Juridique - Avril 2026

Responsabilité personnelle des dirigeants sous NIS2 : ce que dit l'article 20

L'article 20 de la directive NIS2 introduit une innovation majeure : les organes de direction sont personnellement responsables de la gestion des risques cyber. Formation obligatoire, approbation des mesures, sanctions personnelles en cas de manquement.

Attention

L'article 20 ne cible pas le RSSI ou le DSI. Il cible explicitement les organes de direction : conseil d'administration, directoire, gerant, president. Un dirigeant peut être personnellement sanctionne, voire écarte temporairement de ses fonctions.

Ce que dit l'article 20

L'article 20 de la directive NIS2 impose deux obligations explicites aux organes de direction :

Approuver les mesures de gestion des risques cyber prises par l'entité conformement a l'article 21.
Superviser la mise en oeuvre de ces mesures et être tenus responsables en cas de manquement.

Le texte ajoute que les membres des organes de direction doivent suivre une formation et offrir une formation similaire a leurs employes, de manière régulière.

Quelles sanctions pour les dirigeants ?

En cas de manquement grave aux obligations de gouvernance, l'autorite competente (en France, l'ANSSI) peut :

Imposer une formation cyber complémentaire au dirigeant.
Suspendre temporairement le dirigeant de ses fonctions au sein de l'entité.
Engager sa responsabilité financière via les mecanismes du droit national.

Les sanctions NIS2 (jusqu'a 10 millions d'euros) visent l'entité, mais la responsabilité personnelle du dirigeant peut être engagee au titre du droit commun (faute de gestion, devoir de diligence).

Les bonnes pratiques pour les dirigeants

Se former : suivre au minimum une session annuelle de sensibilisation cyber.
Valider formellement la politique de sécurité des SI (proces-verbal du conseil ou du COMEX).
Demander des indicateurs : tableau de bord cyber au moins trimestriel.
Creer un comite : comite des risques cyber ou integration au comite d'audit.
Documenter : toute decision liee à la cybersécurité doit être tracee.

La première étape du ReCyF (pilier Gouvernance) détaillé ces exigences. Voir aussi notre guide de mise en conformité et les 10 mesures de l'article 21.

Un dirigeant peut-il deleguer sa responsabilité NIS2 au RSSI ?

Non. L'article 20 cible explicitement les organes de direction. Le dirigeant peut deleguer l'execution au RSSI mais reste personnellement responsable de l'approbation et de la supervision des mesures.

Sources

Directive (UE) 2022/2555, article 20
ANSSI, ReCyF, pilier Gouvernance, mars 2026