Le Règlement (UE) 2023/1230 sur les machines impose de nouvelles exigences aux fabricants et aux exploitants – non seulement sur le plan technique, mais de plus en plus en matière de cybersécurité. Pour les entreprises suisses, le règlement est pertinent: la Suisse vise une mise en œuvre simultanée et équivalente afin de garantir l’accès au marché de l’UE (Swissmem).
Du NIST-Assessment à la conformité NIS2: pourquoi la cybersécurité est centrale pour la sécurité des machines
Dans la première partie de cette série, nous avons esquissé les principes du Règlement européen sur les machines et mentionné les conséquences juridiques attendues pour les fabricants suisses. Dans la deuxième partie, nous nous concentrons sur les interfaces entre exigences classiques applicables aux machines et exigences cyber modernes: comment une évaluation basée sur NIST conduit-elle à une conformité NIS2 praticable – et quel rôle cela joue-t-il pour respecter le nouveau règlement sur les machines?
En bref: Un NIST-Assessment fournit un état des lieux structuré des mesures de protection techniques et organisationnelles. Cette base aide à mettre en œuvre les exigences NIS2 – par exemple en matière de gouvernance, de gestion des risques et de contrôle de la chaîne d’approvisionnement. Pour les machines avec des composants connectés, il en résulte des exigences concrètes pour sécuriser le firmware, des processus de mise à jour sûrs et des contrôles d’accès, qui relèvent également des exigences de conformité du nouveau règlement.
1. NIST-Assessment: fondement pour l’intégrité technique et la sécurité des processus
Un assessment selon le framework NIST (p. ex. NIST CSF) n’est pas une fin en soi, mais un instrument pragmatique pour mesurer les niveaux de maturité: identification, protection, détection des incidents, réponse et rétablissement. Ces domaines correspondent directement aux exigences applicables aux machines, telles que la conception sécurisée, le développement sécurisé des logiciels/firmwares et la traçabilité des changements. Les fabricants devraient utiliser l’assessment pour:
– inventorier les surfaces d’attaque des contrôleurs connectés (PLC, modules IIoT);
– cartographier les dépendances vis-à-vis des fournisseurs et des composants;
– définir des processus pour des mises à jour et un patch management sécurisés;
– fixer les responsabilités tout au long des cycles de vie des produits.
2. NIS2: obligations renforcées de gouvernance et de notification pour les opérateurs de services numériques
La directive européenne NIS2 (déjà au centre de discussions d’implémentation intenses) durcit les exigences en matière de cybersécurité, de notification d’incidents et de gouvernance. Pour les fabricants de machines et les exploitants d’installations critiques, cela signifie: les mesures techniques doivent être accompagnées de processus de gouvernance clairs. Un assessment basé sur NIST met en évidence les lacunes techniques; NIS2 exige en plus des voies décisionnelles documentées, des responsabilités au niveau de la direction et des processus de notification des incidents significatifs aux autorités.
Pour la Suisse, la proximité avec l’UE est particulièrement pertinente: une mise en œuvre simultanée du Règlement sur les machines est visée, afin de préserver l’équivalence juridique et de ne pas compromettre l’accès au marché (Swissmem: Transition).
3. Chevauchements concrets: ce que cela implique pour les machines
Le lien entre NIST-Assessment et conformité NIS2 se manifeste par des exigences concrètes, qui se reflètent également dans le Règlement européen sur les machines:
– Secure-by-Design: preuve que les produits sont conçus contre l’abus et la manipulation (y compris les attaques cyber-physiques);
– Intégrité logicielle/firmware: concepts pour la signature, des processus de démarrage sécurisé et des chaînes de mise à jour contrôlées;
– Transparence de la chaîne d’approvisionnement: origine traçable des composants et évaluations de sécurité des fournisseurs;
– Gestion des incidents: processus de détection, de notification et de rétablissement, qui concernent tant les responsables produit que les exploitants.
Ces aspects correspondent aux recommandations et points de discussion sur les pages d’information suisses consacrées au nouveau règlement, par exemple auprès du Secrétariat d’État à l’économie (SECO: Machines) et des associations professionnelles (Swissmem).
4. Étapes pratiques pour les CISOs et les fabricants
Pour les CISOs et responsables de la sécurité, une feuille de route pragmatique s’impose, qui relie les principes NIST aux exigences NIS2 et à celles du Règlement sur les machines:
1) Scope & Inventory: établissez un inventaire complet des machines connectées et de leurs voies de communication. Sans cette étape, les assessments restent incomplets.
2) Priorisation basée sur les risques: utilisez les résultats du NIST-Assessment pour prioriser les composants critiques (p. ex. contrôleurs, HMI, interfaces d’accès à distance).
3) Secure Development Lifecycle: ancrez les exigences de sécurité dans le développement produit et documentez-les comme partie du dossier de conformité.
4) Supplier Risk Management: mettez en place des évaluations fournisseurs et des clauses contractuelles relatives à la responsabilité en matière de sécurité.
5) Incident Response & Reporting: instituez des processus couvrant à la fois les obligations de notification NIS2 et les exigences de notification liées aux produits.
6) Documentation pour la conformité: préparez une documentation technique qui adresse les exigences du Règlement sur les machines (évaluation des risques, dossiers techniques, notices d’utilisation avec informations de sécurité).
Des informations spécialisées supplémentaires sur la mise en œuvre pratique sont disponibles dans des contributions et des événements consacrés au nouveau règlement et à la sécurité des machines (IBF Solutions, SAVE: Maschinensicherheit 2025).
5. Accès au marché: implications juridiques et pratiques pour la Suisse
La Suisse prévoit certes une mise en œuvre équivalente, mais la coordination internationale demeure décisive. Tant que l’Accord de reconnaissance mutuelle (ARM/MRA) avec l’UE n’est pas actualisé, des obstacles bureaucratiques supplémentaires peuvent surgir pour les fabricants suisses exportant vers l’UE. Cela accroît la pression pour tenir une documentation technique irréprochable, des preuves de tests de sécurité ainsi que des processus de mise à jour et des évaluations de sécurité et de risques rigoureux (Administration fédérale).
Pour le conseil d’administration et la direction générale, cela signifie: la conformité n’est pas seulement une question technique, mais une anticipation stratégique. Des lacunes dans la gestion des risques peuvent influer directement sur la capacité d’exportation et les risques de responsabilité.
Conclusion
Un NIST-Assessment constitue une entrée pragmatique pour identifier les lacunes de sécurité techniques et organisationnelles. NIS2 complète cet effort par des obligations de gouvernance, de notification et de chaîne d’approvisionnement, pertinentes pour les machines connectées. Le Règlement européen sur les machines exige en outre des preuves techniques et une documentation difficilement réalisables sans un alignement étroit entre cybersécurité et développement produit. Pour les entreprises suisses, bâtir activement le pont entre NIST, NIS2 et règlement sur les machines garantit non seulement la conformité, mais aussi les opportunités de marché dans l’UE.
Prochaines étapes (Part 3)
Dans la troisième partie de cette série, nous aborderons en détail la mise en œuvre en Suisse: exigences concrètes pour la documentation d’exportation, ajustements dans le développement produit et recommandations d’action pour le conseil d’administration et le CEO. As discussed in Part 1, nous avons posé les bases – dans la Part 3, nous présenterons les étapes opérationnelles pour sécuriser l’accès au marché.
Key Take-away – l’intégration est impérative
Ancrez la cybersécurité dans le cycle de vie du produit: réalisez des NIST-Assessments, mettez en place des processus de gouvernance compatibles NIS2 et documentez les preuves techniques pour le Règlement (UE) sur les machines. Utilisez les ressources d’information et les événements spécialisés pour harmoniser les pratiques (Maschinenrichtlinie Newsletter, NSBIV Merkblatt).
