Changement d'organe de direction — transférer la responsabilité NIS 2 en toute sécurité
Lorsque le CEO ou le Geschäftsführer part, l'obligation de formation du § 38 BSIG ne part pas avec lui. Trois choses doivent se produire à la passation, sinon la responsabilité personnelle se transfère de la pire des manières.
Pourquoi la passation est le moment NIS 2 le plus négligé
La plupart des entités se préparent au jour où NIS 2 s'applique à elles pour la première fois. Peu se préparent au jour où la personne qui possède la mise en œuvre la transmet. C'est à ce moment que la responsabilité personnelle du § 38 BSIG se transfère discrètement, que les données d'enregistrement du BSI deviennent obsolètes et que les acceptations de risque signées deviennent orphelines.
Au titre de l'art. 20 NIS 2, l'organe de direction « peut être tenu responsable » des infractions. La responsabilité s'attache au rôle, pas à la personne. Le Geschäftsführer entrant hérite de tout ce que le sortant a approuvé, y compris des risques sur lesquels il n'a jamais été informé. Le protocole de passation existe pour faire en sorte que ce briefing ait lieu et soit consigné.
Il n'existe pas de réglementation distincte sur la passation NIS 2. Les obligations proviennent de trois sources : la règle de mise à jour sous 2 semaines du § 33(5) BSIG pour les données d'enregistrement, l'obligation de formation du § 38 BSIG pour le nouveau membre de l'organe de direction, et l'obligation générale d'approbation et de supervision de l'art. 20 NIS 2 qui se transfère dès que la nouvelle personne signe sa nomination.
Art. 20(1) NIS 2 + § 38 BSIG (formation)
Member States shall ensure that the management bodies of essential and important entities can be held liable for infringements by the entities of Article 21. The members of the management bodies shall be required to follow training in order to gain sufficient knowledge.
L'obligation de responsabilité et de formation s'attache le jour où le nouveau membre de l'organe de direction est enregistré, pas à une date ultérieure commode. Il n'y a pas de délai de grâce dans la directive.
§ 33(5) BSIG + art. 27(2) NIS 2 (mise à jour du registre)
Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.
Délai de deux semaines. La personne de contact enregistrée auprès du BSI est le canal par lequel arrivent les demandes liées aux incidents, les avis et les notifications de supervision. Une personne de contact obsolète signifie que les demandes du BSI échouent silencieusement.
Art. 20(1) NIS 2 (continuité de l'approbation)
The management bodies of essential and important entities shall approve the cybersecurity risk-management measures taken by those entities and shall oversee its implementation.
« Approuver » est une obligation continue. Les approbations signées par le CEO sortant lient l'entité, mais le CEO entrant devient responsable de leur supervision dès le premier jour. Il ne peut pas se désolidariser de ce sur quoi il n'a pas été informé, le briefing doit donc avoir lieu à la passation.
Justificatifs de formation du § 38 BSIG (sortant)
Preuve d'achèvement pour le membre sortant de l'organe de direction. La propre formation § 38 du nouveau membre doit être organisée séparément et promptement.
Acceptations de risque signées
Chaque entrée du registre des risques que le CEO sortant a acceptée (plutôt qu'atténuée) est désormais une obligation dont hérite le CEO entrant. Examinez-les à la passation, ne les découvrez pas à l'audit.
Cartographie des dépendances fournisseurs
Quels fournisseurs portent un risque NIS 2 au titre de l'art. 21(2)(d). Le CEO entrant doit savoir qui il ne peut pas résilier rapidement, qui détient une responsabilité contractuelle, qui est en retard de revue.
Propriété de la réponse à incident
Qui a accès au portail, qui valide les notifications, qui est le responsable de déclaration désigné. Noms, coordonnées, chaîne d'escalade. C'est le document que l'on sort à 03h00 lors d'un incident.
Étape 1 — Mettre à jour l'enregistrement auprès du BSI
Via le portail du BSI au titre du § 33(5) BSIG : nouvelle personne de contact, fonction, coordonnées. Deux semaines à compter de la date de nomination. Utilisez le certificat d'organisation ELSTER existant, il ne change pas quand l'organe de direction change.
Étape 2 — Planifier la formation du § 38 BSIG
Le nouveau membre est tenu de suivre une formation à la gestion des risques de cybersécurité. Aucun délai fixe dans le BSIG mais « unverzüglich » (sans délai) au titre du § 38(2). Planifiez-la dans le premier trimestre de la nouvelle fonction.
Étape 3 — Reconfirmer ou remplacer les approbations sortantes
Parcourez avec le nouveau membre le registre des risques et la cartographie des fournisseurs. Sa propre signature sur ce qu'il veut conserver, une décision distincte sur ce qu'il veut réexaminer. Documentez la date du briefing.
Le contact BSI jamais mis à jour
L'horloge de deux semaines du § 33(5) tourne en arrière-plan d'une transition chargée. Une mise à jour manquée signifie que le contact d'incident du BSI est une personne qui ne travaille plus dans l'entité. Exposition à une amende au titre du § 65 BSIG plus, dans le pire des cas, une défaillance de notification d'incident.
Acceptations de risque héritées à l'aveugle
Le CEO entrant signe sa nomination et devient, de plein droit, responsable des risques acceptés par son prédécesseur. Sans briefing, il ne peut pas défendre la position à l'audit. Le briefing de passation est le pont.
Formation § 38 planifiée « plus tard »
Il n'y a pas de délai spécifique, alors elle glisse. Les années passent. À la supervision suivante, le BSI demande une preuve et il n'y en a aucune. Planifiez-la dans le premier trimestre, pas « quand il y aura le temps ».
Trois modes de défaillance se cumulent. Premièrement, l'enregistrement auprès du BSI est obsolète, de sorte que la notification d'incident n'atteint personne. Deuxièmement, le CEO entrant n'a aucun briefing sur les risques dont il a hérité, de sorte que la défense à l'audit s'effondre. Troisièmement, la formation du § 38 est manquante, ce qui est une infraction distincte au titre du § 38(3) BSIG.
Chacun des trois déclenche le même parcours d'exécution : notification de supervision au titre de l'art. 32 NIS 2, amende possible au titre du § 65 BSIG, exposition personnelle du membre de l'organe de direction qui a signé sans vérifier. Rien de tout cela n'est réversible par un briefing rétroactif.
- Directive (UE) 2022/2555 (NIS 2), art. 20, art. 27, art. 32, www.eur-lex.europa.eu
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), § 33(5), § 38, § 65, www.gesetze-im-internet.de
- BSI Handreichung zu § 38 BSIG (avril 2026, version 1.0), www.bsi.bund.de
- NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG)
Cette page fournit une orientation structurée fondée sur des sources accessibles au public (directive NIS 2, BSIG, BSI Handreichung § 38). Elle ne constitue pas un conseil juridique au sens du § 2 RDG. L'exposition à la responsabilité personnelle des membres de l'organe de direction est une question juridique relevant d'un avocat inscrit. À jour au 2026-06-04.