NIS2 : la responsabilité de la direction

L’une des nouveautés marquantes de NIS2 est de responsabiliser directement les organes de direction. La cybersécurité cesse d’être une affaire purement technique pour devenir un sujet de gouvernance, porté au plus haut niveau de l’organisation.

Approuver et superviser

Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre. La responsabilité ne peut être entièrement déléguée à un service technique : elle reste celle de la direction.

Se former

Les membres de la direction sont tenus de suivre une formation, afin d’acquérir les connaissances suffisantes pour identifier les risques et apprécier les pratiques de gestion mises en place. Le CCB recommandait de planifier cette formation pour les dirigeants avant avril 2025. Les entités sont par ailleurs encouragées à proposer une formation comparable à leur personnel.

Une responsabilité qui peut être engagée

La loi prévoit que les dirigeants peuvent être tenus responsables en cas de manquement. Les autorités disposent de mesures administratives et de sanctions, modulées selon la catégorie de l’entité, la gravité, la durée, les éventuelles récidives et la négligence constatée.

En pratique, la direction doit pouvoir démontrer qu’elle a compris les risques, approuvé les mesures et suivi leur application — une exigence de gouvernance autant que de cybersécurité.