RACI pour NIS 2 dans une organisation de 60 personnes
Au titre de l'art. 20 NIS 2, l'organe de direction est Responsable (Accountable) des mesures de gestion des risques par la loi. RACI est le moyen le moins cher de s'assurer que tous les autres savent ce que cela signifie en pratique.
Pourquoi RACI pour NIS 2
La plupart des équipes du Mittelstand sautent la matrice RACI parce qu'elle ressemble à du théâtre de consultant. Au titre de NIS 2, elle n'est pas facultative dans son esprit. L'art. 20 NIS 2 met l'Accountability nommément sur l'organe de direction ; la matrice n'est que le moyen le moins cher de rendre Accountable, Responsible, Consulted et Informed lisibles pour l'équipe.
Une organisation de 60 personnes ne peut pas se permettre un RSSI, un DPO, un CCO, un responsable juridique et un responsable informatique en cinq personnes distinctes. Une personne couvre généralement deux ou trois rôles, et l'organe de direction couvre ceux qui sont directement assortis d'une responsabilité personnelle. RACI documente comment cette consolidation fonctionne sans enfreindre la directive.
La matrice compte le plus à deux moments : lorsqu'un nouveau dirigeant arrive et demande qui possède quelle obligation NIS 2, et lorsque le BSI demande des preuves et que vous devez montrer que quelqu'un a validé.
Art. 20(1) NIS 2 (responsabilité de l'organe de direction)
Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.
« Approve » et « oversee » sont des activités Accountable au sens RACI. L'organe de direction détient le A, qu'il délègue ou non le R. La délégation est autorisée, l'abdication ne l'est pas.
§ 38 BSIG (formation de l'organe de direction)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
La formation est l'obligation propre de l'organe de direction, non délégable. RACI le montre comme Responsible ET Accountable sur la ligne de l'organe de direction.
Organe de direction
CEO, Geschäftsführer, Vorstand. Accountable des mesures de l'art. 21 par la loi. Responsible de la formation de l'art. 20, de l'approbation du budget, de l'acceptation des risques au-delà du seuil convenu.
Responsable informatique ou RSSI
La plupart des entités du Mittelstand de 60 personnes n'ont pas de RSSI ; le responsable informatique cumule. Responsible de la mise en œuvre technique des mesures, des opérations quotidiennes, de l'évaluation technique des fournisseurs.
Délégué à la protection des données (DPO)
Déjà en place pour le GDPR. Sous NIS 2, il possède généralement le volet notification aux clients (art. 23(2) NIS 2) et le chevauchement de violation avec l'art. 33 GDPR. Souvent à temps partiel ou externe.
RH
Responsible de la formation du personnel ORP.3, des processus d'accès arrivée/mutation/départ, du volet données personnelles des employés dans la gestion des fournisseurs.
Conformité ou juridique
Souvent externalisé. Responsible des clauses contractuelles avec les fournisseurs au titre de l'art. 21(2)(d), des notifications aux destinataires de l'art. 23(2), de la correspondance réglementaire avec le BSI.
| Matrice RACI | Organe de direction | Responsable informatique ou RSSI | Délégué à la protection des données (DPO) | RH | Conformité ou juridique |
|---|---|---|---|---|---|
| Enregistrement auprès du BSI au titre du § 33 BSIG | A | R | C | I | C |
| Politique de sécurité de l'information au titre de l'art. 21(2)(a) | A | R | C | C | C |
| Traitement des incidents au titre de l'art. 21(2)(b) | A | R | C | I | C |
| Continuité d'activité au titre de l'art. 21(2)(c) | A | R | I | C | I |
| Sécurité de la chaîne d'approvisionnement au titre de l'art. 21(2)(d) | A | C | C | I | R |
| Formation de l'organe de direction au titre de l'art. 20(2) + § 38 BSIG | A and R | I | C | C | C |
| Sensibilisation de tout le personnel au titre de l'art. 21(2)(g) | A | C | C | R | I |
| Notification d'incident au titre de l'art. 23 + § 32 BSIG | A | R | C | I | C |
| Notification aux destinataires au titre de l'art. 23(2) NIS 2 | A | C | R | I | C |
| Mise à jour de l'enregistrement au titre du § 33(5) BSIG (délai de 2 semaines) | A | R | I | C | C |
RACI échoue lorsque les équipes traitent A et R comme identiques. Au titre de l'art. 20 NIS 2, l'organe de direction détient le A par la loi. Il ne peut pas déléguer le A. Il peut et doit déléguer le R, souvent au responsable informatique ou au DPO, mais la responsabilité ultime s'arrête toujours à l'organe de direction.
Conséquence pratique : lorsqu'un audit demande « qui a validé cette acceptation de risque ? », la réponse ne peut pas être « le responsable informatique ». Ce doit être un membre de l'organe de direction, nommément, avec une date. Le responsable informatique exécute ; l'organe de direction signe.
Un accord MSP ne déplace pas le A vers le MSP. L'art. 20 reste avec votre organe de direction. La responsabilité de l'exécution peut résider chez le MSP, mais uniquement dans le cadre d'un contrat qui définit ce qu'il fait au titre de l'art. 21(2)(d).
La matrice RACI gagne une sixième colonne : MSP externe. Il se place comme R sur les lignes techniques, comme Consulted sur les lignes de politique. La colonne Accountable ne quitte jamais votre organe de direction.
- Directive (UE) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 32, § 33, § 38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (sensibilisation et formation), www.bsi.bund.de
- Cooperation Group Common Notification Templates (adoptés le 26 mai 2026) sur les flux de déclaration
Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, BSI IT-Grundschutz, modèles du Cooperation Group). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. Pour la conception RACI spécifique à votre entité, consultez un conseiller qualifié. À jour au 2026-06-04.