NIS2 : Les dirigeants sont personnellement responsables

La directive européenne NIS2 change la donne : la cybersécurité n’est plus seulement une affaire technique, elle devient une responsabilité directe des dirigeants. En cas de faille, la direction peut être tenue personnellement responsable.

Le rôle des dirigeants

NIS2 exige une gouvernance active :

• Nommer un point de contact cybersécurité
• Se former aux enjeux
• Organiser des revues régulières
• Documenter les décisions liées à la sécurité
• Prévoir un plan de réponse aux incidents

Exemples concrets

• Clinique wallonne victime d’un ransomware : sans PRA ni sauvegarde, le CEO est mis en cause pour gouvernance insuffisante.
• PME bruxelloise sous-traitante d’un service critique : piratée, elle expose un client. Sa direction est sanctionnable pour absence de cartographie des risques.
• Entreprise wallonne ayant choisi un fournisseur IT sans audit : fuite de données, la direction reste responsable des tiers selon NIS2.

Plus qu’une question technique

Il ne s’agit plus seulement de protéger des serveurs, mais de sauvegarder la réputation, la conformité et la responsabilité personnelle des dirigeants.

NIS2 impose aux leaders d’anticiper et de s’impliquer activement.