Responsabilité personnelle de l'organe de direction au titre de NIS 2
L'article 20 de la directive NIS 2 assigne trois obligations à l'organe de direction : approuver les mesures de gestion des risques de cybersécurité, en superviser la mise en oeuvre et suivre une formation. Le droit national des sociétés convertit un manquement à ces obligations en une action personnelle contre l'individu.
Ce que dit réellement l'article 20
L'article 20 de la directive (UE) 2022/2555 fait peser l'obligation de cybersécurité sur l'organe de direction de chaque entité essentielle et importante. L'organe de direction doit approuver les mesures de gestion des risques exigées par l'article 21, doit en superviser la mise en oeuvre et peut être tenu responsable des infractions de l'entité à l'article 21.
L'article 20(2) ajoute une obligation distincte : les membres de l'organe de direction doivent suivre une formation afin d'acquérir des connaissances suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité. La directive encourage également une formation similaire pour les salariés.
Ce sont des obligations de la personne physique, pas de l'entreprise. NIS 2 ne crée pas elle-même un droit d'action privé contre le dirigeant, mais elle relève la norme de comportement à l'aune de laquelle le droit national des sociétés mesure la conduite du dirigeant. En Allemagne, cette norme est la Sorgfaltspflicht du §43 GmbHG et du §93 AktG.
Directive de l'UE
Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.
Article 20(1) NIS 2 (directive (UE) 2022/2555). L'obligation est assignée directement à l'organe de direction, et non à l'entreprise en tant que personne morale distincte.
Règlement d'exécution de l'UE
Essential and important entities shall establish, apply, and maintain an appropriate cybersecurity risk-management framework setting out the policies, processes, procedures, and roles relevant to the management of cybersecurity risks.
Règlement d'exécution (UE) 2024/2690 de la Commission, annexe section 1. Le règlement lie la catégorie restreinte des fournisseurs d'infrastructure numérique et de services numériques énumérés à l'article 1 ; pour tous les autres secteurs, il constitue un référentiel de qualité, et non la norme contraignante.
Transposition nationale
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (tel que rédigé dans le NIS2UmsuCG, la loi de mise en oeuvre allemande de NIS 2). Le §38(3) exige que l'organe de direction suive une formation régulière. L'élément déclencheur de la responsabilité personnelle se situe dans le droit général des sociétés auquel le §38 renvoie, et non dans le §38 lui-même.
Approuver, superviser, se former
L'article 20(1) exige que l'organe de direction approuve les mesures de l'article 21 et en supervise la mise en oeuvre. L'article 20(2) exige une formation. Les deux obligations s'attachent au membre individuel de l'organe de direction.
Transposition allemande
Le §38 BSIG reprend l'obligation d'approbation, de supervision et de formation en droit allemand. Le §38 n'énonce pas lui-même de montant de dommages-intérêts ; il définit la norme de conduite. Les sanctions financières figurent au §65 BSIG et visent l'entité, pas le dirigeant.
La Sorgfaltspflicht comme pont vers la responsabilité
Le §43 GmbHG exige que le Geschäftsführer applique la diligence d'un dirigeant prudent, et le §43(2) le rend solidairement responsable envers l'entreprise des dommages causés par un manquement à ses obligations. Le §93 AktG fixe la norme équivalente pour le Vorstand d'une Aktiengesellschaft. Un manquement à l'obligation de l'article 20 devient une preuve que la Sorgfaltspflicht a été violée.
La responsabilité personnelle s'exerce envers l'entreprise, pas envers les tiers
Les actions des §43 GmbHG et §93 AktG sont des actions de l'entreprise contre son propre dirigeant. Elles deviennent opérantes lorsque l'organe de surveillance, les associés, un administrateur d'insolvabilité ou une direction successeur décide de les engager. NIS 2 ne crée pas d'action directe des régulateurs ou des tiers concernés contre l'individu ; elle crée le manquement sous-jacent.
La Sorgfaltspflicht se mesure à l'aune de la pratique du secteur
Les tribunaux allemands apprécient la Sorgfaltspflicht à l'aune de ce qu'un dirigeant prudent dans le même rôle et le même secteur aurait fait. NIS 2 et le règlement d'exécution définissent désormais une partie de ce référentiel pour la cybersécurité. Un organe de direction qui ignore les mesures de l'article 21 se heurte à une norme désormais inscrite dans la loi.
Orientations du BSI
Le Bundesamt für Sicherheit in der Informationstechnik (BSI) présente le §38 BSIG comme une obligation de direction non délégable. La Handreichung zur Geschäftsleitungs-Schulung (avril 2026, v1.0) est un apport de recherche, et non un programme contraignant ; elle décrit toutefois le contenu substantiel que le BSI attend de l'organe de direction.
Jurisprudence allemande du droit des sociétés
Le Bundesgerichtshof juge de longue date au titre du §43 GmbHG qu'un Geschäftsführer doit organiser l'entreprise de sorte que les obligations légales soient effectivement remplies, y compris en mettant en place des lignes de remontée d'information et de supervision. NIS 2 précise en détail l'une de ces obligations légales.
Orientations techniques de mise en oeuvre d'ENISA
L'Agence de l'Union européenne pour la cybersécurité (ENISA) publie les orientations techniques de mise en oeuvre pour les mesures de l'article 21 NIS 2 et les met en correspondance avec l'ISO 27001, le NIST CSF 2.0, l'ETSI 319 401 et le CEN/TS 18026. Les orientations sont non contraignantes mais constituent le texte de référence que les auditeurs et les tribunaux considèrent comme l'état de l'art.
Nous avons délégué la cybersécurité au CISO, donc l'organe de direction est dégagé.
L'article 20(1) fait peser l'obligation d'approbation et de supervision sur l'organe de direction lui-même. L'exécution opérationnelle peut être déléguée, mais les obligations d'approuver les mesures et d'en superviser la mise en oeuvre ne le peuvent pas. La jurisprudence du §43 GmbHG traite la défaillance organisationnelle comme un manquement primaire du Geschäftsführer, quel que soit celui qui a été chargé sur le plan opérationnel.
Si un Geschäftsführer n'est pas technique, l'obligation ne peut pas s'appliquer à lui personnellement.
L'article 20(2) exige que les membres de l'organe de direction suivent une formation leur donnant des connaissances suffisantes pour évaluer les pratiques de gestion des risques de cybersécurité. Le manque d'expertise est précisément ce que vise l'article 20(2) ; ce n'est pas un moyen de défense contre le §43 GmbHG.
L'assurance D&O couvre toute responsabilité au titre de NIS 2.
Les polices D&O répondent généralement aux actions de l'entreprise contre le dirigeant au titre du §43 GmbHG ou du §93 AktG, là où atterrit le manquement à l'article 20. Les polices excluent régulièrement les amendes réglementaires (par exemple les amendes au niveau de l'entité au titre du §65 BSIG), les actes intentionnels et les violations délibérées. Les exclusions, la franchise et les conditions de déclenchement de la garantie sont propres à chaque police et sont décrites, et non préjugées, ici.
En pratique, l'obligation de l'article 20 produit trois artefacts. Une approbation écrite des mesures de gestion des risques de l'article 21 par l'organe de direction. Un enregistrement de supervision montrant que l'organe de direction a reçu des points d'avancement et a réagi. Un registre de formation pour chaque membre de l'organe de direction.
Les auditeurs, les assureurs et, dans un scénario défavorable, une direction successeur ou un administrateur d'insolvabilité chercheront ces trois artefacts. Leur absence est ce qui transforme l'obligation de l'article 20 en une action au titre du §43 GmbHG.
La plateforme modélise l'obligation de l'article 20 sous la catégorie GOV du registre des obligations NIS 2. L'approbation des mesures de gestion des risques repose sur une exigence de validation assignée à l'organe de direction. La supervision est la piste d'audit sur l'ensemble des exigences de l'article 21. La formation est suivie par membre avec preuve d'achèvement.
La question substantielle de savoir si un tribunal constaterait un manquement à la Sorgfaltspflicht dans un cas donné est une question pour un conseil juridique. La plateforme produit le dossier documentaire sur lequel la question juridique est tranchée.
- Directive (UE) 2022/2555 (NIS 2), article 20 et article 21. Source : EUR-Lex.
- Règlement d'exécution (UE) 2024/2690 de la Commission, annexe section 1. Source : EUR-Lex.
- BSI-Gesetz, §38 (obligation de gouvernance des organes de direction) et §65 (sanctions). Source : gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht du Geschäftsführer). Source : gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht du Vorstand). Source : gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (avril 2026). Apport de recherche non contraignant. Source : bsi.bund.de.
- Orientations techniques de mise en oeuvre d'ENISA pour les mesures de gestion des risques NIS 2. Source : enisa.europa.eu.