Le transfert de responsabilité que personne n'avait anticipé
La plupart des réglementations en matière de cybersécurité sanctionnent l'entreprise. Les amendes frappent l'entité. Les mesures d'exécution visent la personne morale. NIS2 rompt avec ce schéma. Les articles 20 et 32 introduisent une responsabilité directe et personnelle pour les membres des organes de direction des entités essentielles et importantes.
Cela signifie que le PDG, le directeur technique, les membres du conseil d'administration et les directeurs généraux des entreprises concernées peuvent être tenus individuellement responsables des manquements en matière de cybersécurité. Pas l'entreprise. Eux.
Les lois de transposition nationales dans les États membres de l'UE sont désormais en vigueur. La loi allemande de mise en œuvre de NIS2 (NIS2UmsuCG), la loi belge NIS2 et d'autres textes ont codifié ces dispositions en droit national applicable. Comme nous l'avons exposé dans notre présentation des calendriers d'application de NIS2 et des premières étapes de mise en conformité, ce n'est plus une directive sur le papier.
Ce que disent réellement les dispositions légales
L'article 20(1) exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par leur organisation et supervisent leur mise en œuvre. Les membres de la direction peuvent être tenus responsables des infractions.
L'article 20(2) impose aux membres des organes de direction de suivre des formations afin d'acquérir les connaissances et compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité.
L'article 32(5) confère aux autorités compétentes le pouvoir de demander la suspension temporaire de certifications ou d'autorisations pour les entités essentielles — et de demander une interdiction temporaire faite à toute personne physique d'exercer des fonctions de direction au niveau du PDG ou du représentant légal.
Le mot « temporaire » porte ici un poids considérable. Une interdiction temporaire d'exercer des fonctions de direction est une mesure d'exécution qui peut briser une carrière.
Comment la responsabilité se transfère de l'entreprise à l'individu
La chaîne est simple :
- L'entité doit mettre en œuvre des mesures de gestion des risques de cybersécurité (article 21)
- Les organes de direction doivent approuver et superviser ces mesures (article 20)
- En cas de manquement de l'entité, les autorités compétentes ouvrent une enquête
- Si le manquement résulte d'une négligence de la direction, les autorités peuvent engager une responsabilité personnelle
- En cas de négligence grave avérée, des interdictions temporaires d'exercer des fonctions de direction deviennent applicables
Le lien déterminant est celui entre « approbation et supervision » et « manquement ». Si la direction a validé un programme de cybersécurité sans le comprendre, sans allouer de ressources ou sans donner suite aux lacunes identifiées — c'est là que se situe le déclencheur de responsabilité.
Ce que signifie concrètement la « négligence grave »
NIS2 ne définit pas la négligence grave en détail. Les lois nationales appliquent leurs propres critères. Mais dans les juridictions de l'UE, la négligence grave dans un contexte de gouvernance d'entreprise désigne généralement :
- L'ignorance de risques connus — Vous avez été informé d'une vulnérabilité ou d'une lacune et n'avez rien fait
- L'absence d'allocation de ressources — Le budget cybersécurité a été réduit à zéro ou quasi-zéro malgré des risques identifiés
- L'absence de structure de supervision — La direction n'a jamais examiné, questionné ni remis en cause les rapports de cybersécurité
- L'absence de formation — Les membres des organes de direction n'ont jamais suivi de formation en cybersécurité comme l'exige l'article 20(2)
- La délégation sans vérification — Confier la cybersécurité à un subordonné sans jamais contrôler les résultats
Le critère n'est pas la perfection. Aucun régulateur n'attend zéro incident. Le critère est le suivant : la direction a-t-elle pris des mesures raisonnables, proportionnées au risque, et a-t-elle activement supervisé les résultats ?
NIS2 vs GDPR : comparaison des responsabilités personnelles
Les dirigeants déjà familiarisés avec le GDPR supposent souvent que NIS2 fonctionne de la même manière. Ce n'est pas le cas.
| Dimension | GDPR | NIS2 |
|---|---|---|
| Cible principale de la responsabilité | Le responsable du traitement/sous-traitant (l'entité) | L'entité ET les organes de direction à titre personnel |
| Responsabilité personnelle des dirigeants | Indirecte — uniquement via le droit des sociétés national | Directe — les articles 20 et 32(5) désignent explicitement les organes de direction |
| Interdiction temporaire de direction | Non disponible comme outil d'exécution | Disponible pour les entités essentielles en vertu de l'article 32(5) |
| Amendes maximales (entité) | Jusqu'à 20 M EUR ou 4 % du chiffre d'affaires mondial | Jusqu'à 10 M EUR ou 2 % du chiffre d'affaires mondial (entités essentielles) |
| Obligation de formation pour la direction | Aucune exigence spécifique | Obligatoire en vertu de l'article 20(2) |
| Obligation de supervision | Implicite via le principe de responsabilité | Explicite — la direction doit approuver et superviser les mesures |
| Variation nationale | Élevée (l'interprétation varie) | Élevée (la transposition varie, mais la responsabilité personnelle figure dans le texte de la directive) |
La différence clé : les amendes GDPR frappent le bilan de l'entreprise. L'exécution de NIS2 peut frapper directement la carrière du dirigeant.
Ce que la direction doit faire pour démontrer sa diligence raisonnable
La diligence raisonnable au titre de NIS2 n'est pas une case à cocher une seule fois. C'est une obligation continue. Les organes de direction doivent :
- Suivre des formations en cybersécurité — Documentées, récurrentes et adaptées à votre secteur. Les modules génériques de « sensibilisation » sont insuffisants.
- Approuver formellement le cadre de gestion des risques — Les procès-verbaux du conseil d'administration doivent consigner l'approbation des mesures de cybersécurité, la justification retenue et les éventuelles positions dissidentes.
- Examiner régulièrement la posture de cybersécurité — Au minimum trimestriellement. Pas une présentation annuelle.
- Allouer des ressources proportionnées — Les décisions budgétaires doivent être documentées. Si un CISO demande un financement et se le voit refuser, ce refus est susceptible d'être produit en preuve.
- Établir des lignes de reporting claires — Qui rend compte de l'état de la cybersécurité au conseil d'administration ? À quelle fréquence ? Qu'est-ce qui déclenche une escalade ?
- Tester la réponse aux incidents — La direction doit participer à des exercices de simulation ou les observer au moins une fois par an.
- Auditer les risques liés aux tiers et à la chaîne d'approvisionnement — L'article 21 inclut la sécurité de la chaîne d'approvisionnement. La direction doit superviser les évaluations des risques fournisseurs.
Quelle documentation protège les dirigeants
En cas de mesure d'exécution, la question est la suivante : pouvez-vous démontrer que la direction a pris son obligation de supervision au sérieux ? La documentation ci-dessous constitue un dossier défendable :
- Procès-verbaux du conseil d'administration montrant que la cybersécurité était un point récurrent à l'ordre du jour, avec des discussions de fond
- Relevés de formation pour tous les membres des organes de direction, incluant les dates, les thèmes et les prestataires
- Rapports d'évaluation des risques présentés à la direction et pris en compte par elle
- Relevés d'allocation budgétaire attestant d'un investissement en cybersécurité proportionné au risque
- Résultats des tests de réponse aux incidents examinés par la direction
- Constats d'audit et suivi des remédiations montrant que les lacunes identifiées ont été traitées dans un délai défini
- Documentation des évaluations des risques fournisseurs couvrant les partenaires critiques de la chaîne d'approvisionnement
Rien de tout cela n'exige que la direction devienne experte en sécurité informatique. Cela exige qu'elle gouverne — qu'elle pose des questions, alloue des ressources et assure un suivi.
Ce que les directions générales et les conseils d'administration doivent retenir
NIS2 traite la gouvernance de la cybersécurité comme les réglementations financières traitent le devoir fiduciaire. Vous ne pouvez pas invoquer l'ignorance. Vous ne pouvez pas déléguer entièrement sans supervision. Et si les choses tournent mal parce que vous avez failli à votre rôle de gouvernance, les conséquences vous atteignent personnellement.
Les dirigeants qui seront protégés ne sont pas ceux qui disposent des budgets sécurité les plus importants. Ce sont ceux qui peuvent démontrer — preuves à l'appui — qu'ils ont compris les risques, pris des décisions éclairées, alloué des ressources raisonnables et maintenu une supervision active. Commencez à constituer ce dossier dès maintenant.
Pour davantage de ressources NIS2, des options de déploiement souverain et des guides de conformité, consultez le hub NIS2 Compliance for On-Premise OT.
