Il y a une phrase dans la directive NIS2 que la plupart des articles de blog ne citent pas. Une phrase qui change tout pour vous, en tant que dirigeant.
La voici, dans sa version officielle (article 20) : “Les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités, en supervisent la mise en œuvre et peuvent être tenus pour responsables des manquements commis.”
Relisez la fin : “peuvent être tenus pour responsables.”
Pas votre prestataire informatique. Pas votre DSI. Pas votre RSSI. Vous. Personnellement. En tant que personne physique.
C’est la grande rupture de NIS2 par rapport à tout ce qui existait avant. Et c’est ce que cet article va vous expliquer — clairement, sans jargon, sans vous faire perdre de temps.
faites le test directement : Suis-je concerné par NIS2
Pourquoi NIS2 change tout pour les dirigeants
Jusqu’à présent, en matière de cybersécurité, la logique était simple : si votre entreprise se faisait pirater, c’était la société qui était sanctionnée — une amende, une pénalité contractuelle, une mauvaise presse. Vous, en tant que personne, étiez relativement à l’abri.
NIS2 introduit une innovation majeure : un mécanisme de responsabilité personnelle des dirigeants. Alors que la première directive NIS laissait aux États membres une liberté quasi totale dans la définition des sanctions, NIS2 impose des planchers d’amendes maximales et des pouvoirs de supervision étendus pour les autorités compétentes. ALTEZIA
Ce changement n’est pas symbolique. Il traduit une conviction des législateurs européens : si les dirigeants ne sont pas personnellement exposés, ils ne priorisent pas la cybersécurité. Les années passées leur ont donné raison. Combien de fois avez-vous vu la cybersécurité repoussée “à l’année prochaine” dans un budget, remplacée par d’autres priorités ?
Avec NIS2, cette époque est révolue.
faites le test directement : Suis-je concerné par NIS2
Ce que dit exactement la loi (sans le jargon)
Deux articles de la directive sont au cœur de votre responsabilité personnelle.
L’article 20 : vos obligations actives
L’article 20(1) de la directive impose que les organes de direction approuvent les mesures de gestion des risques cyber, suivent des formations et supervisent activement leur mise en œuvre. L’article 32(6) prévoit explicitement la mise en cause personnelle des membres des organes de direction en cas de manquement. Agesys
En langage simple : vous ne pouvez plus simplement déléguer la cybersécurité à votre informaticien et passer à autre chose. La loi exige que vous l’approuviez, la supervisiez, et que vous puissiez en rendre compte.
L’article 32 : votre exposition personnelle
Le ReCyF publié par l’ANSSI le 17 mars 2026 précise que le dirigeant exécutif est nominalement responsable de la sécurité numérique au sein de son entité. Il approuve personnellement la politique de sécurité des systèmes d’information, répond de la conformité de son entité devant l’ANSSI, et voit sa responsabilité directement engagée en cas de manquement. Ce n’est donc plus un sujet technique : c’est une discipline de direction. My Trust Partner
Concrètement, qu’est-ce que vous risquez ?
Voici le tableau complet des sanctions, sans euphémisme.
Les amendes de l’entreprise (dont vous êtes garant)
Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, elles peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. ALTEZIA
Pour une PME de 80 salariés avec 15 M€ de CA, 1,4 % représente 210 000€ d’amende. Ce n’est pas une abstraction comptable — c’est un choc de trésorerie potentiellement fatal.
Votre suspension personnelle de fonctions
L’ANSSI peut décider la suspension temporaire de l’exercice de fonctions dirigeantes au sein de l’entité, ainsi que la publication de la décision de sanction avec identification de la personne physique responsable — avec un impact direct sur la réputation personnelle et professionnelle du dirigeant. Eurenet
Traduction : votre nom peut apparaître publiquement dans une décision de sanction de l’ANSSI. Et vous pouvez être interdit de diriger votre propre entreprise — temporairement, certes, mais de manière totalement officielle et publique.
La responsabilité civile et pénale
La Loi Résilience en France souligne que la négligence grave dans la mise en œuvre des mesures de sécurité peut entraîner des responsabilités pénales pour les dirigeants, surtout si le manquement compromet la sécurité nationale ou la continuité des infrastructures critiques du pays. Mobilecube
Et sur le plan civil : les dirigeants peuvent être poursuivis pour rupture de contrat par des partenaires, clients ou fournisseurs de la chaîne d’approvisionnement qui auraient été lésés par le manque de sécurité de l’organisation. Cybersecurity Agency
Le “name and shame” : la sanction que les dirigeants redoutent le plus
La Commission des sanctions peut émettre des avertissements publics et des injonctions contraignantes, obligeant une organisation à reconnaître publiquement ses manquements. C’est souvent la mesure la plus redoutée des directions générales, bien plus que l’amende elle-même. Sekost
Imaginez votre nom dans une décision publique de l’ANSSI, visible sur Google pour toujours. Imaginez votre client grand compte qui la découvre avant de vous renouveler un contrat.
Les 3 obligations personnelles non-délégables
Ce qui est fondamentalement nouveau avec NIS2, c’est la liste des obligations qui vous incombent directement — et que vous ne pouvez pas simplement confier à un prestataire.
1. Approuver personnellement la politique de cybersécurité
La politique de sécurité des systèmes d’information doit être approuvée par le dirigeant exécutif lui-même. Elle doit contenir son engagement à assurer la sécurité numérique, son engagement à respecter les exigences légales et réglementaires, et les orientations stratégiques en matière de sécurité déclinées de la stratégie globale de l’entité. My Trust Partner
Ce document n’est pas un formulaire administratif. C’est la preuve que vous avez pris connaissance des risques et que vous avez décidé d’agir. En cas de contrôle, c’est la première chose que l’ANSSI demandera.
2. Superviser activement la mise en œuvre
La grande rupture introduite par NIS2 est la reconnaissance explicite du rôle de l’organe de direction dans l’approbation et la supervision des mesures de gestion des risques cyber. Les membres du comité de direction ne peuvent plus se contenter d’une validation formelle : ils doivent superviser activement la mise en œuvre, s’assurer de son efficacité, et assumer la responsabilité en cas de manquement. Cyber
En pratique : la cybersécurité doit figurer à l’ordre du jour de vos COMEX, au moins une fois par an, avec un procès-verbal qui en atteste. Ce n’est plus une réunion technique pour votre DSI — c’est une réunion de gouvernance où vous êtes attendu.
3. Suivre une formation obligatoire en cybersécurité
Les dirigeants de l’entreprise sont tenus par la loi de suivre une formation spécifique en cybersécurité. L’objectif est de garantir que les décideurs stratégiques comprennent parfaitement les menaces numériques et ne puissent plaider l’ignorance face à une éventuelle sanction. Cybersecurity Agency
C’est un point que peu de dirigeants ont assimilé. Vous ne pouvez plus dire “je ne suis pas informaticien, je ne comprends pas ces sujets”. La loi vous oblige désormais à comprendre. L’ignorance ne sera pas une défense recevable devant l’ANSSI.
Quand votre responsabilité est-elle réellement déclenchée ?
Bonne question — et la réponse est plus nuancée que ce qu’on lit parfois.
Un ransomware ou une fuite de données ne génère pas automatiquement une sanction personnelle du dirigeant. En revanche, si l’enquête post-incident révèle que les mesures de l’article 21 n’étaient pas en place et que la direction n’avait pas exercé ses obligations de supervision, la procédure de sanction peut être déclenchée. Agesys
En clair : si vous subissez une attaque mais que vous pouvez prouver que vous aviez mis en place les bonnes pratiques, documenté votre politique, formé vos équipes et supervisé régulièrement la cybersécurité — vous êtes dans une position défendable.
Si vous n’avez rien de tout ça… vous êtes exposé.
NIS2 est une transformation profonde : le passage d’une logique déclarative à une logique de démonstration continue. Pour les dirigeants, l’enjeu réel n’est pas le montant de l’amende, c’est la capacité à démontrer sa conformité si l’ANSSI se présente, avec ou sans incident préalable. Sekost
Voici les 5 situations concrètes qui déclenchent une procédure :
Situation 1 — L’ANSSI décide d’un audit proactif de votre secteur (fréquent pour les entités essentielles). Vos mesures ne sont pas en place. Procédure ouverte.
Situation 2 — Vous subissez une cyberattaque, vous ne notifiez pas l’ANSSI dans les 24h. La non-notification est sanctionnable indépendamment de l’incident lui-même.
Situation 3 — Un concurrent ou un partenaire vous signale à l’ANSSI. L’agence déclenche un contrôle.
Situation 4 — Votre assureur, après sinistre, mandate un expert qui constate l’absence de MFA ou de sauvegardes isolées. Il refuse d’indemniser et transmet le dossier aux autorités.
Situation 5 — Un client grand compte, lors d’un audit de sa chaîne d’approvisionnement, constate que vous ne respectez pas les exigences NIS2 qu’il vous a imposées contractuellement. Résiliation de contrat et signalement possible.
“Mais j’ai un prestataire informatique, c’est son rôle non ?”
C’est la défense que j’entends le plus souvent. Et c’est exactement celle qui ne fonctionnera pas.
Les dirigeants d’entités essentielles et importantes ont des obligations directes et non délégables : approuver les politiques et mesures de cybersécurité, superviser leur mise en œuvre effective, et suivre une formation obligatoire sur les risques cyber. Eurenet
Votre prestataire peut faire le travail technique. Il peut configurer le MFA, gérer les sauvegardes, surveiller le réseau. Mais il ne peut pas signer à votre place la politique de sécurité. Il ne peut pas répondre à votre place devant l’ANSSI. Il ne peut pas assister à votre COMEX pour valider la supervision.
La responsabilité reste la vôtre. C’est vous que l’ANSSI convoquera. C’est votre nom qui apparaîtra dans la décision de sanction.
Un bon prestataire vous aide à vous conformer. Il ne vous exonère pas de votre responsabilité personnelle.
Ce que vous devez faire — maintenant
La bonne nouvelle : les obligations personnelles du dirigeant ne sont pas insurmontables. Elles demandent du temps et de l’organisation, pas des compétences techniques pointues.
Étape 1 — Vérifiez votre statut en 10 minutes
Avant tout, confirmez que votre entreprise est bien dans le périmètre NIS2. Rendez-vous sur messervices.cyber.gouv.fr et utilisez le simulateur officiel. Pré-enregistrez votre entité sur MonEspaceNIS2 — c’est déjà ouvert depuis novembre 2025 et l’absence d’inscription est en elle-même un signal négatif lors d’un contrôle.
Étape 2 — Mettez la cybersécurité à l’ordre du jour de votre prochain COMEX
Présenter le suivi NIS2 en COMEX au moins une fois par an est une obligation issue de l’article 20(1), à consigner au procès-verbal. Ne déléguez pas ce point à votre DSI. Soyez présent, posez des questions, validez les décisions. Et conservez le procès-verbal. Agesys
Étape 3 — Signez une politique de sécurité, même simple
Vous n’avez pas besoin d’un document de 80 pages. Une politique de sécurité signée par vous, qui liste les mesures en place (MFA activé, sauvegardes testées, procédure en cas d’incident), suffit comme point de départ. C’est la preuve de votre démarche.
Étape 4 — Planifiez votre formation dirigeant
L’ANSSI et plusieurs organismes agréés proposent des formations spécifiques pour les dirigeants — pas des formations techniques, mais des formations de gouvernance. Quelques heures suffisent pour remplir cette obligation et comprendre l’essentiel de ce que vous devez superviser.
Étape 5 — Évaluez votre niveau réel de protection
Vous ne pouvez pas superviser ce que vous ne connaissez pas. Notre diagnostic sur cyberdiagnostic.fr vous donne en 10 minutes une image claire de votre niveau de protection actuel sur les 5 piliers NIS2 — accès, sauvegardes, incidents, conformité, sensibilisation. Pour 9,99€, c’est le point de départ le plus efficace avant de construire votre plan d’action.
Le calendrier que vous devez avoir en tête
Mars 2026 — Publication du ReCyF par l’ANSSI. Le référentiel opérationnel est disponible. Vos obligations sont précisées et opposables.
Juillet 2026 — Promulgation attendue de la Loi Résilience. Vos obligations sont désormais formellement inscrites en droit français.
Octobre 2026 — Échéance de conformité. Les contrôles ANSSI débutent.
À partir de novembre 2026 — Les premières procédures de sanction sont ouvertes pour les entités non conformes.
Une entreprise qui remplit les critères NIS2 y est automatiquement soumise, avec ou sans notification officielle préalable. Le fait de ne pas avoir reçu de courrier ANSSI ne dispense pas de la conformité. Cyber Solferino
En résumé : ce que NIS2 change pour vous, dirigeant
Ce que la directive ne change pas : vous pouvez toujours déléguer la mise en œuvre technique à votre équipe IT ou à votre prestataire.
Ce qu’elle change fondamentalement :
NIS2 introduit une disposition qui indique clairement que les membres des organes de direction peuvent être tenus personnellement responsables du non-respect des obligations. La cybersécurité devient un sujet de gouvernance au même titre que la conformité RGPD ou la gestion financière. Vous devez l’approuver, la superviser, vous y former — et pouvoir le prouver. Zetruc
Ce n’est pas une contrainte bureaucratique de plus. C’est la reconnaissance d’une réalité que les cyber-assureurs ont comprise avant les législateurs : une entreprise dont le dirigeant ne supervise pas activement la cybersécurité est une entreprise vulnérable. Et une entreprise vulnérable, c’est un risque pour ses clients, ses fournisseurs, et l’économie dans son ensemble.
La bonne nouvelle : les dirigeants qui agissent maintenant ont le temps de construire une conformité solide et documentée. Ceux qui attendent la loi de juillet auront 3 mois pour faire ce qui en demande normalement 9.
faites le test directement : Suis-je concerné par NIS2
FAQ — Vos questions sur la responsabilité personnelle NIS2
Est-ce que je risque d’aller en prison ? La responsabilité pénale existe, mais elle concerne les cas de négligence grave et caractérisée — notamment si votre manquement a compromis des infrastructures critiques ou causé un préjudice majeur à des tiers. Pour la grande majorité des PME, le risque réel est d’abord administratif et civil : amende, suspension temporaire, name & shame. Mais ne sous-estimez pas la responsabilité civile — vos clients lésés peuvent vous poursuivre.
Mon assurance RC pro me couvre-t-elle ? Non, pas automatiquement. Les assurances RC pro standard ne couvrent généralement pas les sanctions réglementaires NIS2 ni les amendes administratives. Une assurance cyber spécifique est nécessaire — et les assureurs conditionneront leur couverture à la mise en place préalable de mesures de sécurité basiques (MFA, sauvegardes isolées notamment).
Si j’ai un DSI ou un RSSI, suis-je tout de même personnellement responsable ? Oui. Votre DSI ou RSSI gère l’opérationnel. La responsabilité de supervision et d’approbation reste au niveau de la direction générale. C’est précisément ce que NIS2 a voulu rendre explicite : la cybersécurité ne peut plus être un sujet exclusivement technique, déconnecté de la gouvernance.
Que se passe-t-il si j’ai fait des efforts mais que je subis quand même une attaque ? C’est le scénario le plus favorable. Si vous pouvez démontrer que vous avez approuvé une politique de sécurité, supervisé sa mise en œuvre, formé vos équipes et notifié l’incident dans les délais — vous êtes dans une position défendable. NIS2 ne vous demande pas d’être invulnérable. Elle vous demande de prouver que vous avez agi avec diligence.
Quelle est la différence entre la responsabilité du dirigeant d’une Entité Essentielle vs Importante ? Les obligations de supervision sont identiques dans les deux cas. Les différences portent sur les montants d’amendes et l’intensité de la supervision de l’ANSSI : proactive pour les Entités Essentielles, réactive sur incident pour les Entités Importantes. Dans les deux cas, la responsabilité personnelle du dirigeant est engagée en cas de manquement grave. BEAROPS
Article rédigé par l’équipe CyberDiagnostic.fr —Cybersécurité simplifiée pour dirigeants de PME. Nous traduisons la réglementation en actions concrètes, sans jargon et sans budget de grand groupe.
→ Évaluez votre niveau de conformité NIS2 sur cyberdiagnostic.fr — 9,99€ — Résultat en 10 minutes