4 min de lecture

NIS2 et DORA rendent les dirigeants et administrateurs personnellement responsables en cas de négligence grave dans la cybersécurité de l’entreprise. Pour les DSI et les RSSI, cela change fondamentalement les règles du jeu : il ne suffit plus de mettre en œuvre des mesures techniques. La documentation de la diligence raisonnable devient un bouclier de protection personnelle.

L’essentiel

La fin de la délégation de responsabilité

Pendant des décennies, les administrateurs et directeurs généraux ont pu déléguer la responsabilité en matière de cybersécurité au RSSI ou au département informatique. Tant qu’aucun incident majeur ne survenait, le sujet restait confiné au niveau opérationnel. NIS2 met fin à ce modèle. L’article 38 de la nouvelle loi sur l’Office fédéral de la sécurité informatique (BSI) précise sans ambiguïté : la direction doit superviser la mise en œuvre des mesures de gestion des risques et répond personnellement des manquements.

Concrètement, cela signifie que si une entreprise relève du champ d’application de NIS2 et que la direction est prouvée avoir approuvé des mesures insuffisantes, les personnes concernées peuvent être tenues personnellement responsables. Cela s’applique indépendamment de la survenance effective d’un dommage. Cette obligation existe dès la phase de prévention, et non uniquement après un incident.

DORA renforce encore cette approche dans le secteur financier. Son article 5 exige que l’organe de direction de l’établissement financier assume la responsabilité ultime de la gestion des risques liés aux technologies de l’information et de la communication (TIC). Bien que la délégation à des entités opérationnelles soit possible, elle ne dispense pas l’organe de direction de sa responsabilité globale. La BaFin (Autorité fédérale allemande de surveillance financière) a clairement indiqué qu’elle prendrait cette obligation très au sérieux.

« Nous devons poursuivre la construction de la « Cybernation Allemagne ». Le niveau de menace n’a jamais été aussi élevé, et la cybersécurité doit devenir une priorité absolue pour les dirigeants. »
Claudia Plattner, présidente du BSI (Office fédéral de la sécurité informatique), Rapport sur la situation de la sécurité informatique 2025

Ce que les textes exigent concrètement

NIS2 (article 38 de la loi sur le BSI) : La direction doit superviser la mise en œuvre des mesures de gestion des risques prévues à l’article 30. Elle doit participer à des formations en cybersécurité et pouvoir démontrer des connaissances suffisantes. En cas de négligence grave, elle engage sa responsabilité personnelle. Cette responsabilité ne peut être exclue par les statuts ou un contrat de société.

DORA (article 5) : L’organe de direction assume la responsabilité ultime de la gestion des risques TIC. Il doit approuver le cadre de gestion des risques TIC, définir la stratégie de résilience cybernétique et superviser sa mise en œuvre. Au moins une fois par an, l’organe de direction doit évaluer l’adéquation des mesures mises en place. En cas de manquement, des sanctions peuvent être prononcées par l’autorité nationale de supervision financière compétente.

Règlement général sur l’intelligence artificielle (RGIA) de l’UE : Pour les systèmes d’intelligence artificielle à haut risque, le fournisseur ou l’exploitant est responsable de la conformité. En cas de violation des obligations applicables aux systèmes à haut risque, des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial sont prévues. Bien que le RGIA ne prévoie pas explicitement de responsabilité personnelle de la direction, la responsabilité organique générale issue du droit des sociétés peut s’appliquer si la direction n’a pas assuré la surveillance des obligations de conformité.

Sources : Loi allemande de transposition de NIS2 (NIS2UmsuCG), RGIA de l’UE (2024/1689), DORA (2022/2554)

Assurance D&O : pas de protection automatique

De nombreux dirigeants comptent sur leur assurance de responsabilité civile des dirigeants (D&O – Directors and Officers). Or cette protection comporte des limites. Les polices D&O couvrent typiquement les manquements intentionnels. En cas de négligence grave, la couverture dépend des conditions spécifiques de la police d’assurance. On peut raisonnablement s’attendre à ce que les assureurs, après l’entrée en vigueur des obligations NIS2, renforcent leurs exigences en matière de preuve de diligence raisonnable.

Les DSI et les RSSI doivent, conjointement avec le service juridique, examiner les points suivants : la police D&O actuelle couvre-t-elle les risques de responsabilité liés à la cybersécurité au titre de NIS2 et de DORA ? Contient-elle des clauses d’exclusion relatives aux manquements réglementaires ? Le montant de la garantie est-il suffisant compte tenu des nouveaux plafonds d’amendes ? Cette vérification doit être menée sans délai.

Cinq mesures de protection pour les DSI et les administrateurs

1. Documenter un cadre de gouvernance. Un cadre écrit de gouvernance de la cybersécurité, qui définit clairement les responsabilités, les processus et les voies d’escalade. Ce cadre doit être adopté par le conseil d’administration et mis à jour régulièrement. Il constitue la preuve centrale que la direction remplit son obligation de surveillance.

2. Organiser des formations régulières du conseil d’administration. NIS2 exige explicitement que la direction participe à des formations en cybersécurité. Une participation documentée à au moins deux formations par an constitue le standard minimal. Ces formations doivent couvrir les menaces actuelles, les évolutions réglementaires et les risques spécifiques au secteur d’activité.

3. Documenter les décisions en matière de risques. Chaque décision du conseil d’administration concernant les mesures de cybersécurité doit faire l’objet d’un procès-verbal. Même l’acceptation consciente de risques résiduels doit être documentée et justifiée. En cas de mise en cause pour responsabilité, la documentation du processus décisionnel constitue la meilleure protection contre l’accusation de négligence grave.

4. Vérifier et adapter l’assurance D&O. Examiner les polices existantes afin de déterminer si elles couvrent les risques de responsabilité liés à la cybersécurité et aux manquements réglementaires. Si nécessaire, étendre la couverture ou souscrire une police D&O spécialisée en cybersécurité. Cette vérification doit être menée sans délai.

5. Réaliser un audit externe comme preuve. Un audit indépendant réalisé par un auditeur qualifié documente objectivement l’état des mesures de cybersécurité. Une certification ISO/IEC 27001 ou des attestations comparables renforcent considérablement la position de la direction en cas de mise en cause pour responsabilité. Cet audit doit être répété au moins une fois par an.

Ce que les DSI doivent dire dès maintenant au conseil d’administration

Le message à adresser au conseil d’administration est inconfortable, mais indispensable : depuis l’entrée en vigueur de la loi NIS2, la cybersécurité constitue une question de responsabilité personnelle pour chaque membre du conseil d’administration. La délégation au RSSI ou au département informatique ne dispense plus de la responsabilité personnelle. Le conseil d’administration doit exercer une surveillance active, suivre régulièrement des formations et documenter ses décisions.

Les DSI qui formulent ce message en amont et construisent simultanément les structures de gouvernance nécessaires posent les fondations d’une direction informatique juridiquement sécurisée. Celui qui ignore ce sujet risque non seulement des amendes pour l’entreprise, mais aussi sa propre carrière et son patrimoine personnel. Le moment d’agir est maintenant.

Questions fréquentes

Source de l’image : Vlada Karpovich / Pexels