de conformité : Délai d'enregistrement 16 février 2026 (expiré) ; toutes les obligations s'appliquent immédiatement à partir du 15 janvier 2026 sans période de grâce générale ; portail de notification MSB/MCF lancé le 2 février 2026

La Suède a achevé sa transposition NIS2 le 15 janvier 2026 après avoir manqué l'échéance européenne. Toutes les obligations s'appliquent immédiatement sans période de grâce. Le délai d'enregistrement du 16 février 2026 est expiré — les entités non encore enregistrées doivent agir immédiatement.

16. Points clés pour les PME en Suède

• Les entités moyennes dans les secteurs couverts entrent automatiquement dans le champ. La Cybersäkerhetslagen est en vigueur depuis le 15 janvier 2026 et applique une approche d'entité entière.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision au niveau du conseil est obligatoire. La formation des dirigeants aux mesures de sécurité est une obligation sanctionnable, et les membres des organes de direction d'entités essentielles peuvent être soumis à une interdiction temporaire d'exercer des fonctions de direction.
• La notification des incidents suit les délais de 24h / 72h / 1 mois, avec des rapports adressés à MSB/MCF (ou à l'autorité sectorielle compétente). Les prestataires de services de confiance doivent transmettre à la fois l'alerte précoce et la notification d'incident dans un délai de 24 heures.
• Les sanctions financières peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est obligatoire.
• Le délai d'enregistrement du 16 février 2026 est expiré — enregistrez-vous immédiatement auprès de l'autorité de supervision compétente (MSB/MCF pour la plupart des secteurs ; PTS pour les secteurs numériques). Toutes les obligations s'appliquent depuis le 15 janvier 2026 sans période de grâce, et des règlements complémentaires continuent d'être publiés et doivent être suivis.

FAQ : Guide NIS2 pour les PME en Suède