Responsabilité de la direction au sens de NIS2
Le §38 BSIG rend les gérants personnellement responsables des manquements à la cybersécurité, une première en droit allemand.
La transposition allemande de NIS2 met en œuvre l'article 20 de NIS-2 en assortissant l'organe de direction d'une responsabilité personnelle explicite au §38 BSIG. Les membres de l'organe de direction (Geschäftsführung, Vorstand) de toute société soumise à NIS2, qu'il s'agisse d'une GmbH, d'une AG ou d'une KG, sont personnellement responsables de veiller à ce que les mesures de cybersécurité soient mises en œuvre, surveillées et maintenues. Cela ne peut pas être délégué au service informatique.
Cela est entièrement nouveau. Sous le cadre initial de NIS1 (l'ancien IT-Sicherheitsgesetz), la responsabilité incombait à la société en tant que personne morale. Le §38 BSIG change la donne : les gérants individuels peuvent désormais être tenus responsables sur leur patrimoine personnel s'ils manquent à leurs obligations de cybersécurité. La loi vise expressément les Geschäftsleiter, les personnes qui signent au nom de la société.
La loi définit trois obligations centrales pour la direction : l'approbation (Billigung) des mesures de cybersécurité, la surveillance (Überwachung) de leur mise en œuvre, et la formation personnelle (Schulung) en cybersécurité. Un manquement à l'une quelconque d'entre elles engendre une exposition à la responsabilité personnelle, même si la société elle-même a mis en œuvre des mesures raisonnables.
Approbation (Billigung)
La direction doit approuver formellement les mesures de gestion des risques de cybersécurité requises au titre du §30 BSIG. Cela signifie examiner et valider les politiques de sécurité de l'information de la société, les analyses de risques et les plans de traitement. Un « feu vert » verbal ne suffit pas. Il vous faut une approbation documentée et traçable, avec horodatages et signatures.
Surveillance (Überwachung)
La direction doit surveiller activement la mise en œuvre des mesures approuvées. Cela signifie des revues d'avancement régulières, un suivi de la progression et une gestion des escalades. Vous devez être en mesure de démontrer que vous avez contrôlé si les mesures ont effectivement été mises en œuvre, et non seulement que vous les avez approuvées avant de vous en désintéresser. Des revues trimestrielles de direction constituent la fréquence minimale défendable.
Formation (Schulung)
La direction doit suivre personnellement une formation en cybersécurité afin d'acquérir des connaissances suffisantes pour évaluer les risques et les mesures. Il ne s'agit pas de la formation générale de sensibilisation des salariés prévue au §30(2)(7) BSIG. Il s'agit d'une obligation distincte, spécifiquement destinée à l'organe de direction (§38(3) BSIG). La formation doit être adéquate pour comprendre le profil de risque de la société, les mesures en place et les risques résiduels acceptés.
Aucune mesure de cybersécurité mise en œuvre
Amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) au titre du §65 BSIG pour les entités essentielles. Pour les wichtige Einrichtungen : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. La direction s'expose à des actions en responsabilité personnelle de la part de la société pour les dommages résultant de la violation.
Incident non déclaré au BSI
Le §32 BSIG exige une notification initiale dans les 24 heures, un suivi dans les 72 heures et un rapport final dans un délai d'un mois. Le non-respect de ces délais déclenche une mesure d'application. Si la direction avait connaissance d'un incident et n'a pas veillé à ce qu'il soit déclaré, la responsabilité personnelle s'applique au titre du §38 pour manquement à la surveillance.
La direction n'a pas suivi de formation
Violation directe du §38(3) BSIG. C'est la violation la plus facile à prouver pour le BSI : soit vous disposez de justificatifs de formation, soit vous n'en disposez pas. Elle compromet également votre défense sur tous les autres points. Comment pouvez-vous prétendre à une surveillance adéquate si vous n'avez pas la formation nécessaire pour évaluer ce que vous surveillez ?
Aucune surveillance active de la mise en œuvre
Si des mesures ont été approuvées mais que la direction ne peut pas démontrer une surveillance continue (réunions de revue, rapports d'avancement, registres d'escalade), l'approbation seule est insuffisante. La loi exige les trois obligations. Approuver sans surveiller revient à signer un contrat sans le lire. Vous restez engagé.
Je peux déléguer cela au service informatique
Vous pouvez déléguer l'exécution, mais pas la responsabilité. Le §38 BSIG nomme expressément la Geschäftsleitung (tous les membres de l'organe de direction). Pas les responsables informatiques, pas les RSSI, pas les consultants externes. Vous devez personnellement approuver, surveiller et être formé. Votre équipe informatique met en œuvre ; vous approuvez et contrôlez. La distinction compte devant un tribunal.
L'assurance D&O couvre la responsabilité au titre de NIS2
La plupart des polices D&O excluent les amendes et sanctions réglementaires. Même lorsque les actions en responsabilité civile sont couvertes, les assureurs peuvent refuser leur garantie si la direction a sciemment manqué à des obligations légales. Vérifiez les clauses d'exclusion de votre police : « manquement au respect de réglementations impératives » est une exclusion standard dans les polices D&O allemandes.
Je ne suis pas technique, je ne peux pas être tenu responsable
Le §38(3) BSIG impose l'obligation de formation précisément pour éliminer cette défense. La loi présume qu'après avoir suivi une formation adéquate en cybersécurité, la direction dispose de connaissances suffisantes pour remplir ses obligations. « Je ne comprends pas la technologie » n'est pas une défense. C'est la preuve d'une violation de l'obligation de formation.
Les associés peuvent renoncer à ma responsabilité
Le §38(2) BSIG établit la responsabilité personnelle des membres de l'organe de direction pour les dommages causés par négligence. Les restrictions à la renonciation et à la transaction sur de telles créances découlent du droit des sociétés (§93(4) AktG, §43(3) GmbHG) : les renonciations ne sont possibles que dans des conditions étroites (généralement seulement trois ans après la naissance de la créance, par résolution de l'assemblée des associés à la majorité, et uniquement si aucun créancier n'en est lésé). L'assemblée des associés ne peut pas vous décharger de manière générale de la responsabilité au titre de NIS2.
Nous sommes trop petits pour que quiconque s'en soucie
Le seuil d'application de NIS2 commence à 50 salariés ou plus OU (chiffre d'affaires > 10 M€ ET total du bilan > 10 M€), la définition européenne des PME au sens de la recommandation 2003/361/CE de la Commission. Si vous atteignez ce seuil dans un secteur couvert, vous êtes soumis à l'ensemble du régime, y compris la responsabilité de la direction au titre du §38. Le BSI a déjà commencé à demander l'enregistrement d'entreprises de cette tranche de taille. La taille n'est pas une défense ; c'est un critère de délimitation du champ d'application, et vous êtes dans le champ.
Voici ce qui prend la plupart des gérants au dépourvu : au titre du §38 BSIG, vous êtes responsable envers votre propre société. Si la société subit un dommage parce que vous avez manqué à votre obligation de mettre en œuvre, de surveiller ou d'être formé sur les mesures de cybersécurité, la société (ou son administrateur judiciaire, ou ses associés) peut vous réclamer des dommages-intérêts à titre personnel. Il s'agit d'une responsabilité interne : votre propre organisation peut vous poursuivre.
Le §38(2) BSIG établit la responsabilité personnelle de l'organe de direction pour les dommages causés par négligence. Les limites du droit des sociétés à la renonciation et à la transaction (§93(4) AktG, §43(3) GmbHG) s'appliquent en parallèle. En pratique, si la société fait faillite à la suite d'un incident cyber, l'administrateur judiciaire peut engager des actions contre votre patrimoine personnel, et une renonciation générale et anticipée par les associés serait en principe sans effet.
L'obligation de formation au §38(3) BSIG n'est pas un perfectionnement professionnel facultatif. C'est un prérequis légal qui supprime l'ignorance comme moyen de défense. Dès lors que la loi vous oblige à être formé, le fait de ne pas obtenir cette formation constitue en soi une violation. Vous ne pouvez pas prétendre n'avoir pas compris les risques alors que la loi vous imposait d'en prendre connaissance.
Approuvez formellement les mesures de cybersécurité
Examinez l'analyse de risques, les politiques de sécurité et les plans de traitement préparés au titre du §30 BSIG. Validez avec votre nom, la date et votre fonction. Conservez l'approbation dans un système auditable, et non dans une boîte de réception. Cela crée la preuve documentée que vous avez rempli votre obligation de Billigung. Recommencez chaque fois que les mesures sont modifiées de façon substantielle.
Établissez des processus de surveillance
Planifiez des revues trimestrielles de direction sur l'état de la cybersécurité. Examinez l'avancement de la mise en œuvre, les risques ouverts, les rapports d'incidents et les indicateurs d'efficacité. Documentez la présence, les décisions et les actions à mener. Cela crée la trace continue prouvant votre obligation d'Überwachung : pas seulement une approbation ponctuelle, mais un engagement continu.
Suivez une formation en cybersécurité
Suivez un programme de formation qui couvre le paysage des menaces de votre société, les mesures du §30 BSIG, les obligations de déclaration d'incident et vos obligations personnelles au titre du §38. Documentez la formation : organisme, date, contenu abordé, attestation le cas échéant. Actualisez-la chaque année. Cela élimine la faille de la défense par ignorance et remplit votre obligation de Schulung.