Sécurité du personnel NIS 2 au titre de l'article 21(2)(i)
Les personnes font partie du périmètre de sécurité. L'article 21(2)(i) NIS 2 nomme d'un même souffle la sécurité du personnel, le contrôle d'accès et la gestion des actifs. Le §10 du CIR (UE) 2024/2690 précise les quatre éléments relatifs au personnel. En Allemagne, le §30(2)(9) BSIG porte la même obligation.
La version courte
La plupart des violations commencent par une personne. L'article 21(2)(i) inscrit la sécurité du personnel sur la liste des dix obligations de cybersécurité. Le texte regroupe trois choses : la sécurité du personnel, le contrôle d'accès et la gestion des actifs. Elles sont liées parce qu'un rôle détermine quel accès une personne nécessite et quels actifs elle peut toucher.
Le §10 du CIR (UE) 2024/2690 prend la moitié relative au personnel et la scinde en quatre éléments. Assurez-vous que les personnes comprennent leur rôle (§10.1). Contrôlez la fiabilité là où cela a du sens (§10.2). Gérez proprement les départs et les changements de rôle (§10.3). Disposez d'une procédure disciplinaire pour les violations (§10.4). Pas du RH mou. De la sécurité opérationnelle.
L'Allemagne transpose l'ensemble de l'article 21(2)(i) via le §30(2)(9) BSIG, qui énumère ensemble la sécurité du personnel, le contrôle d'accès et la gestion des actifs. Le même libellé. La même obligation. Cette page parcourt la directive, le règlement de suivi de l'UE et la transposition allemande dans cet ordre.
Article 21(2)(i) directive NIS 2 (2022/2555)
La sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs.
Point (i) de la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. Trois obligations condensées dans un seul paragraphe, parce qu'elles ne fonctionnent qu'ensemble.
CIR (UE) 2024/2690, annexe §10
La sécurité des ressources humaines (article 21(2)(i) de la directive (UE) 2022/2555).
Le §10 du CIR scinde la moitié relative au personnel en quatre sous-sections. §10.1 rôles et recrutement, §10.2 contrôles de fiabilité, §10.3 fin d'emploi et changements de rôle, §10.4 procédure disciplinaire. Droit de l'UE directement contraignant pour les fournisseurs de DNS, les fournisseurs de cloud et de centres de données, les MSP, les prestataires de services de confiance et les autres secteurs nommés à l'annexe.
§30(2)(9) BSIG (Allemagne)
La sécurité des ressources humaines, des concepts de contrôle d'accès et la gestion des actifs.
L'Allemagne copie le texte de l'UE. L'obligation est la même. Le BSI désigne IT-Grundschutz, en particulier le module ORP.2 « Personnel », comme la voie pratique de mise en œuvre.
Rôles, sensibilisation et recrutement
Assurez-vous que les personnes savent quelles sont leurs responsabilités en matière de cybersécurité. Le personnel en général, les utilisateurs disposant d'un accès administrateur ou privilégié, et l'organe de direction en particulier. Recrutez délibérément pour les rôles pertinents en matière de cybersécurité : vérifications de références, validation des qualifications, tests écrits le cas échéant.
Contrôles de fiabilité le cas échéant
Contrôles d'antécédents sur le personnel et les prestataires directs lorsque cela est « faisable et applicable » et que le rôle l'exige. Consignez par écrit quels rôles ne peuvent être pourvus que par des personnes dont la fiabilité a été vérifiée. C'est fonction du rôle, pas universel. Les rôles d'administrateur et à accès privilégié en sont des candidats typiques.
Fin d'emploi, changement de rôle et discipline
Lorsqu'une personne part ou change de rôle, les obligations de sécurité qui survivent à l'emploi doivent être fixées par écrit dans le contrat et effectivement appliquées. Les clauses de confidentialité courent au-delà de la fin de l'emploi. Et il doit exister une procédure disciplinaire pour les violations des politiques de sécurité.
Les contrôles de fiabilité sont fonction du rôle, pas universels
Le §10.2 prévoit des contrôles d'antécédents « lorsque cela est faisable et applicable » et uniquement sur les rôles qui l'exigent. Vous ne contrôlez pas chaque caissier. Vous contrôlez bien la personne qui détient le domaine administrateur. Les critères déterminant quels rôles nécessitent un contrôle de fiabilité doivent être consignés par écrit, avant l'embauche, pas après.
La confidentialité survit à la relation d'emploi
Le §10.3 exige que les obligations de sécurité qui doivent tenir après le départ d'une personne soient fixées contractuellement. La confidentialité est la plus évidente. Non-divulgation des détails d'incidents, des données clients, de l'architecture des systèmes. La clause figure dans le contrat dès le premier jour, pas le dernier jour du partant.
BSI / IT-Grundschutz ORP.2
Le socle IT-Grundschutz du BSI couvre la sécurité du personnel dans le module ORP.2 « Personnel ». ORP.2 parcourt le recrutement, la sensibilisation, la formation, les procédures de départ et le personnel des fournisseurs. En Allemagne, vous devez aussi vous coordonner avec le droit du travail : les limites de l'AGG sur les critères de contrôle, la cogestion du comité d'entreprise (BetrVG) sur les contrôles d'antécédents. Élaborez la politique avec le comité d'entreprise dans la pièce, pas contre lui.
Technical Implementation Guidance de l'ENISA
Le TIG de l'ENISA pour le CIR (UE) 2024/2690 met le §10 en correspondance avec les contrôles de l'annexe A d'ISO/IEC 27001:2022, A.6.1 à A.6.6 (sélection, conditions d'emploi, sensibilisation, processus disciplinaire, fin d'emploi, confidentialité). Si vous exploitez déjà ISO 27001, l'essentiel du §10 est en place. Le TIG nomme les preuves que les auditeurs attendent.
Lois nationales de transposition
Chaque État membre a sa propre transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). L'obligation au titre de l'article 21(2)(i) est la même. Ce qui diffère localement : les contraintes du droit du travail sur le contrôle d'antécédents, qui reflètent l'AGG et le BetrVG allemands dans la forme sinon dans le détail.
Nous ne faisons pas de contrôles d'antécédents. La protection des données l'interdit.
Trop large. Le §10.2 limite les contrôles de fiabilité aux rôles pour lesquels ils sont « faisables et applicables ». Pour les utilisateurs administrateurs ou à accès privilégié, un contrôle de fiabilité documenté est généralement admissible au regard du GDPR si vous disposez d'une base juridique claire, d'une portée définie et de l'adhésion du comité d'entreprise. La tâche n'est pas « ne contrôler personne ». La tâche est « consigner par écrit quels rôles l'exigent et l'exécuter pour ces rôles ».
Quand une personne part, nous récupérons son badge et désactivons son compte. C'est fait.
Bien pour la partie accès physique et informatique. Pas suffisant pour le §10.3. La directive exige que les obligations qui survivent à l'emploi soient fixées par écrit dans le contrat. Confidentialité, non-divulgation, restitution des actifs, obligations de signalement continues pour les incidents que la personne connaît. Une liste de contrôle de départ sans ancrage contractuel ne représente que la moitié du travail.
Nous n'avons pas de procédure disciplinaire pour les violations de la sécurité informatique.
Si, vous en avez une, vous ne l'avez simplement pas écrite spécifiquement pour l'informatique. Le §10.4 exige une procédure disciplinaire pour les violations des politiques de sécurité. Elle n'a pas à être un processus distinct. Intégrez-la à votre procédure disciplinaire RH générale : nommez le fait générateur (« violation de la politique de sécurité de l'information »), référencez la politique, documentez la voie d'escalade.
La plupart des entreprises du Mittelstand font déjà la moitié du §10 sans l'appeler NIS 2. Les RH effectuent des vérifications de références à l'embauche. Il existe une liste de contrôle de départ. Les clauses de confidentialité figurent dans le contrat de travail standard. La formation de sensibilisation a lieu une fois par an. Cela couvre l'essentiel du §10.1 et une partie du §10.3.
Les écarts du §10 que nous voyons sont plus étroits qu'on ne le pense. Un : des clauses contractuelles de confidentialité qui couvrent explicitement les obligations liées à l'informatique et survivent à la fin de l'emploi, pas seulement un libellé générique de NDA. Deux : une liste écrite des rôles pour lesquels un contrôle de fiabilité est obligatoire avant l'embauche, avec les critères explicités. Trois : une procédure disciplinaire explicite pour les violations de la sécurité informatique, même si ce n'est qu'un paragraphe renvoyant à la procédure RH générale. Comblez ces trois-là, et le §10 est fait.
La plateforme capture les preuves du §10 dans les modules RH et ACC. Les affectations de rôles vivent au même endroit avec la personne, le rôle, le statut du contrôle de fiabilité et la date de la dernière formation de sensibilisation. La liste de contrôle de départ est un flux de travail avec validation, pas un document Word.
Le journal disciplinaire se trouve dans la piste d'audit. Lorsqu'une violation de politique est enregistrée, la procédure qui se déclenche est documentée, les étapes prises sont validées et la clôture est visible. Pas de tableur. Pas de second outil. La même base de preuves que celle que votre auditeur examinera.
- Directive (UE) 2022/2555 (NIS 2), article 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §10 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30(2)(9) tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI IT-Grundschutz, module ORP.2 « Personnel » — bsi.bund.de/grundschutz
- Technical Implementation Guidance de l'ENISA pour le CIR (UE) 2024/2690 (en date de mai 2026)