Retour au Blog
LegalTech & IA

NIS2 : le Conseil d'administration ne peut pas se défausser sur le CISO

Comité de Rédaction NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
14 juillet 2026
10 min de lecture
NIS2 : le Conseil d'administration ne peut pas se défausser sur le CISO

Le CISO n'est pas un bouclier juridique

Les nouvelles FAQ de l'ACN sont claires : nommer un Chief Information Security Officer (CISO) ne suffit pas à remplir les obligations de la directive NIS2. La responsabilité de la cybersécurité reste fermement sur les épaules du Conseil d'administration (CdA). En clair, déléguer les opérations, oui ; déléguer la responsabilité, non.

Imaginez un pilote d'avion qui confierait les commandes à un copilote, mais resterait seul responsable en cas de crash. C'est exactement la logique de NIS2 : le CdA est le commandant de bord, le CISO est le copilote. Le premier ne peut pas dire « c'est la faute du CISO » si l'avion s'écrase.

Que dit exactement l'ACN ?

L'ACN (Agence pour la Cybersécurité Nationale) a publié des FAQ qui précisent que le CdA doit « gouverner et superviser » la cybersécurité. Cela inclut la définition de la stratégie, l'allocation des ressources et la validation des politiques. Les activités opérationnelles (comme la gestion des incidents) peuvent être déléguées, mais la responsabilité finale reste au niveau du conseil.

Concrètement, le CdA doit s'assurer que la cybersécurité est intégrée dans la gouvernance d'entreprise, au même titre que les risques financiers ou juridiques. Un simple rapport trimestriel du CISO ne suffit pas : les administrateurs doivent comprendre les enjeux et prendre des décisions éclairées.

Les implications pour les dirigeants

Pour les membres du CdA, cela signifie qu'ils doivent se former, poser les bonnes questions et exiger des indicateurs pertinents. Ne pas le faire, c'est s'exposer à des sanctions en cas de brèche. Et contrairement à une idée reçue, la responsabilité pénale des administrateurs peut être engagée.

Un conseil : traitez la cybersécurité comme un risque stratégique, pas comme un problème technique. Invitez régulièrement le CISO à présenter au conseil, et assurez-vous que les discussions ne se limitent pas à des métriques techniques (nombre de patches, etc.) mais abordent des sujets comme la résilience, la continuité d'activité et la conformité.

FAQ

Le CdA peut-il déléguer la cybersécurité à un comité spécialisé ?

Oui, le CdA peut créer un comité des risques ou un comité cybersécurité, mais la responsabilité ultime reste collégiale. Le comité peut préparer les décisions, mais le conseil dans son ensemble doit les valider.

Quelles sont les sanctions si le CdA ne respecte pas ses obligations NIS2 ?

Les sanctions peuvent inclure des amendes administratives (jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial), des injonctions de mise en conformité, et dans certains cas, une responsabilité pénale pour les administrateurs.

Un administrateur non technique peut-il être tenu responsable ?

Oui, l'ignorance n'est pas une excuse. Les administrateurs doivent acquérir les compétences nécessaires ou s'entourer d'experts. La loi attend d'eux qu'ils agissent en « personnes raisonnables ».

Checklist de conformité NIS2 pour le CdA

  • Stratégie cybersécurité approuvée par le conseilObligatoire
  • Budget alloué à la cybersécuritéObligatoire
  • Formation des administrateurs aux risques cyberRecommandé
  • Délégation totale au CISO sans supervisionInterdit
  • Absence de rapport cybersécurité au conseilInterdit
NakedPact Logo

Comité de Rédaction NakedPact

Article conçu par la rédaction de NakedPact. Notre mission est d'analyser, de simplifier et de révéler les clauses abusives et les risques cachés dans les contrats du quotidien pour protéger les citoyens et les consommateurs.

Êtes-vous propriétaire d'un site Web?

Êtes-vous propriétaire d'un site Web?

Vous souhaitez communiquer à vos utilisateurs votre transparence dans le traitement des données ? Utilisez dynamiquement notre badge et affichez la conformité de votre plateforme.

🛡️ Protégez vos droits en un clic

Ne risquez pas de signer des clauses abusives. Installez l'extension gratuite NakedPact pour Chrome ou Firefox et analysez instantanément n'importe quel contrat sur le web.

Ne faites pas confiance, vérifiez.

Maintenant que vous connaissez les risques, ne signez pas aveuglément. Téléchargez votre contrat e laissez l'IA trouver les clauses cachées. C'est 100% gratuit.

Analysez votre contrat maintenant

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.