Points clés
- La gestion des infrastructures critiques génère des responsabilités spécifiques pour les dirigeants, au-delà des responsabilités générales de gouvernance IT.
- Ces responsabilités sont formalisées par NIS2, DORA, et les réglementations sectorielles applicables à chaque organisation.
- NIS2 établit une responsabilité personnelle des dirigeants d'entités essentielles en cas de manquement grave aux obligations de cybersécurité.
- DORA impose à l'organe de direction de chaque entité financière d'approuver la stratégie de risque ICT et d'en assurer le suivi actif.
- La SEC (2023) exige que les entreprises cotées américaines déclarent si leur conseil d'administration dispose d'une expertise cybersécurité identifiable.
La gestion des infrastructures critiques n'est plus uniquement une affaire d'équipes techniques. Les régulateurs sectoriels ont progressivement formalisé les responsabilités spécifiques des dirigeants dans ce domaine, créant un régime de responsabilité personnelle qui rend l'ignorance ou la délégation totale inacceptables sur le plan juridique et réglementaire.
Cette évolution réglementaire reflète une conviction désormais partagée par les superviseurs : la sécurité des infrastructures critiques est une question de gouvernance d'entreprise, pas seulement de gestion technique. Les dirigeants qui ne s'impliquent pas dans ce domaine s'exposent à des responsabilités personnelles en cas d'incident.
Les responsabilités sous NIS2
La directive NIS2, en vigueur depuis octobre 2024, introduit une disposition inédite en Europe : la responsabilité personnelle des dirigeants d'entités essentielles et importantes. L'article 20 dispose que les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et peuvent être tenus personnellement responsables en cas de manquement. NIS2 impose également que les membres des organes de direction suivent une formation à la cybersécurité.
Cette responsabilisation personnelle est renforcée par le pouvoir des autorités nationales compétentes de prononcer des sanctions contre les dirigeants individuels — y compris des interdictions temporaires d'exercer des fonctions de direction — en cas de violation grave et répétée des obligations NIS2.
Les responsabilités sous DORA
DORA (Digital Operational Resilience Act), applicable depuis janvier 2025 aux entités financières, impose à l'organe de direction de définir, approuver et superviser la stratégie de résilience opérationnelle numérique. Cette responsabilité n'est pas délégable : l'organe de direction doit rendre compte de son implication active dans la supervision des risques ICT critiques.
DORA impose également que les membres de l'organe de direction maintiennent leurs connaissances en matière de risques ICT à un niveau suffisant pour exercer leur rôle de supervision. Les autorités compétentes peuvent requérir des preuves de cette compétence lors des inspections.
Les responsabilités sectorielles complémentaires
Au-delà de NIS2 et DORA, des réglementations sectorielles précisent les responsabilités des dirigeants dans des secteurs spécifiques. PCI-DSS 4.0 exige que la politique de sécurité des données de paiement soit approuvée par la direction exécutive. SWIFT CSP impose à l'entreprise de désigner un responsable nommément identifié pour le programme de conformité. MAS TRM requiert que la politique de gestion des risques technologiques soit approuvée par le conseil d'administration. Ces exigences cumulées construisent un régime de gouvernance dont les dirigeants ne peuvent s'abstraire.
La SEC a publié en juillet 2023 des règles imposant aux entreprises cotées de déclarer leurs incidents de cybersécurité matériels dans les quatre jours ouvrables, et de fournir annuellement des informations sur les processus de gestion des risques cybersécurité. La règle impose spécifiquement de déclarer si le conseil d'administration dispose d'une expertise cybersécurité identifiable. SolarWinds et son CISO ont fait l'objet d'une plainte SEC alléguant une divulgation inadéquate des risques connus avant l'attaque — première application de la responsabilité personnelle du CISO dans ce cadre.
Plusieurs États membres ont transposé NIS2 avec des dispositions de responsabilité personnelle des dirigeants particulièrement explicites. En Allemagne, la transposition NIS2 (NIS2UmsuCG) prévoit des amendes personnelles pouvant atteindre 10 millions d'euros pour les membres de l'organe de direction d'entités essentielles en cas de manquement grave. En France, l'ANSSI a publié des guides destinés spécifiquement aux dirigeants, explicitant leurs obligations et les preuves d'implication attendues lors des contrôles.
La MAS Singapore a publié en 2021 des guidelines sur la responsabilité de la direction senior en matière de risques technologiques. Ces guidelines précisent que le CEO et le CRO d'une institution financière sont personnellement responsables de l'adéquation du cadre de gestion des risques ICT. La MAS a sanctionné plusieurs institutions pour des défaillances dans lesquelles l'insuffisance de l'implication du management senior a été expressément mentionnée dans les décisions. Ces décisions font jurisprudence pour l'ensemble du secteur financier régional.