Oui, les personnes occupant des postes de direction peuvent être tenues responsables des violations de la cybersécurité en vertu de la directive NIS2.

• Les sources indiquent que les États membres doivent veiller à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de cybersécurité et supervisent leur mise en œuvre.
• Les organes de direction peuvent être tenus responsables si l’entité qu’ils dirigent enfreint l’article 21 de la directive, qui établit les mesures de gestion des risques de cybersécurité que les entités doivent adopter.
• Les États membres doivent également veiller à ce que les personnes responsables d’une entité essentielle ou importante, y compris les représentants légaux et ceux disposant de pouvoirs de décision ou de contrôle, aient l’autorité nécessaire pour garantir la conformité avec la directive NIS2.
• Ces personnes peuvent être tenues responsables si elles ne respectent pas leur obligation de garantir la conformité avec la directive.
• Toutefois, les sources soulignent également que, pour les entités de l’administration publique, les lois nationales relatives à la responsabilité des fonctionnaires et des élus ou agents nommés continueront de s’appliquer.

NIS2 : Considérations

La directive introduit des dispositions visant à rendre les personnes occupant des postes de direction responsables des violations de la cybersécurité, dans le but d’encourager une attention accrue portée à la cybersécurité aux plus hauts niveaux de la gouvernance d’entreprise.

En outre, la directive prévoit que les organes de direction reçoivent une formation adéquate sur la gestion des risques de cybersécurité. Cette exigence vise à garantir que les dirigeants disposent des compétences nécessaires pour comprendre et faire face aux cybermenaces.

Les sanctions en cas de non-respect de la directive NIS2 peuvent inclure des amendes importantes, des limitations opérationnelles et des responsabilités personnelles. Pour les organisations souhaitant structurer un parcours de mise en conformité avec la directive NIS2, il est utile de commencer par une évaluation des mesures déjà mises en œuvre et des lacunes à combler. Les États membres doivent établir des mesures d’application efficaces pour garantir que les entités respectent les exigences en matière de cybersécurité.

Un autre aspect pertinent concerne la nécessité d’un suivi continu par les organes de direction. La directive prévoit que les mesures adoptées soient périodiquement révisées et mises à jour pour répondre à l’évolution des cybermenaces. Cette approche dynamique permet de maintenir des normes de sécurité élevées au fil du temps.

Enfin, la directive NIS2 encourage la collaboration entre les entités réglementées et les autorités compétentes, afin d’améliorer la cyber-résilience globale au niveau européen. Cette coopération inclut le partage d’informations sur les menaces et les meilleures pratiques en matière de gestion de la cybersécurité. Pour approfondir le cadre réglementaire de référence, il est également utile de consulter quel est l’objectif principal de la directive NIS2.

[Callforaction-NIS2-Footer]