NIS2 et Responsabilité des Dirigeants : Guide PME

Une cyberattaque coûte en moyenne 25 000 à 50 000 € à une PME (Hiscox/CPME 2024). Jusqu’ici, c’était l’entreprise qui payait. Avec la directive NIS2, la responsabilité des dirigeants entre en jeu : c’est vous, personnellement, qui pouvez être tenu responsable d’un défaut de cybersécurité.

L’article 20 de la directive (UE) 2022/2555 impose aux organes de direction d’approuver, superviser et se former sur les enjeux cyber. Pas de délégation possible. Les sanctions vont de l’amende financière à l’interdiction temporaire d’exercer pour les entités essentielles.

Si vous dirigez une PME de 50 à 250 salariés dans un secteur concerné par NIS2, cet article vous explique concrètement ce que la directive change pour vous. Trois obligations précises, des sanctions chiffrées et un plan d’action en 5 étapes pour vous mettre en conformité.

Pourquoi NIS2 change la donne pour les dirigeants

Avant NIS2, la cybersécurité restait un sujet technique. Le dirigeant d’une PME confiait le dossier à son responsable informatique ou à un prestataire externe. En cas d’incident, la responsabilité retombait sur l’entreprise en tant que personne morale. Rarement sur le dirigeant lui-même.

La directive NIS2 renverse cette logique. L’article 20 fait de la cybersécurité un sujet de gouvernance d’entreprise, au même titre que la gestion financière ou la conformité fiscale. Le dirigeant ne peut plus se contenter de dire « je ne suis pas technique, mon DSI gère ». Un accompagnement conformité NIS2 structuré aide les PME à répondre à ces nouvelles exigences.

Un précédent : la responsabilité financière des dirigeants

Ce n’est pas un concept nouveau dans le droit des affaires. Depuis des années, un dirigeant est personnellement responsable des comptes de son entreprise, même s’il délègue la comptabilité à un expert. NIS2 applique exactement la même logique à la cybersécurité.

Une dirigeante d’entreprise de logistique de 120 salariés en Occitanie, dont l’activité de transport la place dans les secteurs hautement critiques de NIS2 (Annexe I), dispose d’un responsable IT à temps plein, mais pas de RSSI. Jusqu’à présent, elle validait le budget informatique sans s’impliquer dans les choix de sécurité. Avec NIS2, cette approche ne suffit plus : elle doit personnellement approuver la stratégie de cybersécurité, superviser sa mise en œuvre et se former aux enjeux cyber.

Les 3 obligations de l’article 20 décryptées

L’article 20 de la directive NIS2 impose trois obligations distinctes aux organes de direction. Conseil d’administration, comité exécutif ou gérance selon votre forme juridique : ces obligations vous visent directement.

Obligation 1 : approuver les mesures de cybersécurité

Les organes de direction doivent approuver formellement les mesures de gestion des risques cyber adoptées par l’entreprise (article 21 de la directive). Concrètement, le dirigeant doit valider :

• La politique de sécurité du système d’information (PSSI)
• L’analyse des risques et les mesures de protection retenues
• Le budget alloué à la cybersécurité
• Les plans de continuité et de reprise d’activité (PCA/PRA)

Pour une PME, cela signifie inscrire la cybersécurité à l’ordre du jour du comité de direction et documenter les décisions prises. Un PV de réunion mentionnant les mesures approuvées constitue un début de traçabilité. L’ANSSI pourrait demander ces preuves documentées en cas de contrôle.

Obligation 2 : superviser la mise en œuvre

Approuver ne suffit pas. Le dirigeant doit superviser la mise en œuvre effective des mesures qu’il a validées. C’est la différence fondamentale entre déléguer et gouverner.

Superviser ne signifie pas devenir expert technique. Cela implique de mettre en place des indicateurs de suivi et de les examiner régulièrement :

• Taux de correctifs de sécurité appliqués dans les délais
• Résultats des campagnes de sensibilisation au phishing
• Nombre d’incidents détectés et temps de réponse moyen
• Avancement du plan de conformité NIS2

Le gérant d’une société de services numériques de 80 salariés dans l’Hérault a fait réaliser un audit de sécurité il y a 18 mois. Le rapport recommandait huit actions correctives. Six n’ont jamais été mises en œuvre. Sous NIS2, ce dirigeant est personnellement responsable de ce défaut de suivi — même s’il avait confié la mise en œuvre à son prestataire informatique.

Obligation 3 : se former en cybersécurité

C’est l’obligation qui surprend le plus les dirigeants de PME. L’article 20 impose aux membres des organes de direction de suivre une formation en cybersécurité. Pas une formation de RSSI : une formation adaptée au rôle de décideur.

Le contenu attendu couvre trois volets :

• Identifier les principales cybermenaces pesant sur l’organisation
• Comprendre les principes de gestion des risques cyber
• Mesurer l’impact potentiel des incidents sur l’activité et la conformité

La directive précise que cette formation doit être régulière, pas ponctuelle. La fréquence exacte sera définie par les décrets d’application de la Loi Résilience. Un dirigeant qui n’est pas formé ne pourra pas invoquer l’ignorance pour s’exonérer de sa responsabilité. La formation crée une obligation de compétence qui renverse la charge de la preuve.

Quelles sanctions pour les dirigeants en cas de manquement ?

Les sanctions NIS2 varient selon la classification de votre entreprise. Pour le détail complet des amendes et du mécanisme de contrôle, consultez notre guide des sanctions NIS2.

Amendes financières

Les sanctions maximales prévues par la directive sont :

• Entités essentielles (EE) : jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel mondial (le plus élevé des deux)
• Entités importantes (EI) : jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires annuel mondial (le plus élevé des deux)

Ces montants concernent l’entreprise en tant que personne morale. Mais NIS2 introduit aussi des sanctions qui visent le dirigeant personnellement.

L’interdiction temporaire d’exercer

Pour les entités essentielles uniquement, l’article 32(5)(b) de la directive prévoit la possibilité d’une interdiction temporaire d’exercer des fonctions de direction. Cette mesure vise le directeur général ou le représentant légal de l’entité.

Ce n’est pas une sanction immédiate. L’interdiction d’exercer intervient en bout de chaîne, lorsque les mesures d’exécution ordonnées par l’autorité compétente (l’ANSSI en France) restent inefficaces. C’est une escalade procédurale : injonction de mise en conformité, puis sanctions financières, puis — en dernier recours — interdiction temporaire d’exercer. Pour les entités importantes, cette mesure n’existe pas.

Responsabilité en droit français

En complément des sanctions NIS2, le droit français prévoit déjà des mécanismes de responsabilité pour les dirigeants :

• Responsabilité civile : un dirigeant peut être tenu responsable des dommages causés à l’entreprise ou à des tiers par un défaut de cybersécurité
• Obstruction aux contrôles : la Loi Résilience, en cours d’examen à l’Assemblée nationale, prévoirait des sanctions pénales en cas d’obstruction aux opérations de contrôle de l’ANSSI
• Défaut de notification : NIS2 impose de notifier l’ANSSI sous 24 heures en cas d’incident significatif. Un retard ou un défaut de notification constitue un manquement sanctionnable

La date limite de transposition de la directive est dépassée depuis octobre 2024, mais en l’absence de loi adoptée, les sanctions spécifiques ne sont pas encore juridiquement contraignantes en droit interne. La Loi Résilience précisera les modalités exactes d’application.

5 actions concrètes pour un dirigeant de PME

Vous n’avez pas besoin d’un RSSI dédié ni d’un budget illimité pour poser les bases de la conformité. Voici cinq actions concrètes à engager dès maintenant.

Responsabilité des dirigeants et assurance cyber

NIS2 a un effet direct sur le marché de l’assurance cyber. Les assureurs intègrent progressivement les exigences de la directive dans leurs critères de souscription.

Ce qui change pour votre couverture

Les polices d’assurance D&O (Directors & Officers), qui couvrent la responsabilité personnelle des dirigeants, commencent à inclure des clauses liées à la conformité cyber. Un dirigeant qui ne peut pas démontrer qu’il a rempli ses obligations NIS2 pourrait voir sa couverture contestée en cas de sinistre.

Du côté de l’assurance cyber classique, les assureurs exigent de plus en plus de prérequis techniques avant d’accepter un contrat : MFA (authentification multi-facteur) activée, sauvegardes testées, plan de réponse à incident documenté. La conformité NIS2 recoupe largement ces exigences.

La conformité comme protection du patrimoine personnel

Au-delà de l’obligation légale, la mise en conformité NIS2 constitue une protection de votre patrimoine personnel. Un dirigeant qui peut démontrer qu’il a approuvé les mesures de sécurité, supervisé leur mise en œuvre et suivi une formation dispose d’éléments solides pour se défendre en cas de mise en cause.

Le coût d’une démarche de conformité est sans commune mesure avec le risque financier personnel. Une cyberattaque coûte en moyenne 25 000 à 50 000 € à une PME (Hiscox/CPME 2024) — sans compter les conséquences personnelles pour le dirigeant sous NIS2.

FAQ : responsabilité des dirigeants NIS2

Un dirigeant de PME peut-il être personnellement poursuivi sous NIS2 ?

Oui. L'article 20 de la directive NIS2 prévoit que les organes de direction sont personnellement responsables de l'approbation et de la supervision des mesures de cybersécurité. En cas de manquement, le dirigeant peut faire l'objet de sanctions financières et, pour les entités essentielles, d'une interdiction temporaire d'exercer ses fonctions (article 32(5)(b)).

La formation cybersécurité est-elle vraiment obligatoire pour les dirigeants ?

Oui. L'article 20 impose aux membres des organes de direction de suivre une formation régulière en cybersécurité. Cette formation doit couvrir l'identification des menaces, les principes de gestion des risques et l'impact des incidents sur l'activité. Ce n'est pas une recommandation : c'est une obligation de la directive.

Peut-on déléguer la responsabilité NIS2 au DSI ou à un prestataire ?

Non. La responsabilité des dirigeants sous NIS2 est considérée comme non délégable. Vous pouvez confier la mise en œuvre opérationnelle à votre DSI ou à un prestataire, mais vous restez personnellement responsable de l'approbation et de la supervision des mesures. C'est le même principe que la responsabilité comptable du dirigeant.

Quand les sanctions NIS2 seront-elles applicables en France ?

La directive NIS2 devait être transposée avant le 17 octobre 2024. En France, la Loi Résilience a été adoptée au Sénat et examinée en commission spéciale à l'Assemblée nationale. L'examen en séance publique est attendu courant 2026. Les sanctions seront applicables après promulgation de la loi et publication des décrets.

Passez à l’action avant les contrôles

La responsabilité personnelle des dirigeants n’est pas un effet de bord de NIS2. C’est le signal que la cybersécurité est devenue un sujet de gouvernance au même titre que la gestion financière. L’ignorer expose votre entreprise à des sanctions, et vous personnellement à une mise en cause.

Ce qu’il faut retenir :

• L’article 20 impose trois obligations non délégables : approuver, superviser, se former
• Les sanctions vont de l’amende financière (10 M€ / 2 % CA pour les EE) à l’interdiction temporaire d’exercer
• Cinq actions concrètes suffisent pour poser les bases de la conformité
• La documentation de vos décisions est votre meilleure protection
• La conformité NIS2 protège aussi votre patrimoine personnel face aux assureurs

La Loi Résilience finalisera la transposition de NIS2 en droit français. Les entreprises qui se préparent maintenant auront un avantage décisif au moment des contrôles. Première étape concrète : le pré-enregistrement sur MonEspaceNIS2 auprès de l’ANSSI.

Vous dirigez une PME concernée par NIS2 ? Meldis vous accompagne dans votre mise en conformité avec un diagnostic personnalisé adapté aux PME. Un expert dédié, basé en Occitanie, qui parle votre langue — pas celle des juristes.

Demandez votre diagnostic NIS2 →