
La directive NIS2 : un autre défi réglementaire et technologique pour la haute direction
14 mars 2025
La directive NIS2 introduit une responsabilité directe pour les PDG et les cadres supérieurs des entreprises concernées, augmentant ainsi leur risque juridique, financier et de réputation. Voici les principaux risques auxquels ils sont confrontés :
- Responsabilité personnelle des gestionnaires La norme NIS2 établit que la haute direction (y compris les PDG) est responsable de la supervision et de l’approbation des mesures de cybersécurité. Le non-respect de ces règles peut entraîner des sanctions personnelles, y compris l’interdiction d’occuper des postes de direction.
- Les entreprises qui ne se conforment pas à la norme NIS2 peuvent être confrontées à des sanctions financières similaires à celles prévues par le RGPD : jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros (le montant le plus élevé étant retenu) pour les entités essentielles, et jusqu'à 1,4 % ou 7 millions d'euros pour les entités importantes. Des pertes financières importantes peuvent affecter la stabilité de l’entreprise.
- Responsabilité pénale et civile Les gestionnaires peuvent être tenus personnellement responsables si une négligence dans la mise en œuvre des mesures de cybersécurité est prouvée. Réclamations potentielles en dommages et intérêts si un incident de cybersécurité affecte des clients ou des partenaires.
- Impact sur la réputation et la confiance Une violation ou une cyberattaque peut nuire à l’image publique d’une entreprise et affecter ses relations avec ses clients et ses investisseurs. La perte de crédibilité peut affecter la valorisation de l’entreprise et rendre difficile la conclusion d’accords.
- Obligation de formation et de surveillance La NIS2 exige que les PDG et les cadres supérieurs reçoivent une formation en cybersécurité et soient impliqués dans la prise de décision stratégique en matière de sécurité. Le fait de ne pas déléguer correctement les responsabilités aux experts peut aggraver la situation en cas d’incident.
- Responsabilité de gestion des incidents La directive fixe des délais stricts pour le signalement des incidents : 24 heures pour une alerte initiale, 72 heures pour un rapport détaillé et 1 mois pour une évaluation finale. Si l’entreprise ne signale pas une cyberattaque en temps opportun ou le fait de manière inadéquate, le PDG peut être tenu responsable.
Conclusion : Comment atténuer ces risques ? Pour éviter les problèmes, les PDG doivent s’engager activement dans une stratégie de cybersécurité, assurer la formation et la sensibilisation à la cybersécurité de la haute direction, garantir des investissements adéquats dans les mesures de protection et de réponse, superviser des audits et des évaluations réguliers et mettre en place des plans de réponse et de notification des incidents.
Nous discuterons de ce sujet avec des experts lors de l'événement hybride « NIS2 Revolution : Stratégies et solutions avec Nanfor et ADOK pour un avenir sûr ». Cet événement, organisé par Nanfor et ADOK , aura lieu le 20 mars de 9h30 à 11h30 (UTC+1 Madrid) .
Laisser un commentaire