norppa.io
Guides

Guide NIS2 · 7 min

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

NIS2 fait ce que les règles de cybersécurité antérieures ne faisaient guère : elle place la cybersécurité explicitement sur le bureau de l'organe de direction. La direction doit approuver les mesures de gestion des risques, les superviser, et peut être tenue personnellement responsable en cas de défaillance. Ce guide explique ce que la directive attend des conseils et des dirigeants, les questions à poser à votre équipe de sécurité, à quoi ressemble un bon reporting, et le coût de l'erreur.

Points clés

  • Les organes de direction doivent approuver et superviser les mesures de gestion des risques cyber — et peuvent être tenus responsables des manquements (art. 20).
  • La direction doit suivre une formation en cybersécurité ; l'obligation ne peut être entièrement déléguée à l'informatique.
  • Les sanctions atteignent 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les importantes (art. 34).
  • Le conseil doit attendre un reporting concis et fondé sur des preuves — couverture, rapidité de remédiation et risque ouvert — pas une assurance annuelle.

La direction est nommée et engagée

En vertu de l'article 20, l'organe de direction d'une entité essentielle ou importante doit approuver les mesures de gestion des risques cyber de l'entité et superviser leur mise en œuvre. Ce n'est pas une formalité délégable : la directive rend la direction responsable du fait que les mesures soient réellement en place et efficaces.

Point essentiel, les membres des organes de direction peuvent être tenus responsables des manquements de l'entité. Cette responsabilité est inscrite dans la directive elle-même ; sa forme concrète dépend de la transposition nationale. La cybersécurité est donc une question de gouvernance, et pas seulement informatique — elle a sa place à l'ordre du jour du conseil, aux côtés des risques financiers et juridiques.

Les quatre devoirs d'un organe de direction

En pratique, les attentes de gouvernance de la directive se résument à quatre choses que la direction doit faire :

  • Approuver les mesures — valider les mesures de gestion des risques (le socle de l'art. 21), avec une compréhension suffisante de ce que vous approuvez.
  • Superviser la mise en œuvre — veiller à ce que les mesures soient réellement déployées et efficaces dans le temps, avec un reporting régulier au conseil.
  • Suivre une formation — les membres doivent suivre une formation en cybersécurité pour identifier les risques et juger de l'adéquation des mesures (art. 20(2)) ; une formation similaire devrait être proposée au personnel.
  • Être responsable — assumer le résultat. La responsabilité des manquements incombe à l'organe de direction, et les autorités de contrôle peuvent agir directement contre la direction.

Questions à poser à votre équipe de sécurité

Nul besoin d'être ingénieur en sécurité pour exercer la supervision. Un conseil peut s'acquitter d'une grande partie de son devoir en posant les bonnes questions et en exigeant des réponses fondées sur des preuves :

Sommes-nous dans le champ en tant qu'entité essentielle ou importante — et lesquels de nos clients le sont, nous transférant des obligations par contrat ?
Les mesures de l'art. 21 sont-elles en place, et quand ont-elles été examinées et approuvées pour la dernière fois par cet organe ?
Pouvons-nous respecter les délais de notification de 24/72 heures si un incident — y compris chez un fournisseur — affecte nos services ?
Comment gérons-nous le risque cyber des fournisseurs et des tiers, et comment le prouverions-nous lors d'un contrôle ?
Quels sont actuellement nos principaux risques ouverts, et qui en assure la remédiation, et pour quand ?

À quoi ressemble un bon reporting au conseil

La supervision a besoin d'un signal, pas d'une annexe de 60 pages. Une ligne de reporting NIS2 utile au conseil est courte, comparable dans le temps et fondée sur des preuves :

Couverture

Quelle part des fournisseurs et actifs concernés est réellement surveillée — les surprises viennent des lacunes.

Rapidité de remédiation

Délai moyen de résolution des constats critiques et élevés — la tendance compte plus qu'un chiffre isolé.

Risque ouvert

Les constats critiques/élevés actuels et les risques documentés et acceptés — NIS2 attend un risque géré, pas zéro constat.

Préparation aux incidents

Les délais de notification peuvent-ils être tenus, et ont-ils été testés, y compris pour les incidents causés par un fournisseur ?

Le coût de l'erreur — et de la réussite

Les sanctions au titre de l'article 34 atteignent jusqu'à 10 millions € ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé) pour les entités essentielles, et jusqu'à 7 millions € ou 1,4 % pour les entités importantes. Les autorités de contrôle peuvent aussi émettre des instructions contraignantes, ordonner la divulgation d'incidents et — pour les entités essentielles — suspendre temporairement des fonctions de direction. Pour les dirigeants, l'exposition réputationnelle et la responsabilité personnelle peuvent peser plus que l'amende elle-même.

Bien fait, il s'agit souvent moins d'une dépense nouvelle que de réorienter des contrôles existants : les mesures de l'art. 21 recoupent largement des contrôles que beaucoup d'organisations exploitent déjà (ISO 27001, continuité d'activité, contrôle d'accès). Le glissement imposé par NIS2 va de l'assurance ponctuelle vers une gestion continue et fondée sur des preuves — ce qui rend aussi le reporting de supervision réellement instructif plutôt que formel.

Source : Directive (UE) 2022/2555 (NIS2), articles 20 et 34 — consultez votre loi de transposition nationale pour les dispositions exactes de responsabilité et de formation dans votre pays.

Comment norppa.io aide

norppa.io transforme le risque cyber des fournisseurs et des tiers en preuves réellement utilisables par un conseil : un score de risque clair par fournisseur, des constats cartographiés vers les articles NIS2, et un rapport mensuel pour dirigeants conçu pour la direction et non pour les ingénieurs.

Couverture, historique de remédiation et risque ouvert sont visibles d'un coup d'œil, avec une piste d'audit complète exportable — la direction peut ainsi démontrer une supervision active, et les mêmes preuves répondent aux questions d'une autorité de contrôle.

Donnez à votre conseil des preuves, pas des affirmations

Voyez le rapport fournisseur pour dirigeants — score de risque, cartographie NIS2 et preuves — en deux minutes.

Voir l'exemple de rapport

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà — et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas — notification légale, responsabilité de la direction, enregistrement et assurance continue — et comment combler l'écart.