Réglementation

Responsabilité personnelle des dirigeants sous NIS2 : ce que dit le texte, ce qu'il faut faire

Publié le 4 mai 2026 · L’équipe Expert NIS2 (BKube)

Pendant vingt ans, la cybersécurité a été « l’affaire de l’informatique » : un sujet technique, délégué, budgété à regret. NIS2 met fin à cette époque par son article 20 : les organes de direction doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre, et suivre une formation — et ils peuvent être tenus responsables des manquements. Pour un dirigeant de PME, c’est l’article le plus personnel de toute la directive.

Ce que le texte demande exactement

Trois obligations pèsent directement sur la direction :

  1. Approuver — les mesures de gestion des risques cyber ne peuvent plus être un choix technique implicite : elles doivent être validées par la direction, ce qui suppose qu’elle les comprenne.
  2. Superviser — la direction doit suivre la mise en œuvre : où en est le plan d’action ? Les mesures sont-elles efficaces ? Les incidents sont-ils traités ? La délégation reste possible ; la démission du sujet ne l’est plus.
  3. Se former — les membres des organes de direction doivent suivre une formation à la cybersécurité, et la directive encourage à l’étendre à l’ensemble des salariés.

En cas de manquement grave, le régime de sanctions peut atteindre les dirigeants eux-mêmes — jusqu’à, pour les entités essentielles, l’interdiction temporaire d’exercer des fonctions dirigeantes.

Le parallèle qui parle à tous les dirigeants

Cette mécanique n’est pas nouvelle dans son principe : c’est celle de la sécurité au travail. Un dirigeant ne sait pas réparer un pont roulant, mais il sait qu’il doit un document unique d’évaluation des risques, des formations, des vérifications périodiques — et que « je ne savais pas » ne le protège pas. NIS2 applique exactement cette logique au risque cyber : une obligation de moyens organisée et prouvable.

Et comme en sécurité au travail, ce qui protège le dirigeant, ce n’est pas la perfection — c’est la diligence documentée : avoir évalué, décidé, budgété, suivi, et pouvoir le montrer.

Les cinq réflexes qui protègent

Notre recommandation aux dirigeants que nous accompagnons tient en cinq pratiques, toutes simples :

  1. Un état des lieux honnête — un audit qui dit où vous en êtes vraiment. On ne supervise pas ce qu’on n’a jamais mesuré.
  2. Des décisions tracées — le plan d’action validé en comité de direction, avec arbitrages écrits. Refuser un investissement de sécurité est un droit ; l’avoir fait en connaissance de cause et l’avoir documenté, une protection.
  3. Un point régulier — la cybersécurité à l’ordre du jour du comité de direction, à cadence fixe, avec des indicateurs compréhensibles : taux de conformité, actions en retard, incidents.
  4. La formation faite — quelques heures, adaptées à un dirigeant, attestées. C’est l’obligation la plus facile à remplir et la plus embarrassante à n’avoir pas remplie.
  5. Un dossier qui prouve — politiques, registres, rapports de tests, journal des décisions : le jour du contrôle ou de l’incident, votre diligence doit se lire.

Vous aurez reconnu la philosophie de notre plateforme : elle est précisément conçue pour rendre cette diligence visible — la jauge de conformité, le plan d’action suivi, les documents versionnés sont autant de preuves que la direction a fait son travail. Parce que sous NIS2, bien faire ne suffit plus : il faut pouvoir le montrer.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.