NIS2 & PME #2 : les 4 obligations cyber des dirigeants

Avec la direc­tive européenne NIS2, la cyber­sécu­rité change rad­i­cale­ment de statut pour les PME et les plus grandes entre­pris­es. Elle n’est plus un sim­ple défi tech­nique géré par le respon­s­able ou prestataire infor­ma­tique.

Elle devient un pili­er cen­tral de la gou­ver­nance de l’entreprise, au même titre que le développe­ment com­mer­cial, les finances ou les ressources humaines. Et qui dit gou­ver­nance, dit pilotage direct par les instances dirigeantes.

Cette évo­lu­tion régle­men­taire établit donc un lien explicite et indis­so­cia­ble entre la résilience cyber de l’or­gan­i­sa­tion et la respon­s­abil­ité juridique du dirigeant. En effet, la direc­tive con­sacre un arti­cle entier à cette nou­velle donne. Son arti­cle 20 pose les fonde­ments de la gou­ver­nance cyber.

Face à ce nou­veau par­a­digme, une ques­tion cru­ciale se pose pour les comités de direc­tion : con­crète­ment, qu’est-ce que cela implique pour un dirigeant d’être le garant de la sécu­rité numérique de sa struc­ture ?

Notre arti­cle y répond avec une lec­ture prag­ma­tique de NIS2.

Que vous soyez directe­ment soumis à la direc­tive NIS2, four­nisseur d’une entité assu­jet­tie, ou hors périmètre NIS2, cet arti­cle vous donne les clés pour com­pren­dre et anticiper les nou­velles normes de cyber­sécu­rité dans l’U­nion européenne.
Cet arti­cle fait par­tie de notre série “NIS2 & PME“. Pour clar­i­fi­er votre statut ou com­pren­dre les exi­gences de la direc­tive, vous pou­vez vous référ­er à l’article #1 : NIS2, quoi, quand, qui, com­ment ?.

Qui sont les dirigeants visés par NIS2 ?

L’article 20 de NIS2 impose que les “organes de direc­tion” vali­dent et super­visent directe­ment la ges­tion des risques cyber de l’entreprise. Par “organe de direc­tion”, la direc­tive désigne l’in­stance qui se situe au plus haut niveau d’ap­pro­ba­tion et de contrôle.

En pra­tique, selon la struc­ture juridique de votre entre­prise en France (SA, SAS, SARL), cette notion englobe générale­ment, selon nous, deux pro­fils dis­tincts :

Les mandataires sociaux

Directeur général, prési­dent, mem­bres du con­seil d’ad­min­is­tra­tion ou du direc­toire.

Les représentants légaux

Les per­son­nes ayant le pou­voir d’en­gager juridique­ment l’en­tre­prise au quo­ti­di­en (gérant, prési­dent).

La note LINARIS

On peut not­er que dans l’esprit de NIS2, les dirigeants se définis­sent par la réal­ité de leurs pou­voirs effec­tifs (représen­ta­tion, déci­sion, super­vi­sion, con­trôle) plutôt que par des inti­t­ulés de postes. Cette approche sou­ple per­met à la régle­men­ta­tion de s’adapter à la diver­sité des struc­tures juridiques et organ­i­sa­tion­nelles des entités assu­jet­ties.

Pourquoi un dirigeant ne peut-il plus déléguer la cybersécurité ?

Pour bien com­pren­dre la philoso­phie de cette direc­tive, on peut faire un par­al­lèle direct avec la ges­tion finan­cière.

En tant que chef d’en­tre­prise, vous déléguez vos fonc­tions finan­cières à des direc­tions spé­cial­isées ou des experts internes et externes. Pour­tant, c’est bien vous qui signez et approu­vez les comptes annuels, et c’est votre respon­s­abil­ité qui reste engagée face à l’ad­min­is­tra­tion ou aux tri­bunaux.

Avec NIS2, la cyber­sécu­rité adopte exacte­ment la même logique de respon­s­abil­ité. Con­crète­ment, un dirigeant ne pour­ra s’en remet­tre aveuglé­ment à un prestataire ou à son respon­s­able infor­ma­tique pour sa sécu­rité numérique. Vous pou­vez (et devez) déléguer l’exé­cu­tion des mesures de pro­tec­tion (ex. la par­tie tech­nique à l’informatique), mais vous con­servez l’oblig­a­tion et donc la respon­s­abil­ité d’arbitrer, de suiv­re et de con­trôler la tra­jec­toire.

En somme, vous êtes le pilote et vos équipes les copi­lotes de la cyber­sécu­rité.

La note LINARIS

Selon LINARIS, en plaçant la cyber­sécu­rité au som­met de la hiérar­chie, et en la ren­dant non délé­gable, NIS2 envoie un sig­nal fort aux équipes : la sécu­rité n’est plus une option négo­cia­ble, c’est une pri­or­ité stratégique.

Pour en savoir plus sur les dif­férences entre cyber­sécu­rité et infor­ma­tique, lire notre arti­cle NIS2 & PME #5 : quelles dif­férences entre cyber­sécu­rité et infor­ma­tique ?

Les 4 obligations du dirigeant

Com­ment se traduit ce rôle de pilote au quo­ti­di­en ? L’ar­ti­cle 20 de la direc­tive struc­ture l’ac­tion de la direc­tion autour de 4 oblig­a­tions majeures :

Approuver

Vous devez valid­er formelle­ment la stratégie glob­ale et les bud­gets alloués à la ges­tion des risques cyber de votre entre­prise.

Superviser

Il s’agit d’assurer un suivi réguli­er pour véri­fi­er que les mesures de cyber­sécu­rité sont bien appliquées et effi­caces.

Se former

NIS2 n’at­tend pas de vous que vous deve­niez un expert de la cyber­sécu­rité. L’ob­jec­tif est d’ac­quérir la cul­ture cyber néces­saire pour pos­er les bonnes ques­tions à vos équipes et pren­dre des déci­sions de manière infor­mée.

Répondre de la conformité

La direc­tion devient respon­s­able en cas de non-respect des règles min­i­males de sécu­rité ou de non-déc­la­ra­tion d’un inci­dent cyber majeur à l’ANSSI.

Gou­vern­er revient à inté­gr­er la cyber­sécu­rité dans votre ges­tion habituelle de l’entreprise, en faisant des points de sit­u­a­tion réguliers, et non plus unique­ment le jour où une attaque paral­yse votre pro­duc­tion.

La note LINARIS

Chez LINARIS, nous voyons l’arti­cle 20 comme un accéléra­teur de matu­rité cyber. La con­trainte régle­men­taire brise l’in­er­tie ini­tiale, l’oblig­a­tion de for­ma­tion démys­ti­fie le sujet, et cette accul­tur­a­tion trans­forme enfin la cyber­sécu­rité en un indi­ca­teur de pilotage stan­dard. C’est ain­si que l’en­tre­prise devient un mail­lon fort de la résilience col­lec­tive.

Un dirigeant peut-il être personnellement responsable ?

Qui dit oblig­a­tions de gou­ver­nance dit respon­s­abil­ité per­son­nelle pour les dirigeants qui y dérogeraient. Pour veiller à l’application de ces règles, la direc­tive intro­duit un ensem­ble de sanc­tions admin­is­tra­tives conçues pour être pro­por­tion­nées.

Voici ce que prévoit le texte de la direc­tive pour l’ensem­ble des entités régulées.

Pour toutes les entités Essentielles et Importantes

Les aver­tisse­ments et injonc­tions (arti­cle 32 et 33): Cela va de l’avertissement à l’oblig­a­tion de mise en con­for­mité sous délai, en pas­sant par la pub­lic­ité de cer­tains aspects des man­que­ments ou l’in­for­ma­tion des clients d’une cyber­at­taque impor­tante.

Les amendes admin­is­tra­tives (arti­cle 34): Elles sont indexées sur le chiffre d’af­faires mon­di­al pour être pro­por­tion­nées :

Pour les Entités Impor­tantes (EI), le pla­fond peut attein­dre 7 mil­lions d’euros ou 1,4 % du CA mon­di­al (le plus élevé des deux).

Pour les Entités Essen­tielles (EE), le pla­fond s’élève à 10 mil­lions d’euros ou 2 % du CA mon­di­al (le plus élevé des deux).

A not­er que ces mon­tants sont des pla­fonds, réservés aux man­que­ments les plus graves et répétés.

Pour les seules Entités Essentielles

En dernier recours et après épuise­ment des autres mesures, deux leviers majeurs s’ajoutent : la sus­pen­sion tem­po­raire d’une autori­sa­tion pour l’entité, et pour le dirigeant, l’inter­dic­tion tem­po­raire d’exercer des fonc­tions de direc­tion.

Concrètement pour les PME

Si vous relevez des Entités Impor­tantes (ce qui est le cas de la grande majorité des PME soumis­es à la direc­tive*), le risque d’une inter­dic­tion tem­po­raire d’ex­ercer pour le dirigeant n’est pas prévu par la direc­tive européenne.

En revanche, le risque de non-con­for­mité peut être financier et juridique selon votre sit­u­a­tion. Le risque est égale­ment répu­ta­tion­nel : la sanc­tion publique (name and shame) peut nuire durable­ment à l’im­age de votre entre­prise et bris­er la con­fi­ance de vos clients et parte­naires, dans le cadre de la sécu­rité de la chaîne d’approvisionnement**.

La note LINARIS

Cela ne sig­ni­fie pas pour autant qu’il ne faut rien faire. Au con­traire, selon la lec­ture de LINARIS, la direc­tive encour­age la proac­tiv­ité des dirigeants. En cas de cyber­at­taque, les autorités ne vous reprocheront pas d’avoir été vic­time d’un piratage, car le risque zéro n’existe pas. Elles chercheront à savoir si vous avez agi en « bon pro­fes­sion­nel »: avez-vous analysé vos risques ? Avez-vous déployé les moyens pro­por­tion­nés pour y faire face ?

Dans la même logique, il est impor­tant de rap­pel­er que comme pour toute faute de ges­tion, la respon­s­abil­ité civile ou pénale des dirigeants peut tou­jours être engagée en droit nation­al, indépen­dam­ment du cadre NIS2.

* Pour en savoir plus sur les caté­gories d’entité soumis­es à NIS2, lire notre arti­cle NIS2 & PME #1 : NIS2, quoi, quand, qui, com­ment ?
** Pour en savoir plus sur la sécu­rité de la chaîne d’approvisionnement, lire nos arti­cles
NIS2 & PME #1 : l’effet domi­no du risque four­nisseur
Risque cyber sup­ply chain #1 : com­ment vos four­nisseurs vous exposent
Risque cyber sup­ply chain #2 : quand vous exposez vos parte­naires

Par où commencer ? Les 3 premiers pas LINARIS

Voici nos trois pre­miers pas pour vous met­tre en mou­ve­ment sans atten­dre, mais sans tout révo­lu­tion­ner. Ils ne deman­dent aucune exper­tise tech­nique et vous instal­lent déjà dans la pos­ture cyber atten­due par la direc­tive :

1. Mettre la cybersécurité à l’agenda 

Il s’agit de com­mencer à par­ler de cyber dans vos instances de déci­sion de manière régulière, au même titre qu’un sujet financier ou com­mer­cial.

2.Vous appuyer sur un référent cyber

Nom­mer un référent cyber – interne ou externe – capa­ble de vous remon­ter l’état de cyber­sécu­rité de la struc­ture de façon lis­i­ble, en lan­gage de déci­sion et sans jar­gon tech­nique.

3.Vous former 

Sans devenir un expert de la tech­nique, l’en­jeu est de con­naître les mécaniques glob­ales et savoir iden­ti­fi­er les risques prin­ci­paux pour endoss­er votre rôle de pilote en toute con­fi­ance.

Le reste — savoir où vous en êtes vrai­ment, quels risques traiter en pre­mier, quel bud­get est juste pour votre activ­ité — relève d’un diag­nos­tic cyber appro­fon­di pro­pre à chaque entre­prise.

En résumé

NIS2 fait du dirigeant le garant ultime de la résilience de son organ­i­sa­tion.

À tra­vers ce rôle, la direc­tive des­sine une tra­jec­toire assez limpi­de : l’oblig­a­tion engage la respon­s­abil­ité, la respon­s­abil­ité appelle la con­nais­sance, et la con­nais­sance mène à un risque mieux appréhendé et mieux pro­tégé.

C’est pourquoi, chez LINARIS, nous pen­sons que l’exigence de gou­ver­nance cyber représente un véri­ta­ble levi­er de con­fi­ance et de com­péti­tiv­ité pour les dirigeants d’entreprises, plutôt qu’une respon­s­abil­ité lourde et obscure.

Car dans notre monde numérisé, baser ses activ­ités sur les nou­velles tech­nolo­gies de l’information ou l’IA, sans pren­dre en compte la cyber­sécu­rité, reviendrait à bâtir un immeu­ble sur du sable, sans fon­da­tions.

Auteur
Lai LY
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteurs Ser­vices Financiers

Con­tribu­teur
Stéphane HIVERT
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs Indus­trie, E‑Commerce

Prêt à endosser votre rôle de pilote cyber ?

La con­for­mité NIS2 n’est pas un pro­jet infor­ma­tique, mais un pro­jet d’en­tre­prise. Les spé­cial­istes de LINARIS vous accom­pa­g­nent pour traduire les oblig­a­tions de l’ar­ti­cle 20 en un plan d’ac­tion con­cret et adap­té à votre struc­ture.

Echang­er avec un con­seiller LINARIS

Note d’édi­tion : Pour alléger la lec­ture, le mas­culin est employé dans cet arti­cle comme genre neu­tre. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique ; nous ne faisons aucune inter­pré­ta­tion juridique ou antic­i­pa­tion de la trans­po­si­tion française (voir notre men­tion com­plète ci-dessous).

Disclaimer

Cet arti­cle est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à sa date de pub­li­ca­tion. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne saurait engager la respon­s­abil­ité de l’éditeur quant à l’exhaustivité des infor­ma­tions fournies. Les men­aces cyber et les niveaux de risque évolu­ant con­stam­ment dans le temps, toute déci­sion prise sur la base de cette lec­ture relève de la seule respon­s­abil­ité du lecteur.
 Note spé­ci­fique à la direc­tive NIS2 : Comme indiqué en intro­duc­tion, les élé­ments partagés dans cet arti­cle découlent directe­ment du texte européen (Direc­tive (UE) 2022/2555) et restent soumis aux décrets de la trans­po­si­tion française. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique. Il ne con­stitue pas un avis juridique et ne saurait en aucun cas rem­plac­er une analyse juridique per­son­nal­isée au cas par cas pour votre entre­prise.

Publications similaires