NIS2 et responsabilité personnelle des dirigeants : ce que chaque administrateur doit savoir
La plupart des réglementations en cybersécurité ciblent l'organisation. NIS2 va plus loin : elle vous cible personnellement en tant que dirigeant.
L'article 20 de la directive NIS2 place la responsabilité de la cybersécurité explicitement au niveau de l'organe de direction. Si votre organisation ne met pas en œuvre des mesures de cybersécurité adéquates, vous — en tant qu'administrateur individuel — pouvez être tenu personnellement responsable.
Que dit exactement l'article 20 ?
La NIS2 s'applique-t-elle à votre organisation ?
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼Non▼2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗La NIS2 ne s'applique pas directement à votre organisation.
Oui▼Non▼✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →✗La NIS2 ne s'applique pas directement à votre organisation.
✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'appliquePossiblement applicableNe s'applique pas
1. Approuver les mesures de gestion des risques
Le conseil doit approuver formellement les mesures de l'article 21 — politiques de sécurité, évaluations des risques, plans de réponse aux incidents et allocation des ressources.
2. Superviser la mise en œuvre
L'approbation seule ne suffit pas. Le conseil doit activement surveiller que les mesures approuvées sont effectivement mises en œuvre.
3. Être personnellement responsable
Si l'organisation ne respecte pas les obligations NIS2, les dirigeants individuels peuvent être tenus personnellement responsables : amendes personnelles, interdiction temporaire de fonctions de direction, divulgation publique.
4. Suivre une formation en cybersécurité
Les dirigeants doivent suivre une formation pour identifier les risques et évaluer l'adéquation des mesures en place.
Pourquoi est-ce différent des autres réglementations ?
| RGPD | NIS2 | |
|---|---|---|
| Qui est responsable ? | L'organisation | L'organisation et les dirigeants individuels |
| Conséquences personnelles ? | Rarement | Explicitement prévu |
| Formation des dirigeants ? | Non requis | Oui — obligatoire |
| Supervision active ? | Implicite | Explicitement requise |
Sanctions
Pour l'organisation
- Entités essentielles : jusqu'à 10 M€ ou 2% du CA mondial
- Entités importantes : jusqu'à 7 M€ ou 1,4% du CA mondial
Pour les dirigeants individuels
- Amendes personnelles — distinctes des amendes d'entreprise
- Interdiction temporaire d'exercer des fonctions de direction
- Atteinte à la réputation — divulgation publique
- Responsabilité civile — poursuites possibles par les actionnaires
La défense « je ne savais pas » ne fonctionne pas
NIS2 exige explicitement formation et supervision active. L'ignorance n'est pas une défense viable.
Ce que les dirigeants doivent faire maintenant
- Comprendre vos obligations — articles 20 et 21 de la directive NIS2
- Évaluer la situation actuelle — quelles mesures de l'article 21 sont en place ?
- Suivre une formation en cybersécurité — non optionnel sous NIS2
- Formaliser la supervision — rapports réguliers de cybersécurité au conseil
- Approuver les politiques de sécurité — point permanent à l'ordre du jour
- Allouer des ressources suffisantes — budget insuffisant = responsabilité partagée
- Tout documenter — décisions du conseil, formations, mesures mises en œuvre
- Surveiller les risques de la chaîne — comprendre les dépendances clés
Commencez par un quickscan NIS2 gratuit
Notre quickscan NIS2 gratuit évalue votre préparation sur les 10 catégories de mesures de l'article 21. Partagez les résultats avec votre conseil d'administration.