NIS2, article 20 : un changement de paradigme pour les organes de direction
L’article 20 de la directive (UE) 2022/2555 dite NIS2 place explicitement la responsabilité des dirigeants au cœur de la cybersécurité. Cette évolution transforme la cybersécurité NIS d’un sujet technique porté par le RSSI en un enjeu de gouvernance qui engage la responsabilité personnelle des organes de direction. Pour chaque entreprise concernée, la prise en compte de la responsabilité des dirigeants en matière de cybersécurité devient ainsi un axe structurant de la stratégie de sécurité et de conformité.
La directive NIS élargit fortement le champ d’application en visant de nombreuses entités essentielles et entités importantes dans l’Union européenne. Pour un grand nombre d’entreprises et d’organisations, la directive NIS2 ne se limite plus aux opérateurs d’importance vitale mais couvre désormais des secteurs variés, avec des obligations de sécurité et de notification des incidents beaucoup plus exigeantes. Selon les travaux de transposition présentés par l’ANSSI, plus de 15 000 entités françaises seraient concernées, ce qui impose à la direction de comprendre comment la nis directive redéfinit la gestion des risques cyber et la gouvernance des systèmes d’information.
Concrètement, l’article 20 impose aux organes de direction d’approuver les mesures de gestion des risques liés à la cybersécurité et d’en suivre la mise en œuvre. Cette obligation d’approbation formelle des mesures de gestion des risques cyber fait entrer la cybersécurité NIS dans le même registre que les décisions structurantes sur le chiffre d’affaires, les investissements ou les acquisitions. La responsabilité des dirigeants ne peut plus être déléguée intégralement au seul RSSI ou à la DSI, car la responsabilité des dirigeants en matière de cybersécurité est désormais encadrée par la loi et susceptible de contrôles par les autorités compétentes.
Les sanctions prévues par la directive NIS2 sont à la hauteur de cette responsabilisation accrue des dirigeants. Les autorités nationales peuvent infliger des amendes pouvant atteindre 2 % du chiffre d’affaires mondial ou 10 millions d’euros, conformément au texte européen, ce qui place la non-conformité au même niveau de gravité que les manquements en matière de protection des données personnelles. Pour les entreprises réalisant plusieurs centaines de millions d’euros de chiffre d’affaires, la mise en conformité NIS2 devient donc un sujet prioritaire de gestion des risques pour le conseil d’administration et la direction générale.
La responsabilisation des dirigeants implique aussi une obligation de formation spécifique des instances de gouvernance en matière de cybersécurité. L’article 20 prévoit que les membres des organes de direction doivent suivre des formations régulières pour acquérir les connaissances nécessaires à une bonne compréhension des risques cyber et des mesures de sécurité associées. Cette obligation de formation s’applique aux dirigeants individuels mais aussi aux organes de direction collectifs, ce qui impose une mise en œuvre structurée dans chaque entreprise, avec une fréquence minimale définie et un suivi formalisé.
Pour un Chief Information Officer, cette évolution est une opportunité stratégique pour repositionner la cybersécurité au cœur de la gouvernance. La direction attend désormais du CIO et du RSSI une capacité à traduire les risques cyber en langage business, en reliant clairement les incidents potentiels aux impacts sur le chiffre d’affaires, la continuité d’activité et la réputation. Cette nouvelle responsabilité des dirigeants en cybersécurité devient ainsi un levier pour aligner la sécurité, la conformité et la performance économique des entreprises, en s’appuyant sur des indicateurs partagés avec le COMEX.
De la technique au langage COMEX : traduire les risques cyber en décisions de gestion
Le principal fossé à combler pour appliquer la directive NIS2 réside dans la traduction des risques cyber en enjeux de gestion compréhensibles par les dirigeants. Les organes de direction ne peuvent approuver des mesures de gestion des risques que s’ils comprennent clairement les scénarios d’impact sur l’entreprise et ses systèmes d’information. La responsabilisation des dirigeants en matière de cybersécurité impose donc de passer d’un discours centré sur les vulnérabilités techniques à une analyse structurée des risques pour les activités métiers.
Pour chaque entité essentielle ou importante, la gestion des risques doit être présentée sous forme de scénarios concrets : indisponibilité d’un système d’information critique, compromission de données sensibles, blocage de la chaîne logistique ou arrêt de la facturation. Ces scénarios doivent être reliés à des indicateurs financiers, comme la perte de chiffre d’affaires par jour d’arrêt ou le coût moyen d’un incident majeur, afin de parler le langage du COMEX. La cybersécurité NIS devient alors un sujet de gestion des risques au même titre que la continuité d’activité, la conformité réglementaire ou la gestion de trésorerie.
Un exemple typique illustre ce changement de posture : une équipe technique identifie une vulnérabilité majeure sur un système de facturation exposé à Internet. Plutôt que de présenter un score de criticité purement technique, le RSSI chiffre le risque : trois jours d’indisponibilité entraîneraient une perte de plusieurs millions d’euros de chiffre d’affaires, un risque de pénalités contractuelles et une dégradation de la trésorerie. Sur cette base, le COMEX arbitre entre l’arrêt planifié d’un week-end pour appliquer les correctifs, le déploiement accéléré de mesures de sécurité complémentaires et la mise à jour du plan de continuité d’activité, en validant un budget et un calendrier précis.
La directive NIS2 impose aussi des obligations précises en matière de notification des incidents, avec des délais très courts pour informer l’autorité compétente. Pour les dirigeants, cela signifie que la gouvernance doit intégrer des processus clairs de remontée d’information, de qualification des incidents et de décision sur la communication externe. La responsabilité des dirigeants s’étend ainsi à la capacité de l’entreprise à orchestrer une réponse coordonnée, depuis la détection technique jusqu’à la notification des incidents et à la communication aux parties prenantes.
Dans ce contexte, les mesures de sécurité ne peuvent plus être présentées comme une liste de projets techniques mais comme un portefeuille de mesures de gestion des risques cyber. Chaque mesure de sécurité doit être reliée à un risque identifié, à un scénario d’impact et à un niveau de réduction de risque attendu, ce qui permet aux organes de direction d’arbitrer en connaissance de cause. La mise en conformité avec la nis directive devient alors un exercice de priorisation budgétaire et de gouvernance, plutôt qu’un simple plan de déploiement d’outils de cybersécurité.
Pour structurer ce dialogue, de nombreux CIO s’appuient sur des cartographies de risques cyber alignées sur les processus métiers et les actifs critiques. Ces cartographies doivent couvrir l’ensemble des systèmes d’information, y compris les environnements cloud, les applications historiques et les interconnexions avec les fournisseurs, afin de refléter fidèlement le champ d’application de la directive NIS2. La mise en œuvre d’une telle gestion des risques nécessite souvent une rationalisation applicative, pour laquelle des approches comme la méthode des 6R offrent un cadre utile pour arbitrer entre maintien, modernisation ou retrait des applications.
La responsabilisation des dirigeants en cybersécurité renforce également les attentes en matière de gouvernance et de reporting vers le conseil d’administration. Les dirigeants doivent disposer de tableaux de bord synthétiques sur les risques cyber, les incidents significatifs, l’avancement de la mise en conformité et l’efficacité des mesures de sécurité. Pour le CIO, l’enjeu est de concevoir un reporting qui relie clairement les investissements de cybersécurité aux risques réduits, aux incidents évités et à la protection du chiffre d’affaires, avec quelques indicateurs clés comme le temps moyen de détection, le délai de remédiation ou le taux de couverture des plans d’action.
RSSI, CIO et conseil d’administration : une nouvelle gouvernance de la cybersécurité
Avec la directive NIS2, le rôle du RSSI évolue d’expert technique vers celui de conseiller stratégique des organes de direction. La responsabilité des dirigeants en matière de cybersécurité suppose que le RSSI et le CIO aient un accès direct à la direction générale et au conseil d’administration pour présenter les risques cyber et les mesures de gestion associées. La mise en œuvre de NIS2 transforme ainsi la relation entre la fonction sécurité, la DSI et les instances de gouvernance.
Les organes de direction doivent désormais approuver les mesures de gestion des risques cyber et suivre leur mise en œuvre, ce qui impose une gouvernance structurée. Dans de nombreuses entreprises, cela se traduit par la création de comités de cybersécurité rattachés au conseil d’administration, où siègent des membres de la direction, le CIO, le RSSI et parfois des administrateurs référents en matière de cybersécurité. Cette gouvernance permet de traiter la cybersécurité NIS comme un risque d’entreprise à part entière, au même niveau que les risques financiers ou opérationnels.
La directive NIS2 renforce aussi les obligations de la direction en matière de supervision des systèmes d’information et des entités essentielles. Les dirigeants doivent s’assurer que les mesures de sécurité couvrent l’ensemble des entités et des organisations relevant du champ d’application, y compris les filiales, les prestataires critiques et les partenaires clés. La gestion des risques doit donc intégrer les dépendances aux fournisseurs IT, ce qui rend indispensable une approche structurée de cartographie des risques liés aux fournisseurs.
Pour le CIO, cette nouvelle gouvernance implique de repositionner la DSI comme un acteur central de la conformité NIS2 et de la gestion des risques cyber. La mise en conformité ne peut pas être traitée comme un projet ponctuel mais comme un programme pluriannuel, piloté avec des indicateurs de maturité, des jalons de mise en œuvre et des revues régulières avec la direction. La responsabilité des dirigeants en cybersécurité devient alors un fil conducteur pour aligner les priorités de la DSI, du RSSI et de la direction générale.
Les obligations de notification des incidents imposent également une coordination renforcée entre les équipes techniques, la direction juridique, la communication et la direction générale. Les dirigeants doivent valider les procédures de notification des incidents, les scénarios de communication de crise et les modalités de coopération avec les autorités compétentes. La gestion des incidents majeurs devient ainsi un exercice de gouvernance partagée, où la responsabilité des dirigeants est engagée autant sur la préparation que sur la réaction.
Dans certains secteurs, la directive NIS2 se combine avec d’autres exigences réglementaires, comme les obligations de sécurité du cloud pour les données sensibles de l’État. Les CIO qui opèrent dans ces environnements doivent intégrer ces contraintes dans leur stratégie, en tenant compte des orientations comme celles relatives à l’hébergement SecNumCloud détaillées dans le décret SREN sur les données sensibles. La cohérence entre ces différents cadres renforce encore la nécessité d’une gouvernance de cybersécurité pilotée au niveau de la direction générale.
Feuille de route pour les CIO : de la mise en conformité à l’avantage compétitif
Pour un Chief Information Officer, la responsabilité accrue des dirigeants en cybersécurité ne doit pas être abordée comme une contrainte purement réglementaire. Bien pilotée, la mise en conformité peut devenir un levier de transformation, en renforçant la résilience des systèmes d’information et la confiance des clients, des partenaires et des régulateurs. La clé consiste à articuler la gestion des risques cyber avec les priorités métiers et la stratégie globale de l’entreprise.
La première étape consiste à établir une cartographie exhaustive des risques cyber couvrant l’ensemble des systèmes d’information, des entités essentielles et des processus métiers critiques. Cette cartographie doit intégrer les dépendances aux fournisseurs, les environnements cloud, les applications historiques et les interconnexions avec les partenaires, afin de refléter fidèlement le champ d’application de la directive NIS2. Sur cette base, le CIO peut proposer aux dirigeants un plan de mesures de gestion des risques priorisé, avec une vision claire des investissements nécessaires et des bénéfices attendus.
La deuxième étape est la mise en œuvre d’un programme de formation structuré pour les dirigeants et les organes de direction. Ce programme doit couvrir les fondamentaux de la cybersécurité, les obligations spécifiques de la directive NIS2, les mécanismes de notification des incidents et les responsabilités individuelles des membres du conseil d’administration. L’objectif est de permettre aux dirigeants d’exercer pleinement leur responsabilité en matière de cybersécurité, en étant capables de challenger les propositions du CIO et du RSSI sur la base d’une compréhension solide des risques.
La troisième étape concerne la revue des assurances cyber et des mécanismes de transfert de risques. La directive NIS2 ne se substitue pas aux dispositifs assurantiels, mais elle impose une gestion des risques plus structurée, qui doit être cohérente avec les garanties souscrites et les exclusions éventuelles. Les dirigeants doivent donc arbitrer, avec l’appui du CIO et du directeur des risques, entre les investissements dans les mesures de sécurité, la couverture assurantielle et l’acceptation résiduelle de certains risques cyber.
Enfin, la mise en conformité NIS2 doit être intégrée dans la feuille de route globale de transformation du système d’information. Les projets de modernisation, de migration vers le cloud ou de rationalisation applicative doivent être évalués à l’aune de leur contribution à la sécurité, à la résilience et à la conformité. En articulant la responsabilité des dirigeants en cybersécurité avec ces projets, le CIO peut transformer une obligation réglementaire en avantage compétitif durable, en renforçant la confiance dans la capacité de l’entreprise à protéger ses actifs numériques et à assurer la continuité de ses activités.
Chiffres clés et impact économique de NIS2 pour les directions générales
- La directive NIS2 s’applique à plus de 15 000 entités françaises dans 18 secteurs, selon les estimations communiquées par les autorités françaises en charge de la transposition, ce qui élargit considérablement le périmètre des entreprises soumises à des obligations renforcées de cybersécurité et de notification des incidents.
- Les sanctions prévues peuvent atteindre 2 % du chiffre d’affaires mondial ou 10 millions d’euros, plaçant la non-conformité NIS2 au même niveau de gravité financière que d’autres grands cadres réglementaires européens.
- Les dépenses de cybersécurité en France ont atteint 7,2 milliards d’euros, en hausse de 14 % selon une étude d’IDC France sur le marché de la sécurité, ce qui illustre l’effort massif consenti par les entreprises pour renforcer leurs mesures de gestion des risques cyber.
- Les obligations de notification des incidents imposent un premier signalement à l’autorité compétente dans les 24 heures, ce qui nécessite une capacité de détection, de qualification et de décision extrêmement réactive au niveau de la direction.
- Pour de nombreuses entreprises réalisant plusieurs centaines de millions d’euros de chiffre d’affaires, le coût potentiel d’un incident majeur dépasse largement le montant maximal des sanctions, ce qui renforce l’intérêt économique d’investir dans la mise en conformité et la résilience.
- Au niveau du conseil d’administration, une pratique de place consiste à valider au moins une fois par an le registre des risques cyber, à organiser une session de formation dédiée tous les 12 à 18 mois, à tester le dispositif de notification des incidents en simulation de crise et à suivre quelques KPI de pilotage (taux de réalisation du plan d’actions, incidents significatifs, temps moyen de reprise) pour démontrer l’exercice effectif de la responsabilité des dirigeants.