nis²insights.com

En vigueur depuis le 17 oct. 2024·Jour 565·

Gouvernance18 avr. 202510 min

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguer

L’article 20 de la directive 2022/2555 inscrit formellement la cybersécurité dans la gouvernance d’entreprise. Voici les cinq responsabilités qui pèsent désormais personnellement sur les administrateurs.

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguerGouvernance

La directive NIS2 — formellement la directive (UE) 2022/2555 — est entrée en vigueur le 17 octobre 2024. Les États membres devaient l'avoir transposée à cette date. Dix-huit mois plus tard, le tableau européen est inégal, mais une bascule est universelle : toute organisation entrant dans le champ d'application a désormais une exposition personnelle au niveau du conseil.

Ce qui frappe n'est pas le volume des obligations. NIS2 codifie un ensemble de pratiques que tout programme de sécurité raisonnablement mature implémente déjà. Ce qui est nouveau, c'est que la responsabilité repose désormais, explicitement et personnellement, sur les organes de direction — et que les autorités nationales compétentes peuvent les sanctionner directement au titre de l'article 32.

L'article 20 de la directive — intitulé sobrement « Gouvernance » — est au cœur de cette bascule. Il tient en deux paragraphes. Lu strictement, il liste deux devoirs. Lu en contexte, avec les considérants 80 et 81 et les paragraphes correspondants de l'article 21, il pose cinq responsabilités qui pèsent personnellement sur les administrateurs et qui ne peuvent être déléguées.

1. Approuver le programme de cybersécurité — avec une compréhension documentée

L'article 20, paragraphe 1, est sans ambiguïté : les organes de direction approuvent les mesures de gestion des risques en matière de cybersécurité prises par les entités pour se conformer à l'article 21. Le poids juridique est sur approuvent, pas sur prennent connaissance.

Auprès des autorités nationales compétentes — l'ANSSI en France, le BSI en Allemagne, l'INCIBE en Espagne, l'ACN en Italie, le NCSC-IE en Irlande — la même attente ressort de leurs lignes directrices publiées : approuver implique une compréhension documentée. Un procès-verbal du conseil qui consigne une discussion substantielle du registre des risques de l'entité, des risques résiduels acceptés, et des arbitrages effectués entre traitement du risque et coût opérationnel. Une signature sans ce sillage documentaire est, en pratique, une position de départ pour une procédure d'enquête, pas une défense contre celle-ci.

Approuver, ce n'est pas signer. C'est prendre une position documentée, contestable, en pleine connaissance du registre des risques.

L'élément non délégable ici, c'est la compréhension, pas l'acte de signer. Les conseils peuvent s'appuyer sur la recommandation du RSSI ou de son équivalent — ils ne peuvent pas s'en remettre à elle sans la challenger.

2. Superviser la mise en œuvre dans la durée

La seconde partie de l'article 20, paragraphe 1, est souvent oubliée : les organes de direction doivent aussi superviser la mise en œuvre. Une approbation à un instant T ne suffit pas. Le considérant 80 le rend explicite en cadrant la supervision comme une obligation continue rattachée au rôle de gouvernance de l'organe de direction.

Concrètement, à quoi ressemble cette supervision :

  • Un point fixe à l'ordre du jour du conseil, pas une mention enfouie dans les « questions diverses ».
  • Un tableau de bord des risques qui rapporte le delta depuis la séance précédente, pas l'état figé.
  • Un canal d'escalade clair pour le RSSI ou la fonction équivalente vers le président du conseil quand des risques matériels apparaissent entre deux revues programmées.

Un conseil qui approuve le programme en mars et n'en reparle qu'en octobre échouera, dans la quasi-totalité des États membres, à cette exigence.

3. Accepter une responsabilité personnelle — y compris l'interdiction d'exercer

La fin de l'article 20, paragraphe 1, est le moment où la directive sort les dents : les organes de direction peuvent être tenus pour responsables des manquements aux obligations de l'article 21. La dimension financière figure à l'article 34 : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, le montant le plus élevé étant retenu ; jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes.

La dimension non financière est plus marquante, et moins discutée. L'article 32, paragraphe 5, autorise les États membres à prévoir la suspension temporaire de toute personne physique exerçant des responsabilités dirigeantes au niveau du PDG ou du représentant légal, ou une interdiction temporaire d'exercer des fonctions de direction au sein de l'entité. En clair : une interdiction d'exercer.

Plusieurs États membres ont transposé cette disposition de manière offensive dans leur droit national. Le message au conseil : accepter ces responsabilités n'est plus une question de culture d'entreprise. C'est une exposition personnelle, et aucune assurance D&O ne couvre une disqualification réglementaire.

4. Suivre une formation, personnellement

L'article 20, paragraphe 2, est inhabituellement direct pour une directive européenne : les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation. Tenus. Pas encouragés, pas invités.

La formation n'est pas non plus délégable. Une lecture courante consiste à penser que le RSSI peut « briefer » le conseil en lieu et place d'une formation formelle. Ce n'est pas ce que dit l'article. La directive énonce explicitement l'objectif : les membres de l'organe de direction doivent acquérir des connaissances et des compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité ainsi que leur incidence sur les services fournis par l'entité.

La directive ne fixe pas de volume horaire, et les transpositions nationales varient. Tiré des lignes directrices publiées par les autorités nationales compétentes, un seuil défendable ressemble à :

  • Un programme d'intégration de 6 à 12 heures pour les nouveaux administrateurs, couvrant la directive elle-même, le paysage de menaces propre à l'entité, et le registre des risques.
  • Une session de mise à jour annuelle de 2 à 4 heures sur les évolutions matérielles depuis la précédente session.
  • Une trace documentée : la liste des participants, la date, et les supports utilisés. C'est suffisant.

C'est la responsabilité sur laquelle les conseils faillent le plus souvent. C'est aussi la plus simple à mettre en place.

5. Garantir une formation à l'échelle de l'entité

La seconde phrase de l'article 20, paragraphe 2, est parfois rangée parmi les déclarations d'intention : les États membres encouragent les entités essentielles et importantes à offrir une formation similaire à leurs employés à intervalles réguliers. Le verbe encouragent est plus souple que exigent.

C'est pourtant une responsabilité du conseil. L'article 21, paragraphe 2, point g) — auquel l'article 20 renvoie explicitement — liste « les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité » parmi les catégories de mesures que les entités essentielles et importantes doivent adopter. Ce n'est pas un encouragement ; c'est une obligation. Le rôle du conseil au titre de l'article 20 est de s'assurer que cette obligation de l'article 21 est effectivement satisfaite.

Autrement dit : le conseil ne peut pas former personnellement chaque salarié, mais il peut — et il doit — vérifier qu'un programme de formation des salariés existe, qu'il a une cadence mesurable, et que les taux de complétion lui remontent.

Ce à quoi ça ressemble quand c'est bien fait

Dans les lignes directrices publiées des autorités nationales compétentes européennes, trois signaux reviennent systématiquement.

Premièrement : un procès-verbal de conseil daté de moins de douze mois qui démontre une discussion substantielle du programme de cybersécurité. Pas un simple accusé de réception.

Deuxièmement : un registre des risques daté, avec une responsabilité au niveau exécutif, et qui se rattache traçablement aux actions prises depuis la précédente revue du conseil.

Troisièmement : la preuve que le programme de sécurité a fait l'objet d'une revue indépendante — par une fonction d'audit interne ou un évaluateur externe — au cours des douze derniers mois, et que les conclusions ont été présentées au conseil.

Aucun de ces points n'est ambigu. Ce sont des documents. Soit ils existent, soit ils n'existent pas. Le travail des douze prochains mois, pour les conseils qui n'ont pas encore agi, c'est de s'assurer qu'ils existent.

Sources

  1. Directive (UE) 2022/2555, article 20 (« Gouvernance »).
  2. Directive (UE) 2022/2555, article 21 (« Mesures de gestion des risques en matière de cybersécurité »), en particulier le paragraphe 2, point g).
  3. Directive (UE) 2022/2555, article 32, paragraphe 5 (suspension et interdiction d'exercer des fonctions de direction).
  4. Directive (UE) 2022/2555, article 34 (conditions générales d'imposition d'amendes administratives).
  5. Directive (UE) 2022/2555, considérants 80 et 81 (gouvernance et formation des dirigeants).
  6. Lignes directrices de mise en œuvre publiées par les autorités nationales compétentes : ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE), ainsi que par l'ENISA.

Autres articles

Notification d’incident NIS2 : le guide pratique des 72 heuresGestion des incidents

Notification d’incident NIS2 : le guide pratique des 72 heures

11 avr. 2025·Lire · 9 min
Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseursChaîne d’approvisionnement

Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseurs

9 avr. 2025·Lire · 7 min
Modèle pragmatique de registre des risques pour l’article 21 NIS2Gestion des risques

Modèle pragmatique de registre des risques pour l’article 21 NIS2

2 avr. 2025·Lire · 6 min