0invader

Actualités

NIS2 : ce que tout conseil d'administration doit savoir avant octobre

30 mars 2026

NIS2 fait passer la cybersécurité de la salle des serveurs au conseil d'administration — avec une responsabilité personnelle des dirigeants, un délai de notification serré et des obligations qui pénètrent profondément dans votre chaîne d'approvisionnement. Voici la note dont votre conseil a réellement besoin.

La directive NIS2 de l'UE a redessiné la ligne de responsabilité en matière de cybersécurité. Le message destiné aux dirigeants est sans détour : les organes de direction doivent approuver et superviser les mesures de gestion des risques de cybersécurité, et les transpositions des États membres permettent de les tenir personnellement responsables en cas de manquement. Ce n'est plus un sujet à déléguer en bloc à l'informatique.

Si votre organisation entre dans le champ d'application, vous êtes classé soit comme entité essentielle, soit comme entité importante. Les deux statuts emportent des obligations ; la différence tient surtout à l'intensité de la supervision et à l'ampleur des sanctions encourues. La liste des secteurs est large — énergie, transport, banque, santé, infrastructure numérique, administration publique, et davantage — et les seuils de taille englobent de nombreuses entreprises de taille intermédiaire qui se croyaient jusqu'ici hors champ.

Trois choses que le conseil doit intégrer

  1. L'horloge de notification est rapide. Un incident significatif déclenche une alerte précoce auprès de l'autorité compétente sous environ 24 heures, une notification plus complète sous 72 heures et un rapport final sous un mois. Vous ne pouvez pas improviser cela sous pression — le circuit de signalement et les décideurs doivent être définis à l'avance.
  2. La responsabilité est personnelle et documentée. Les conseils sont censés recevoir une formation en cybersécurité et apporter la preuve d'une supervision active. « Nous faisions confiance au prestataire » n'est pas une défense.
  3. La chaîne d'approvisionnement est dans le champ. Vous êtes responsable de la posture de sécurité de vos fournisseurs et prestataires clés, et pas seulement de votre propre périmètre.

Actions concrètes pour le conseil avant octobre

  • Confirmez si vous êtes dans le champ, et dans quelle catégorie — obtenez-le par écrit.
  • Désignez nommément un dirigeant responsable de NIS2 et imposez un point récurrent à l'ordre du jour.
  • Commandez une analyse d'écart au regard des obligations de gestion des risques de la directive (traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôle d'accès, chiffrement, divulgation des vulnérabilités).
  • Mettez en place — et testez — un processus de notification d'incident capable de tenir le délai de 24 heures.
  • Revoyez les contrats fournisseurs pour y inclure des clauses de sécurité et des obligations de notification de violation.

Les organisations qui peinent avec NIS2 ne sont pas celles dont la technologie est faible. Ce sont celles où personne, au niveau du conseil, ne peut répondre à « sommes-nous dans le champ, et qui en est responsable ? »

La pression du calendrier est réelle, mais la directive récompense le fond plutôt que la paperasse. Un conseil capable de démontrer une supervision authentique, une capacité de réponse testée et une maîtrise crédible du risque fournisseur est en position de force — quelle que soit la rédaction finale de la transposition nationale. Commencez par le champ d'application et la responsabilité ; le reste suit.

Étiquettes : Compliance Governance

Nos partenaires nous font confiance

Ayuntamiento de Alhama de Murcia
Ayuntamiento de Totana
Garrigues Abogados
Grupo Sureste