NIS2 pour l'organe de direction en cinq minutes
NIS2 n'est pas un sujet informatique. L'article 20 de la directive (UE) 2022/2555 place le devoir de cybersécurité sur l'organe de direction de chaque entité essentielle et importante, nommément. Cette page est la version courte dont un directeur général ou un membre du conseil a besoin avant lundi matin.
Pourquoi c'est sur votre bureau
Si vous siégez à l'organe de direction d'une société couverte par NIS2, l'article 20 vous nomme. Pas le responsable informatique, pas le RSSI, pas le prestataire externe. La directive trace une ligne des devoirs de cybersécurité de l'article 21 droit jusqu'aux personnes qui signent pour la société.
Trois choses en découlent. L'organe de direction doit approuver les mesures de gestion des risques que la société met en place. Il doit superviser que ces mesures sont effectivement mises en œuvre. Et ses membres eux-mêmes doivent suivre une formation afin de pouvoir lire ce qu'ils approuvent. La directive énonce les trois.
L'Allemagne transpose la même règle en droit national par le §38 BSIG, qui énumère les trois mêmes devoirs un par un et ajoute une clause de responsabilité personnelle. Le compteur pour tout cela court depuis la date de transposition de la directive du 17 octobre 2024.
Article 20, paragraphe 1, de la directive NIS2 (2022/2555)
Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l'article 21, supervisent sa mise en œuvre et puissent être tenus responsables des infractions à cet article commises par les entités.
L'article 20 est l'article de gouvernance de la directive. Le paragraphe 1 fixe les trois devoirs sur l'organe de direction : approuver, superviser, pouvoir être tenu responsable. Le paragraphe 2 ajoute le devoir de formation pour l'organe de direction lui-même et demande à l'entité d'offrir une formation régulière à l'ensemble du personnel.
CIR (UE) 2024/2690, annexe §1.1
La politique de sécurité des réseaux et des systèmes d'information établit l'approche des entités concernées pour gérer la sécurité de leurs réseaux et systèmes d'information. Le cadre de gestion des risques visé au point 2.1 recense les risques pour la sécurité des réseaux et des systèmes d'information et prévoit leur gestion.
Le règlement d'exécution de la Commission n'opérationnalise pas l'article 20 lui-même. Il opérationnalise les mesures de l'article 21 que l'organe de direction doit approuver au titre de l'article 20, paragraphe 1. Le §1 est le chapeau de la politique, le §2 le cadre de gestion des risques. Pour les fournisseurs DNS, les opérateurs d'informatique en nuage et de centres de données, les MSP et les autres secteurs nommés dans l'annexe du CIR, c'est ce que l'organe de direction approuve.
§38 BSIG (Allemagne)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
L'Allemagne transpose l'article 20, paragraphe 1, en droit national par le §38 BSIG et nomme explicitement le destinataire comme étant les Geschäftsleiter, les personnes physiques qui dirigent l'entité. Le §38(2) ajoute que les membres de l'organe de direction sont responsables envers l'entité des manquements à ces devoirs. Le §38(3) reprend le devoir de formation. Les autres États membres ont des lois de transposition parallèles (Cyberbeveiligingswet aux Pays-Bas, NISG en Autriche, NIS2-Wet en Belgique).
Confirmer si la directive s'applique
NIS2 s'applique si l'entité relève de l'un des secteurs nommés à l'annexe I ou à l'annexe II et atteint le seuil de taille (moyenne au sens de la recommandation 2003/361/CE, soit 50 employés ou plus de 10 millions d'euros de chiffre d'affaires). Une poignée de types d'entités sont couverts indépendamment de la taille : les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS, l'administration publique, les fournisseurs uniques dans un État membre. Le premier travail de l'organe de direction est de savoir lequel de ces cas s'applique.
Approuver, superviser, former
L'article 20, paragraphe 1, donne à l'organe de direction deux devoirs opérationnels : approuver les mesures de gestion des risques en matière de cybersécurité que l'entité met en place au titre de l'article 21, et superviser leur mise en œuvre. L'article 20, paragraphe 2, en ajoute un troisième : suivre vous-même une formation, et faire en sorte que l'entité offre une formation régulière au personnel. Les trois devoirs sont nommés sur l'organe de direction. Aucun d'eux ne repose sur le responsable informatique.
Le compteur court depuis le 17 octobre 2024
L'article 41 de NIS2 a fixé le 17 octobre 2024 comme la date à laquelle les États membres devaient transposer la directive. À compter de cette date, les devoirs des articles 20, 21 et 23 s'appliquent aux entités relevant du périmètre. L'exécution nationale court sur des compteurs nationaux (le NIS2UmsuCG allemand est retardé, mais le devoir au niveau de l'UE n'attend pas la loi nationale). Les praticiens traitent octobre 2024 comme la ligne de départ opérationnelle.
La responsabilité repose sur la personne physique
L'article 20, paragraphe 1, dispose que l'organe de direction « peut être tenu responsable » des infractions de l'entité à l'article 21. Le §38(2) BSIG en fait une action en responsabilité interne : les membres de l'organe de direction sont responsables envers l'entité elle-même des manquements aux devoirs du §38(1). Vous pouvez déléguer l'exécution des mesures de cybersécurité. Vous ne pouvez pas déléguer l'approbation ni la supervision. La directive trace la ligne aux personnes qui signent.
La proportionnalité permet à l'entité de s'ajuster à son risque
L'article 21, paragraphe 1, deuxième alinéa, dispose que les mesures doivent être « appropriées et proportionnées » au risque auquel l'entité est exposée. Six facteurs entrent dans cette appréciation : l'exposition de l'entité, sa taille, la probabilité d'un incident, la gravité de l'impact (y compris les effets sociétaux et économiques), l'état de l'art et le coût de mise en œuvre. L'organe de direction est l'organe qui apprécie cette proportionnalité et signe pour elle. On n'attend pas d'un Stadtwerk de 60 personnes qu'il dépense comme une banque.
Le BSI comme autorité compétente
Le Bundesamt für Sicherheit in der Informationstechnik (BSI) est l'autorité compétente allemande au titre du §29 BSIG. Il supervise les mesures de gestion des risques du §30 BSIG, gère le canal de déclaration des incidents du §32 BSIG, et exploite le portail d'enregistrement du §33 BSIG. Pour l'organe de direction, le BSI est l'adresse pour les questions, les enregistrements, les notifications d'incidents et les audits.
L'ENISA comme référence
L'Agence de l'Union européenne pour la cybersécurité (ENISA) est l'agence de cybersécurité à l'échelle de l'UE. L'article 18 de NIS2 lui confie un rôle de rapport sur l'état de la cybersécurité. Elle publie également les orientations techniques de mise en œuvre (TIG) pour le règlement d'exécution de la Commission, y compris des tableaux de correspondance vers ISO/IEC 27001:2022 et NIST CSF 2.0. L'ENISA ne supervise pas, mais les auditeurs et les régulateurs nationaux traitent ses orientations comme une lecture raisonnable.
L'Aufsichtsrat comme supervision parallèle
Si l'entité dispose d'un conseil de surveillance (Aufsichtsrat dans une AG allemande, Beirat dans une GmbH plus grande), les devoirs NIS2 de l'organe de direction s'exécutent en parallèle des devoirs existants du conseil de surveillance au titre du §111 AktG de superviser la direction. Le conseil de surveillance ne peut pas retirer l'article 20, paragraphe 1, de la charge de l'organe de direction, mais il peut demander les mêmes preuves d'approbation et de supervision qu'attend NIS2, et la plupart le font.
J'ai délégué cela à l'informatique.
Vous pouvez déléguer l'exécution. Vous ne pouvez pas déléguer l'approbation ni la supervision. L'article 20, paragraphe 1, nomme l'organe de direction comme l'organe qui approuve les mesures et supervise leur mise en œuvre. Le §38 BSIG nomme les Geschäftsleiter comme destinataires. Le responsable informatique, le RSSI, le prestataire externe peuvent mener le programme. Ils ne peuvent pas signer pour lui en votre nom. La directive trace la ligne aux personnes qui représentent légalement l'entité.
Attendons que la loi nationale soit définitive.
L'article 20 s'applique depuis la date de transposition du 17 octobre 2024. Le NIS2UmsuCG allemand est retardé, mais le devoir de la directive n'attend pas la loi nationale. Le règlement d'exécution (UE) 2024/2690 de la Commission est directement contraignant dans son périmètre sectoriel depuis octobre 2024 sans avoir besoin d'aucune transposition. Les praticiens traitent octobre 2024 comme la ligne de départ opérationnelle et documentent leur échelonnement au titre de la proportionnalité de l'article 21, paragraphe 1.
La cybersécurité est un problème informatique.
L'article 20 en fait délibérément un problème de gouvernance. La directive place le devoir sur l'organe de direction, et non sur la fonction informatique, parce que les coûts, les décisions d'acceptation du risque et les arbitrages n'ont de sens qu'à ce niveau. L'équipe informatique met en œuvre les mesures. L'organe de direction est propriétaire de l'image du risque, signe pour le risque résiduel, et est l'organe avec lequel l'auditeur et le BSI en discutent.
Ce que nous voyons dans le Mittelstand allemand : l'organe de direction tient une séance de travail chaque trimestre, parcourt le registre des risques, valide les mesures de l'article 21 qui sont dans le périmètre pour cette période, et documente l'appréciation de proportionnalité en deux ou trois lignes. C'est la forme opérationnelle de l'article 20, paragraphe 1, pour une entité qui n'a pas d'équipe GRC dédiée.
Le devoir de formation au titre de l'article 20, paragraphe 2, demande moins que ne le pensent les gens. Il n'existe pas de certificateur accrédité par l'UE pour la formation de l'organe de direction NIS2. L'inscription et un relevé d'achèvement constituent le socle juridique. Un cours de deux heures qui couvre la structure de la directive, l'image du risque propre à l'entité et le rôle de l'organe de direction satisfait au libellé. L'enjeu est que les personnes qui signent puissent lire ce qu'elles signent.
La plateforme enregistre les trois devoirs de l'organe de direction comme des artefacts distincts. Les approbations s'exécutent sous forme de validations signées au regard des mesures de l'article 21, avec le nom de la personne physique sur l'enregistrement. La supervision passe par la vue de tableau de bord qui montre l'état de mise en œuvre, les risques ouverts et les preuves d'efficacité en un seul endroit. Les relevés de formation figurent sur le profil de l'utilisateur avec les dates d'inscription et d'achèvement.
Les trois alimentent la même traçabilité, de sorte que les preuves qu'attend l'article 20 (qui a approuvé quoi, quand, sur quelle base) sont produites comme effet secondaire de l'utilisation de la plateforme. Le cours CEO est inclus dans la plateforme. La plateforme est gratuite et open source, sans lock-in.
- Directive (UE) 2022/2555 (NIS2), articles 20, 21 et 41 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §1 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi BSI (BSIG), §29, §30, §32, §33 et §38 — gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), §111 — gesetze-im-internet.de/aktg
- Orientations techniques de mise en œuvre de l'ENISA pour le CIR (UE) 2024/2690 — enisa.europa.eu