top of page
Rechercher

Article 20 de NIS2 : quand la gouvernance devient une affaire de dirigeants


La directive NIS2 fait des dirigeants les grands oubliés des discussions sur la cybersécurité en France. Pourtant, l'article 20 place une bombe à retardement sur les bureaux des comités de direction : c'est ici que tout commence, et c'est ici que tout peut s'effondrer. Cet article ne parle ni de firewalls, ni de pare-feu, ni même de détection d'intrusions. Il parle d'une seule chose : qui est responsable et comment.


Pourquoi l'article 20 est le véritable point d'entrée de NIS2

Avant NIS2, la cybersécurité restait une affaire de DSI. C'était un dossier technique, avec des budgets IT, des solutions à déployer, des consultants en sécurité. Les dirigeants validaient, signaient les chèques et revenaient à leurs enjeux stratégiques. Cela a changé le 17 octobre 2024 au soir.


L'article 20 de NIS2 stipule que les organes de direction (comité de direction, conseil d'administration) des entités essentielles et importantes doivent approuver et superviser les mesures de gestion des risques de cybersécurité. Ce n'est pas une recommandation. Ce n'est pas un "devrait faire". C'est une obligation légale directe, imposée à vous personnellement.


En France, le périmètre s'élargit considérablement. Entre 15 000 et 18 000 organisations sont soudain concernées (contre 300 environ avant NIS2). Parmi elles, des cliniques privées, des PME logistiques, des universités, des collectivités, des entreprises de distribution alimentaire - tous des acteurs qui ne se pensaient pas "critiques" jusqu'à présent. Pour tous, l'article 20 entre en vigueur : la responsabilité ne peut plus être déléguée au département IT.


Les obligations concrètes de l'article 20

L'article 20 impose quatre choses précises aux organes de direction. Aucune ne peut être contournée. Aucune ne peut être "presque" réalisée.


Approuver les mesures de gestion des risques

Votre comité de direction doit approuver formellement les mesures de cybersécurité que votre organisation met en place. Ce n'est pas une approbation implicite, donnée en marge d'une réunion ou acceptée par email. C'est une approbation documentée, tracée et archivée. Les procès-verbaux doivent le montrer. Les décisions doivent être ratifiées.

Superviser leur mise en œuvre

Approuver c'est un acte ponctuel. Superviser c'est un engagement continu. Cela signifie que votre direction générale reçoit, discute et examine régulièrement des rapports sur l'état de la gestion des risques. Des incidents se produisent-ils ? Comment les procédures évoluent-elles ? Les mesures approuvées sont-elles réellement en place et efficaces ?

Se former aux risques de cybersécurité

L'article 20 oblige également chaque membre des organes de direction à suivre une formation obligatoire et régulière pour acquérir une connaissance suffisante des risques de cybersécurité. Cette formation doit être documentée, et l'ANSSI attendrait que les organisations français en conservent les traces. Ne pas se former n'est pas une option. C'est un manquement direct.

Définir une politique de cybersécurité claire

Enfin, les organes de direction doivent définir une politique de cybersécurité explicitant la position de l'organisation face aux risques, l'allocation des ressources, et les objectifs à atteindre. Cette politique doit descendre dans l'organisation, être communiquée et comprise.


La responsabilité personnelle : le changement de jeu

C'est là que NIS2 bouleverse réellement les équilibres. L'article 20 introduit un principe qui était absent avant : la responsabilité personnelle des dirigeants.

Si votre organisation ne respecte pas les obligations de NIS2 (notamment les mesures décrites à l'article 21), vous pouvez être personnellement poursuivis. Pas votre entreprise seule. Vous. En tant que personne physique.

Les sanctions incluent plusieurs choses. D'abord, des amendes administratives : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial, selon que vous êtes une entité essentielle ou importante. Mais au-delà de l'amende, il y a les mesures personnelles. Une autorité compétente peut ordonner une interdiction temporaire de gérer une entreprise. Vous ne pouvez plus occuper de poste de direction pendant une durée déterminée. C'est une disqualification de facto.

En cas de négligence grave—c'est-à-dire si vous aviez connaissance des risques, si une violation avait été signalée, et que vous n'aviez rien fait—les autorités peuvent engager une procédure pénale. C'est un franchissement d'un seuil considérable. Pour la première fois, un défaut de governance en cybersécurité peut mener à des poursuites criminelles.


Pourquoi l'article 20 ne se limite pas au cyber

Ici intervient l'angle que CARINEL défend depuis des années : l'article 20 ne parle pas uniquement de cybersécurité au sens informatique du terme.

L'article 21 (qui énumère les mesures concrètes que l'article 20 demande d'approuver et superviser) inclut explicitement la sécurité physique des infrastructures critiques. Ces infrastructures incluent vos datacenters, vos salles serveurs, vos locaux où sont stockées les données sensibles. Ils ne se limitent pas aux pare-feu ou aux outils de détection. Ils incluent les contrôles d'accès, les salles sécurisées, la continuité d'activité sur sites alternatifs.

Cela signifie que l'article 20 force votre comité de direction à approuver et superviser une approche convergente où sécurité physique, sûreté opérationnelle et cybersécurité ne sont plus trois domaines séparés mais un seul triangle.

Imaginez. Votre RSSI a établi une excellente politique de détection d'incidents. Vos responsables IT déploient des outils sophistiqués. Mais vos salles serveurs sont accessibles via un accès physique peu contrôlé. Vos badges ne sont jamais désactivés quand un collaborateur part. Les contrats de maintenance ne spécifient pas quels accès sont autorisés. Un évaluateur de l'ANSSI arrive et demande à votre comité de direction : "Qui a approuvé la sécurité physique de ces infrastructures ? Comment garantissez-vous que la supervision de la cybersécurité inclut la supervision du physique ?"

Beaucoup de dirigeants ne peuvent pas répondre. Pourquoi ? Parce que le RSSI et le responsable de la sûreté physique n'ont jamais eu de réunion conjointe de gouvernance. Leurs rapports vont à des directions différentes. Leurs budgets sont isolés. Personne n'a jamais exigé qu'ils convergent.

C'est un vide de gouvernance majeur, et c'est justement ce que l'ANSSI va chercher à partir de 2026.


Le calendrier que vous devez avoir en tête

En France, la transposition de NIS2 dans la loi nationale s'est finalisée en 2024. L'ANSSI a ouvert le portail Mon Espace NIS2 pour permettre aux organisations de s'auto-évaluer et s'enregistrer.

Le calendrier court et serré :

  • Octobre 2024 : NIS2 est devenue contraignante au niveau européen.

  • Avril 2025 : Les États membres ont publié la liste des entités essentielles et importantes. En France, l'ANSSI a formellement assigné une catégorie à votre organisation.

  • 2025 - fin 2027 : Les audits ANSSI se déroulent. L'ANSSI envoie ses équipes vérifier que vous respectez les obligations de gouvernance incluses dans l'article 20. Les premiers contrôles sont en cours.

  • Moins de deux ans : c'est le délai qu'il vous reste pour vous conformer pleinement (octobre 2027 pour les essentielles et importantes).

Moins de deux ans. Cela ne semble plus long du tout quand vous regardez votre organisation aujourd'hui et vous vous demandez : "Avons-nous même défini une gouvernance convergente ? Avons-nous nommé qui sera responsable de cette convergence ? Nos dirigeants savent-ils ce qu'on leur demande d'approuver ?"

La plupart répondent non. Et la fenêtre se referme.


Ce que l'article 20 demande réellement : un changement de gouvernance

L'erreur la plus courante est de traiter l'article 20 comme un dossier informatique à "cocher". C'est un dossier de gouvernance structurelle.


Voici ce qu'il demande réellement :

Créer une responsabilité formelle. Quelqu'un, au-dedans de votre organisation, doit être explicitement chargé de coordonner la gouvernance de la gestion des risques. Ce ne peut pas être "le RSSI en plus de ses autres tâches". C'est un rôle, un titre, une responsabilité reconnue.

Définir les interfaces. Qui rapporte au comité de direction ? Le RSSI ? Le responsable de la sûreté physique ? Comment leurs rapports se consolident-ils en une vision convergente pour la direction générale ? Si vous n'avez pas de réponse aujourd'hui, vous en devez une demain.

Documenter l'approbation. Les procès-verbaux de vos comités de direction doivent refléter que vous discutez, approuvez et supervisez les mesures de cybersécurité et de sécurité physique. Pas une fois par an. Régulièrement. Trimestriellement, mensuellement selon la criticité.

Mettre la formation en place. Chaque dirigeant doit recevoir une formation formelle et documentée sur les risques de cybersécurité et de sûreté. Pas un webinaire d'une heure. Une formation substantielle, adaptée à votre secteur, à votre organisation et à votre rôle.

Allouer les ressources. L'article 20 impose que votre comité de direction alloue un budget suffisant pour mettre en place les mesures demandées. "Suffisant" n'est pas défini précisément, mais cela signifie : proportionné à la criticité de votre fonction, cohérent avec votre modèle économique, et visiblement documenté comme une décision de gouvernance.


Comment CARINEL accompagne cette transition

La plupart des organisations pensent que se mettre en conformité avec NIS2 c'est faire un audit IT et corriger les vulnérabilités trouvées. C'est une compréhension incomplète.

NIS2, et particulièrement l'article 20, oblige les organisations à restructurer leur gouvernance. Pas juste à acheter des outils. Pas juste à recruter un CISO (Chief Information Security Officer, responsable de la sécurité informatique).


CARINEL est un cabinet de conseil en sûreté et sécurité physique. Sur plus d'une décennie, nous avons audité plus de 500 sites en France et formé plus de 5 000 personnes. Notre expertise est systémique : nous ne protégeons pas un secteur isolément, nous protégeons les personnes, les biens et les informations comme un système intégré.

Pour accompagner les organisations dans la transformation imposée par l'article 20, nous structurons notre approche autour de quatre piliers :


1. L'audit et diagnostic : Comprendre où vous êtes réellement. Nous auditons votre sûreté des bâtiments, cartographions vos risques physiques, évaluons vos procédures et votre préparation aux crises. C'est ici qu'on trouve le gap critique : généralement, personne ne gouverne la convergence.

2. La structuration et gouvernance : Créer la structure manquante. Nous définissons les rôles clairs (incluant sûreté physique), créons le Comité NIS2 avec réunions mensuelles et processus formalisés, et documentons les responsabilités validées par le COMEX.

3. La formation et sensibilisation : Transformer la culture. Formation du COMEX et pilotes NIS2 aux obligations légales, sensibilisation croisée IT ↔ sûreté physique, exercices de crise intégrés (cyber + physique).

4. L'accompagnement opérationnel : Pérenniser la conformité. Support continu, revues périodiques, préparation aux audits ANSSI, ajustement de la posture en continu.

Où beaucoup d'organisations échouent aujourd'hui ? Elles traitent NIS2 comme un dossier IT. Elles créent un audit, identifient des vulnérabilités, lancent des correctifs. Puis, lors des premiers audits ANSSI, elles découvrent qu'elles manquent la gouvernance convergente exigée par l'article 20. Et à ce stade, il est souvent trop tard pour restructurer.


En conclusion : agissez immédiatement, pas en 2026

L'article 20 de NIS2 change le jeu pour les dirigeants. La cybersécurité n'est plus une affaire d'experts techniques. C'est une affaire de gouvernance, de responsabilité, et oui, de risque personnel.

Si vous êtes dirigeant d'une organisation qui rentre dans le périmètre NIS2 (et en France c'est très probable), vous avez deux options : traiter cela comme une contrainte réglementaire de plus, avec un audit rapide et une solution de surface. Ou traiter cela comme une opportunité de restructurer votre organisation pour la rendre résiliente.

Les organisations qui attendent encore en 2026 pour commencer la transformation structurelle découvriront très vite qu'elles ont perdu un an précieux. Les audits ANSSI s'intensifient, les écarts se creusent, et la fenêtre de conformité (moins de 2 ans) se referme dangereusement.

Les organisations qui commencent maintenant, en janvier 2026, qui définissent leur gouvernance convergente ce trimestre et testent leurs procédures au printemps, émergent avec une structure plus forte, une équipe alignée et une résilience réelle.

Et surtout, elles seront prêtes pour l'ANSSI.


___________________________________________________________________________

.

Pour explorer comment orchestrer cette transformation organisationnelle :


Contactez nos experts


📞 Échange téléphonique découverte (30 min) : - Prenez rendez-vous pour un premier diagnostic téléphonique gratuit au 01 89 71 59 06

📧 Contact expert : Envoyez-nous votre contexte au info@carinel.com ou https://www.carinel.com/contact, - nous vous rappelons sous 48h.


CARINEL – Cabinet de conseil en sécurité physique et sûreté – Organisme de formation certifié QUALIOPI

______________________________________________________________________________


 
 
 

Commentaires

bottom of page