Obligations NIS2 : ce que la directive impose concrètement aux dirigeants

Avec NIS2, la cybersécurité change de camp. Elle ne relève plus seulement du RSSI ou de la DSI. La directive européenne engage directement la responsabilité des organes de direction. Mais concrètement, quelles sont les obligations NIS2 des dirigeants ? Qu'est-ce qui est juridiquement obligatoire ? Qu'est-ce qui relève des bonnes pratiques ? Et par où commencer sans se noyer dans des checklists sans fin ?

À retenir — Les 4 obligations NIS2 de la direction

Selon la directive (UE) 2022/2555, les dirigeants d'entités essentielles et importantes doivent :

• ✅ Approuver les mesures de gestion des risques cyber
• ✅ Superviser leur mise en œuvre
• ✅ Se former aux risques cyber (exigence explicite du texte)
• ✅ Assumer la responsabilité en cas de manquement

Ce n'est pas une recommandation. C'est le texte de l'article 20 de la directive.

NIS2 : une logique de gouvernance du risque, pas une liste d'outils

Le premier malentendu à lever est celui-là : NIS2 ne prescrit pas d'outils techniques précis, mais impose des catégories de mesures à couvrir, pilotées au plus haut niveau de l'organisation.

La cybersécurité devient un sujet de gouvernance, au même titre que le risque financier ou le risque opérationnel. La logique est simple : NIS2 n'évalue pas si votre infrastructure est parfaite. Elle évalue si votre direction comprend les risques, prend des décisions et peut en rendre compte.

La structure de la directive est claire :

• Article 20 → responsabilité de la direction

• Article 21 → mesures de gestion des risques (avec catégories minimales explicites)

• Article 23 → notification des incidents (avec délais précis)

Ces trois articles forment le cœur de ce que votre organisation doit être en mesure de démontrer.

Ce que dit exactement l'article 20 : gouvernance et responsabilité de la direction

"Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités, supervisent leur mise en œuvre et puissent être tenus responsables des manquements."
— Directive (UE) 2022/2555, article 20

Concrètement, la responsabilité NIS2 de la direction implique :

• Une responsabilité clairement attribuée au niveau managérial (DG, membre du COMEX ou délégation formelle)

• Des décisions explicites sur les risques cyber — pas une simple information

• Une formation aux risques cyber : l'article 20 impose explicitement que les membres de la direction suivent des formations adaptées

• Un suivi dans le temps : des revues périodiques, pas un traitement ponctuel en cas de crise

• Une intégration du risque cyber dans la cartographie globale des risques de l'organisation

Ce qui est attendu n'est pas une expertise technique de la direction. C'est une responsabilité managériale de la gouvernance NIS2 : assumée, formée et traçable.

Les preuves attendues en cas de contrôle :

• Procès-verbaux de comités mentionnant la cybersécurité avec décisions associées

• Traces de formations suivies par les membres de la direction

• Décisions formalisées d'arbitrage ou d'acceptation de risques

• Reporting cyber présenté à la direction avec validation documentée

Ce que dit exactement l'article 21 : les mesures de gestion des risques

"Les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information."
— Directive (UE) 2022/2555, article 21

C'est ici que réside la principale nuance à bien comprendre : la gouvernance NIS2 de la direction ne se limite pas à valider une analyse de risques. L'article 21 impose des catégories de mesures concrètes, toutes à couvrir de manière appropriée et proportionnée :

‍

Direction
   ↓
Gouvernance cyber (Art. 20)
   ↓
Gestion des risques cyber
   ↓
Mesures techniques et organisationnelles (Art. 21)
   ↙    ↓    ↓    ↓    ↓    ↘
Incidents  Continuité  Supply chain  Accès  RH  Cryptographie

‍


Les catégories de mesures minimales explicitement listées dans l'article 21 :

• Gestion des incidents : processus de détection, qualification, réponse

• Continuité d'activité : plans de sauvegarde (backup), reprise après sinistre (disaster recovery), gestion de crise (crisis management) — ces trois termes sont explicitement cités dans la directive

• Sécurité de la chaîne d'approvisionnement (supply chain) : maîtrise des fournisseurs critiques

• Sécurité lors de l'acquisition, du développement et de la maintenance des systèmes

• Gestion des vulnérabilités : identification, traitement, divulgation

• Politiques et pratiques de cryptographie

• Sécurité des ressources humaines : processus recrutement, départ, formation

• Gestion des accès et authentification multifacteur (MFA) : exigée explicitement

La conséquence opérationnelle : Une organisation ne peut pas se contenter d'une "bonne analyse de risques" sans couvrir ces domaines. L'analyse de risques est le point de départpour calibrer les mesures — pas l'unique livrable attendu.

La règle des mesures "appropriées et proportionnées"

NIS2 laisse une marge d'appréciation réelle sur le niveau des mesures, à condition qu'elles soient proportionnées à :

• La taille et le secteur de l'entité

• L'exposition aux risques réelle

• Le rôle dans l'écosystème

Un ETI de 200 personnes dans le secteur de l'énergie et un grand groupe d'infrastructure critique n'auront pas les mêmes attentes. Ce qui est non négociable, c'est la cohérence entre les risques identifiés et les mesures déployées — et la capacité à le démontrer.

Ce que dit exactement l'article 23 : les délais de notification des incidents

"Les entités essentielles et importantes notifient, sans retard injustifié, à l'autorité compétente ou au CSIRT tout incident ayant un impact significatif sur la fourniture de leurs services."
— Directive (UE) 2022/2555, article 23

La gestion des incidents NIS2 distingue deux niveaux : l'opérationnel (détecter, contenir, rétablir) et le réglementaire (notifier dans les délais). Ce sont deux obligations distinctes.

Le processus de notification se déroule en 3 temps précis :

‍

Ce que cela implique concrètement : Votre organisation doit avoir préqualifié ses critères d'incident significatif avant qu'un incident survienne. Une notification à 24h n'est possible que si la chaîne de décision est déjà clarifiée : qui détecte, qui qualifie, qui notifie, qui décide.

Notifier n'est pas un aveu de faute. C'est une obligation procédurale. Ce qui est sanctionné, c'est l'absence de notification — pas le fait d'avoir subi un incident.

Ce que NIS2 n'impose PAS : les idées reçues à corriger

C'est un point souvent mal compris. De nombreux éléments sont présentés comme "exigés par NIS2" alors qu'ils relèvent des bonnes pratiques, utiles et valorisables, mais non obligatoires en tant que tels :

Nuance importante sur la documentation : elle doit rester démontrable, pas nécessairement exhaustive. La directive parle de mesures "appropriées et proportionnées" — ce qui signifie que 10 pages réellement utilisées valent mieux que 200 pages jamais lues.

Ce qui varie selon la transposition nationale (dont la France)

La France n'a pas encore finalisé sa transposition de NIS2. Cela a une conséquence directe : certaines modalités pratiques restent en cours de stabilisation :

• L'autorité compétente et ses modalités d'organisation

• Les processus opérationnels de notification (plateforme, format, interlocuteurs ANSSI)

• L'articulation avec les référentiels nationaux (le référentiel ANSSI est en cours de finalisation)

Ce qui ne change pas : les obligations de fond issues du texte européen s'appliquent dès maintenant. La transposition nationale précise les modalités, elle ne crée pas les obligations.

La bonne posture : s'aligner sur le socle européen (articles 20, 21, 23) et documenter explicitement les hypothèses retenues sur les modalités françaises, en les distinguant clairement des obligations UE.

L'erreur que la direction ne peut pas se permettre

L'erreur la plus fréquente n'est pas de mal mettre en œuvre NIS2. C'est de laisser la cybersécurité cantonnée au RSSI, sans implication réelle de la direction.

Un contrôleur NIS2 ne cherche pas la perfection technique. Il cherche la preuve que la direction comprend les enjeux, arbitre les priorités, s'est formée et assume les choix. En l'absence de traces de pilotage cyber au niveau de la direction — et de formation documentée — c'est systématiquement un signal négatif en supervision.

La bonne gouvernance NIS2, c'est : un dispositif cohérent, simple, utilisé et traçable. Pas un comité de plus.

Les 5 premières actions concrètes à lancer

1. Formaliser une note de gouvernance cyber validée par la direction : désignation d'un pilote, attribution de la responsabilité — 2 pages suffisent

1. Documenter les formations cyber suivies par les membres de la direction (exigence explicite de l'article 20)

1. Produire une cartographie des services critiques — ciblée, une page, avec les actifs associés

1. Lancer une analyse de risques simplifiée couvrant les 8 domaines de l'article 21 — 10 à 15 risques majeurs identifiés et assumés

1. Clarifier la chaîne de décision en cas d'incident : rôles, délais, critères de notification à 24h/72h

Ces actions sont simples. Elles sont aussi très valorisables en cas de contrôle NIS2.

‍

👉 Vous voulez construire votre gouvernance NIS2 ? Découvrez notre guide opérationnel NIS 2, fiches pratiques, livrables attendus et checklist direction inclus.

‍