NIS2, sensibilisation cybersécurité et devoir de diligence
La directive NIS2 fait de la sensibilisation une obligation, en particulier pour les dirigeants. Décryptage de ce que cela change concrètement.
La directive européenne NIS2, transposée en droit français, élargit considérablement le périmètre des organisations soumises à des obligations cybersécurité. Mais elle introduit aussi une dimension nouvelle, souvent sous-estimée : un devoir personnel de diligence pour les dirigeants en matière de sensibilisation.
NIS2 en deux mots
NIS2 remplace la directive NIS de 2016. Elle étend le périmètre à environ 160 000 entités dans l'UE, contre 5 000 auparavant. Sont concernés :
- les entités essentielles : énergie, transport, santé, eau, infrastructure numérique, finance, administration publique.
- les entités importantes : poste, déchets, agroalimentaire, fabrication critique, fournisseurs numériques.
Le seuil de bascule est désormais bas : 50 salariés ou 10 M€ de chiffre d'affaires pour de nombreuses activités.
Ce que la directive demande
Sans entrer dans le détail juridique, NIS2 impose une approche par les risques couvrant :
- la gestion des risques cyber,
- la sécurité des systèmes,
- la gestion des incidents et leur notification,
- la continuité d'activité,
- la sécurité de la chaîne d'approvisionnement,
- la formation et la sensibilisation des collaborateurs,
- la gouvernance par les organes de direction.
Le changement clé : la responsabilité des dirigeants
C'est probablement la nouveauté la plus structurante. NIS2 stipule que :
- les organes de direction approuvent les mesures de gestion des risques,
- ils en supervisent la mise en œuvre,
- ils suivent une formation régulière,
- ils peuvent être personnellement responsables en cas de manquement.
Pour la première fois, la cybersécurité devient un sujet de responsabilité personnelle des dirigeants, comparable à ce qui existe en matière comptable ou environnementale.
La sensibilisation comme obligation traçable
Une formation annuelle "cochée" ne suffit pas. Pour démontrer le devoir de diligence, il faut :
- un programme structuré (pas une action isolée),
- adapté aux publics (le COMEX n'a pas les mêmes besoins que la production),
- mesuré dans ses effets,
- documenté dans son déroulement.
Conscio Technologies a publié une analyse approfondie de ces exigences dans NIS2, sensibilisation cybersécurité et devoir de diligence.
Sensibiliser le COMEX : un chantier en soi
Les dirigeants ne suivront pas le même module qu'un opérateur en production. Leurs besoins :
- comprendre les risques stratégiques (atteinte à la réputation, continuité, chaîne d'approvisionnement),
- maîtriser les bons réflexes décisionnels en cas de crise,
- savoir arbitrer entre investissement cyber, conformité et activité métier,
- incarner la cybersécurité au quotidien (voir Le RSSI doit incarner la cybersécurité).
L'article Sensibilisation des dirigeants approfondit ces enjeux.
Préparer sa mise en conformité
Trois actions à engager dès maintenant :
- Cartographier les obligations applicables à votre organisation.
- Établir un programme de sensibilisation pluriannuel.
- Documenter les actions menées, leurs cibles et leurs résultats.
Le plan d'actions 2026 gratuit constitue un excellent support pour structurer la démarche.
Conclusion
NIS2 n'est pas qu'une contrainte. C'est une opportunité de placer la cybersécurité au niveau qu'elle mérite : celui du COMEX. Les organisations qui sauront transformer cette obligation en programme cohérent — formation, sensibilisation, gouvernance — bénéficieront d'un avantage compétitif durable.
Aller plus loin avec Conscio Technologies
Vous souhaitez mettre en place une démarche de sensibilisation impliquante dans votre organisation ? Découvrez l'approche de Conscio Technologies.