NIS2.it.com
Retour au blog
Gouvernance
NIS2 article 20 : 5 responsabilités que les dirigeants ne peuvent plus déléguer

NIS2 article 20 : 5 responsabilités que les dirigeants ne peuvent plus déléguer

10 min de lecture
AD

Alexandre Durand

Directeur éditorial — Expert cybersécurité

Un jeudi matin, 9 heures, comité de direction. Le RSSI ouvre sa présentation sur la conformité NIS2 : cartographie des risques, plan de traitement, budget 2025. Depuis trois ans, le comité valide ce type de document en quelques minutes. Ce jeudi-là, c'est différent. L'un des administrateurs pose la question : « Est-ce qu'on signe ce plan, ou est-ce qu'on en prend acte ? » Personne ne sait répondre.

C'est précisément l'ambiguïté que l'article 20 de la directive 2022/2555 vient lever. Depuis sa transposition en droit français (loi n° 2023-703 du 1er août 2023), la cybersécurité n'est plus un sujet technique confié au RSSI. C'est une responsabilité qui remonte formellement dans la salle du conseil — et qui y reste.

Ce que dit exactement l'article 20

L'article 20 de la directive tient en deux paragraphes, mais chaque mot compte. Le paragraphe 1 impose trois obligations aux organes de direction des entités essentielles et importantes : approuver les mesures de gestion des risques, superviser leur mise en œuvre, et pouvoir être tenus responsables de tout manquement. Le paragraphe 2 impose deux obligations complémentaires : suivre une formation personnelle, et encourager la formation du personnel.

Le changement de registre par rapport à NIS1 est considérable. Sous NIS1, la cybersécurité relevait du management opérationnel. Sous NIS2, elle est un objet de gouvernance — au même niveau que la conformité financière ou la sécurité physique. L'ANSSI le confirme dans ses notes de transposition : le dispositif de contrôle interne doit désormais couvrir explicitement le risque cyber, et le conseil d'administration doit en être le garant.

Concrètement, cinq responsabilités pèsent désormais personnellement sur les dirigeants. Aucune ne peut être intégralement déléguée au RSSI, au DSI ou au comité d'audit.

Responsabilité 1 : approuver formellement les mesures de gestion des risques

L'article 20.1 dispose que les organes de direction « approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités en vue de se conformer à l'article 21 ». Le verbe est « approuver », pas « prendre acte ». Ce n'est pas un détail.

Approuver suppose une délibération formelle, consignée dans un procès-verbal, avec une décision motivée. Le conseil doit être mis en mesure d'évaluer les mesures proposées — c'est-à-dire recevoir les documents en amont, disposer d'éléments d'appréciation (cartographie des risques, plans d'action, budgets) et poser les questions nécessaires avant de voter. L'ANSSI recommande que cette approbation intervienne au moins une fois par an, après présentation d'un dossier structuré.

Les mesures concernées sont celles listées à l'article 21 de la directive : politique d'analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des acquisitions et de la maintenance, évaluation de l'efficacité des mesures, pratiques de cyberhygiène, utilisation de la cryptographie, sécurité des ressources humaines et du contrôle d'accès, authentification multifactorielle. Dix domaines qui dépassent largement le périmètre technique traditionnel.

En pratique, le conseil doit voter sur un document structurant — appelons-le la « politique de sécurité des systèmes d'information » ou le « plan de maîtrise des risques cyber ». Le vote doit être tracé. Une approbation tacite ou verbale ne suffit pas : en cas de contrôle, l'ANSSI demandera la preuve écrite.

Responsabilité 2 : superviser la mise en œuvre avec des indicateurs réguliers

Approuver une fois ne suffit pas. L'article 20.1 exige que les organes de direction « supervisent la mise en œuvre » des mesures. La supervision implique un suivi dans la durée, à intervalles réguliers, sur la base d'indicateurs mesurables.

Dans les faits, cela signifie que le RSSI (ou son équivalent) doit rapporter périodiquement au conseil. La fréquence n'est pas fixée par la directive, mais les pratiques observées dans les entités essentielles convergent vers un rapport trimestriel a minima, avec un point plus détaillé une fois par an. Le contenu type d'un rapport inclut : l'état d'avancement du plan de traitement des risques, le nombre et la sévérité des incidents survenus, les résultats des tests de sécurité (pentests, exercices de crise), la conformité aux référentiels internes (ISO 27001, NIST CSF, guide d'hygiène ANSSI), et les indicateurs de ressources (budget consommé, recrutements).

La supervision ne consiste pas seulement à recevoir le rapport. Elle suppose une capacité critique. Un conseil qui approuve un budget cybersécurité de 0,3 % du chiffre d'affaires sans questionner la médiane sectorielle (autour de 1 % à 2 % selon les études ENISA) ne peut pas prétendre avoir exercé sa supervision. C'est là que l'obligation de formation (responsabilité 4) devient opérationnelle : sans compétences de base, la supervision reste formelle.

Responsabilité 3 : assumer la responsabilité personnelle en cas de manquement

L'article 20.1 se termine par une phrase qui change profondément le paysage juridique : les organes de direction « puissent être tenus responsables de tout manquement » de l'entité. Cette responsabilité n'est plus seulement celle de la personne morale. Elle peut être engagée individuellement, contre les membres du conseil ou les dirigeants exécutifs.

L'article 32.6 de la directive précise les sanctions possibles pour les personnes physiques en cas de manquement grave : interdiction temporaire d'exercer des fonctions de direction, publication du nom, et selon le régime de chaque État membre, sanctions financières personnelles. En France, l'ANSSI peut saisir l'autorité judiciaire si elle constate que le conseil n'a pas exercé ses obligations de diligence.

La responsabilité personnelle s'apprécie à l'aune de la diligence. Un dirigeant qui a effectivement approuvé des mesures proportionnées, supervisé leur mise en œuvre avec des indicateurs traçables, et alloué les ressources raisonnables ne sera pas tenu pour responsable d'un incident isolé. À l'inverse, un dirigeant qui a ignoré les alertes répétées de son RSSI, refusé les budgets documentés comme nécessaires, ou omis d'approuver le dispositif de gestion des risques s'expose à une mise en cause personnelle.

La jurisprudence est encore en construction. Mais le signal envoyé par le législateur européen est clair : la cybersécurité ne peut plus être un sujet sur lequel le conseil se décharge sur « la DSI ».

Responsabilité 4 : suivre une formation cyber adaptée

L'article 20.2 introduit une obligation souvent sous-estimée : les membres des organes de direction « sont tenus de suivre une formation » en matière de cybersécurité. Cette formation doit leur permettre « d'identifier les risques et les pratiques de gestion en matière de cybersécurité, ainsi que leur impact sur les services fournis par l'entité ».

La directive ne fixe ni contenu minimal ni durée, mais laisse aux États membres le soin de préciser les attentes. Les recommandations de l'ANSSI suggèrent un socle couvrant : le cadre réglementaire NIS2, les principales typologies de risques cyber (rançongiciel, fuite de données, attaque supply chain), les indicateurs de suivi et leur lecture, les responsabilités respectives du conseil et de la direction opérationnelle, et les bons réflexes en cas d'incident. Un format de 4 à 8 heures par an, renouvelé lors de chaque changement de mandat, est généralement considéré comme raisonnable.

La formation doit être tracée. Une attestation de suivi, conservée dans le dossier du conseil, constitue une preuve opposable en cas de contrôle. Plusieurs organismes français — IHEDN, CNAM, instituts d'administrateurs — proposent aujourd'hui des modules dédiés aux administrateurs. Le coût d'un programme complet reste modeste (1 500 à 5 000 euros par administrateur) au regard des sanctions encourues en cas de manquement.

L'obligation de formation ne s'arrête pas au conseil. L'article 20.2 ajoute que les entités essentielles et importantes « encouragent » la formation régulière du personnel. Cette formulation plus souple n'a pas pour autant de caractère optionnel : sans formation du personnel, l'obligation de résultat sur les mesures de l'article 21 (notamment la cyberhygiène et la sécurité des ressources humaines) ne peut être tenue.

Responsabilité 5 : allouer les ressources nécessaires

La cinquième responsabilité n'est pas énoncée explicitement dans l'article 20, mais elle découle directement des quatre précédentes. Approuver des mesures sans y affecter les ressources adéquates serait une approbation vide de sens. Superviser sans disposer d'équipes compétentes serait impossible. Assumer la responsabilité sans avoir alloué les moyens serait absurde.

L'ANSSI, dans ses guides d'application, recommande au conseil de valider annuellement trois grandeurs : le budget cybersécurité (en valeur absolue et en pourcentage du budget IT), les effectifs dédiés à la sécurité (RSSI, analystes SOC, ingénieurs sécurité), et les ressources externes mobilisées (prestataires de réponse à incident, auditeurs, consultants).

L'ordre de grandeur observé dans les entités essentielles matures se situe autour de 8 à 12 % du budget IT consacré à la cybersécurité, avec au minimum un RSSI à temps plein rattaché au niveau du comité exécutif. Pour les entités importantes, les ratios sont souvent inférieurs, mais la tendance du marché est à la convergence.

Le conseil qui approuve un budget manifestement sous-dimensionné par rapport aux risques cartographiés prend un risque personnel. En cas d'incident majeur suivi d'un contrôle de l'ANSSI, l'écart entre les ressources allouées et les risques identifiés constitue une pièce centrale du dossier de mise en cause.

Ce que l'ANSSI regardera lors d'un contrôle

Lors d'une inspection, l'ANSSI ne se contente pas de vérifier que des mesures techniques sont en place. Elle examine la chaîne de gouvernance. Les documents demandés en priorité sont : les procès-verbaux de conseil traitant de la cybersécurité (au moins un par an attendu), la délibération formelle d'approbation des mesures de gestion des risques, les rapports périodiques du RSSI au conseil (trimestriels attendus), les attestations de formation des membres du conseil, la politique de sécurité des systèmes d'information signée par la direction générale, le plan budgétaire pluriannuel de cybersécurité, la cartographie des risques cyber validée en conseil, et le registre des incidents significatifs.

L'absence de traces écrites est, en pratique, assimilée à l'absence de diligence. Un conseil qui n'aurait pas de procès-verbal documentant l'approbation du dispositif se placerait en situation de manquement démontré à l'article 20.1.

Par où commencer dans un conseil qui n'a rien formalisé

Pour une entité qui découvre l'article 20, la feuille de route à 12 mois se décompose en quatre étapes. Premièrement, inscrire la cybersécurité comme point récurrent à l'ordre du jour du conseil — fréquence trimestrielle a minima. Deuxièmement, organiser une session de formation initiale pour tous les membres du conseil, avec attestation nominative. Troisièmement, demander au RSSI (ou à un prestataire si la fonction n'existe pas) la production d'un dossier structuré : cartographie des risques, plan de traitement, budget, indicateurs de suivi. Quatrièmement, approuver formellement ce dossier en séance, avec procès-verbal détaillé.

Les entités qui ont déjà formalisé une partie du dispositif peuvent gagner du temps en alignant la terminologie employée sur celle de la directive. Les référentiels ISO 27001, NIST CSF ou le guide d'hygiène de l'ANSSI se traduisent tous en mesures de l'article 21 — il suffit de dresser la correspondance dans un document de synthèse pour disposer d'un dossier d'approbation prêt à présenter.

Un point d'attention particulier concerne les groupes avec filiales : l'article 20 s'applique au niveau de chaque entité concernée, pas uniquement au niveau du groupe. Si une filiale est classée entité essentielle ou importante, c'est son propre organe de direction qui doit approuver et superviser. Une délégation « par principe » au niveau du siège ne satisfait pas l'obligation.

Le calendrier à ne pas manquer

La directive est entrée en vigueur dans les droits nationaux en octobre 2024. En France, les premiers contrôles de l'ANSSI sur la conformité à l'article 20 sont attendus avec une montée en charge progressive à partir de 2025. Les entités essentielles sont en première ligne. Les entités importantes disposent d'une marge de manœuvre légèrement plus large, l'ANSSI ayant annoncé une approche pédagogique avant de basculer vers un régime de sanction.

Le coût de la mise en conformité à l'article 20 reste modeste pour la plupart des organisations : formation des administrateurs, mise en place d'un reporting structuré, formalisation des procès-verbaux. Les dépenses lourdes se situent à l'article 21 (mesures techniques). Mais c'est l'article 20 qui conditionne la responsabilité personnelle des dirigeants — et c'est donc par là qu'il faut commencer.

L'enjeu n'est pas seulement juridique. Une gouvernance cyber structurée améliore concrètement la résilience. Les organisations qui approuvent formellement leur dispositif, forment leurs dirigeants et supervisent leur mise en œuvre connaissent statistiquement moins d'incidents critiques et rebondissent plus vite en cas d'attaque. L'article 20 n'invente rien : il rend obligatoire ce que les entités les plus matures pratiquaient déjà.

*Cet article est informatif et ne constitue pas un conseil juridique. Pour une application à votre situation spécifique, consultez un professionnel qualifié.*

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique.