NIS2 & PME #2 : les 4 obligations cyber des dirigeants
Avec la directive européenne NIS2, la cybersécurité change radicalement de statut pour les PME et les plus grandes entreprises. Elle n’est plus un simple défi technique géré par le responsable ou prestataire informatique.
Elle devient un pilier central de la gouvernance de l’entreprise, au même titre que le développement commercial, les finances ou les ressources humaines. Et qui dit gouvernance, dit pilotage direct par les instances dirigeantes.
Cette évolution réglementaire établit donc un lien explicite et indissociable entre la résilience cyber de l’organisation et la responsabilité juridique du dirigeant. En effet, la directive consacre un article entier à cette nouvelle donne. Son article 20 pose les fondements de la gouvernance cyber.
Face à ce nouveau paradigme, une question cruciale se pose pour les comités de direction : concrètement, qu’est-ce que cela implique pour un dirigeant d’être le garant de la sécurité numérique de sa structure ?
Notre article y répond avec une lecture pragmatique de NIS2.
Que vous soyez directement soumis à la directive NIS2, fournisseur d’une entité assujettie, ou hors périmètre NIS2, cet article vous donne les clés pour comprendre et anticiper les nouvelles normes de cybersécurité dans l’Union européenne.
Cet article fait partie de notre série “NIS2 & PME“. Pour clarifier votre statut ou comprendre les exigences de la directive, vous pouvez vous référer à l’article #1 : NIS2, quoi, quand, qui, comment ?.
Qui sont les dirigeants visés par NIS2 ?
L’article 20 de NIS2 impose que les “organes de direction” valident et supervisent directement la gestion des risques cyber de l’entreprise. Par “organe de direction”, la directive désigne l’instance qui se situe au plus haut niveau d’approbation et de contrôle.
En pratique, selon la structure juridique de votre entreprise en France (SA, SAS, SARL), cette notion englobe généralement, selon nous, deux profils distincts :
Les mandataires sociaux
Directeur général, président, membres du conseil d’administration ou du directoire.
Les représentants légaux
Les personnes ayant le pouvoir d’engager juridiquement l’entreprise au quotidien (gérant, président).
Pourquoi un dirigeant ne peut-il plus déléguer la cybersécurité ?
Pour bien comprendre la philosophie de cette directive, on peut faire un parallèle direct avec la gestion financière.
En tant que chef d’entreprise, vous déléguez vos fonctions financières à des directions spécialisées ou des experts internes et externes. Pourtant, c’est bien vous qui signez et approuvez les comptes annuels, et c’est votre responsabilité qui reste engagée face à l’administration ou aux tribunaux.
Avec NIS2, la cybersécurité adopte exactement la même logique de responsabilité. Concrètement, un dirigeant ne pourra s’en remettre aveuglément à un prestataire ou à son responsable informatique pour sa sécurité numérique. Vous pouvez (et devez) déléguer l’exécution des mesures de protection (ex. la partie technique à l’informatique), mais vous conservez l’obligation et donc la responsabilité d’arbitrer, de suivre et de contrôler la trajectoire.
En somme, vous êtes le pilote et vos équipes les copilotes de la cybersécurité.
Pour en savoir plus sur les différences entre cybersécurité et informatique, lire notre article NIS2 & PME #5 : quelles différences entre cybersécurité et informatique ?
Les 4 obligations du dirigeant
Comment se traduit ce rôle de pilote au quotidien ? L’article 20 de la directive structure l’action de la direction autour de 4 obligations majeures :
Approuver
Vous devez valider formellement la stratégie globale et les budgets alloués à la gestion des risques cyber de votre entreprise.
Superviser
Il s’agit d’assurer un suivi régulier pour vérifier que les mesures de cybersécurité sont bien appliquées et efficaces.
Se former
NIS2 n’attend pas de vous que vous deveniez un expert de la cybersécurité. L’objectif est d’acquérir la culture cyber nécessaire pour poser les bonnes questions à vos équipes et prendre des décisions de manière informée.
Répondre de la conformité
La direction devient responsable en cas de non-respect des règles minimales de sécurité ou de non-déclaration d’un incident cyber majeur à l’ANSSI.
Gouverner revient à intégrer la cybersécurité dans votre gestion habituelle de l’entreprise, en faisant des points de situation réguliers, et non plus uniquement le jour où une attaque paralyse votre production.
Un dirigeant peut-il être personnellement responsable ?
Qui dit obligations de gouvernance dit responsabilité personnelle pour les dirigeants qui y dérogeraient. Pour veiller à l’application de ces règles, la directive introduit un ensemble de sanctions administratives conçues pour être proportionnées.
Voici ce que prévoit le texte de la directive pour l’ensemble des entités régulées.
Pour toutes les entités Essentielles et Importantes
Les avertissements et injonctions (article 32 et 33): Cela va de l’avertissement à l’obligation de mise en conformité sous délai, en passant par la publicité de certains aspects des manquements ou l’information des clients d’une cyberattaque importante.
Les amendes administratives (article 34): Elles sont indexées sur le chiffre d’affaires mondial pour être proportionnées :
Pour les Entités Importantes (EI), le plafond peut atteindre 7 millions d’euros ou 1,4 % du CA mondial (le plus élevé des deux).
Pour les Entités Essentielles (EE), le plafond s’élève à 10 millions d’euros ou 2 % du CA mondial (le plus élevé des deux).
A noter que ces montants sont des plafonds, réservés aux manquements les plus graves et répétés.
Pour les seules Entités Essentielles
En dernier recours et après épuisement des autres mesures, deux leviers majeurs s’ajoutent : la suspension temporaire d’une autorisation pour l’entité, et pour le dirigeant, l’interdiction temporaire d’exercer des fonctions de direction.
Concrètement pour les PME
Si vous relevez des Entités Importantes (ce qui est le cas de la grande majorité des PME soumises à la directive*), le risque d’une interdiction temporaire d’exercer pour le dirigeant n’est pas prévu par la directive européenne.
En revanche, le risque de non-conformité peut être financier et juridique selon votre situation. Le risque est également réputationnel : la sanction publique (name and shame) peut nuire durablement à l’image de votre entreprise et briser la confiance de vos clients et partenaires, dans le cadre de la sécurité de la chaîne d’approvisionnement**.
* Pour en savoir plus sur les catégories d’entité soumises à NIS2, lire notre article NIS2 & PME #1 : NIS2, quoi, quand, qui, comment ?
** Pour en savoir plus sur la sécurité de la chaîne d’approvisionnement, lire nos articles
NIS2 & PME #1 : l’effet domino du risque fournisseur
Risque cyber supply chain #1 : comment vos fournisseurs vous exposent
Risque cyber supply chain #2 : quand vous exposez vos partenaires
Par où commencer ? Les 3 premiers pas LINARIS
Voici nos trois premiers pas pour vous mettre en mouvement sans attendre, mais sans tout révolutionner. Ils ne demandent aucune expertise technique et vous installent déjà dans la posture cyber attendue par la directive :
1. Mettre la cybersécurité à l’agenda
Il s’agit de commencer à parler de cyber dans vos instances de décision de manière régulière, au même titre qu’un sujet financier ou commercial.
2.Vous appuyer sur un référent cyber
Nommer un référent cyber – interne ou externe – capable de vous remonter l’état de cybersécurité de la structure de façon lisible, en langage de décision et sans jargon technique.
3.Vous former
Sans devenir un expert de la technique, l’enjeu est de connaître les mécaniques globales et savoir identifier les risques principaux pour endosser votre rôle de pilote en toute confiance.
Le reste — savoir où vous en êtes vraiment, quels risques traiter en premier, quel budget est juste pour votre activité — relève d’un diagnostic cyber approfondi propre à chaque entreprise.
En résumé
NIS2 fait du dirigeant le garant ultime de la résilience de son organisation.
À travers ce rôle, la directive dessine une trajectoire assez limpide : l’obligation engage la responsabilité, la responsabilité appelle la connaissance, et la connaissance mène à un risque mieux appréhendé et mieux protégé.
C’est pourquoi, chez LINARIS, nous pensons que l’exigence de gouvernance cyber représente un véritable levier de confiance et de compétitivité pour les dirigeants d’entreprises, plutôt qu’une responsabilité lourde et obscure.
Car dans notre monde numérisé, baser ses activités sur les nouvelles technologies de l’information ou l’IA, sans prendre en compte la cybersécurité, reviendrait à bâtir un immeuble sur du sable, sans fondations.
Auteur
Lai LY
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteurs Services Financiers
Contributeur
Stéphane HIVERT
Spécialiste Cybersécurité PME
Spécialiste Secteurs Industrie, E‑Commerce
Prêt à endosser votre rôle de pilote cyber ?
La conformité NIS2 n’est pas un projet informatique, mais un projet d’entreprise. Les spécialistes de LINARIS vous accompagnent pour traduire les obligations de l’article 20 en un plan d’action concret et adapté à votre structure.
Echanger avec un conseiller LINARIS
Note d’édition : Pour alléger la lecture, le masculin est employé dans cet article comme genre neutre. Ce contenu a une vocation purement pédagogique et pragmatique ; nous ne faisons aucune interprétation juridique ou anticipation de la transposition française (voir notre mention complète ci-dessous).
Disclaimer
Cet article est fourni à titre informatif uniquement et reflète l’opinion de son auteur à sa date de publication. Il ne constitue pas un avis juridique ou réglementaire et ne saurait engager la responsabilité de l’éditeur quant à l’exhaustivité des informations fournies. Les menaces cyber et les niveaux de risque évoluant constamment dans le temps, toute décision prise sur la base de cette lecture relève de la seule responsabilité du lecteur.
Note spécifique à la directive NIS2 : Comme indiqué en introduction, les éléments partagés dans cet article découlent directement du texte européen (Directive (UE) 2022/2555) et restent soumis aux décrets de la transposition française. Ce contenu a une vocation purement pédagogique et pragmatique. Il ne constitue pas un avis juridique et ne saurait en aucun cas remplacer une analyse juridique personnalisée au cas par cas pour votre entreprise.
