Politique Gouvernance NIS 2 : Responsabilité Dirigeants Art. 32 [Word]

La gouvernance NIS 2 et la responsabilité des dirigeants constituent l'une des ruptures majeures de la directive UE 2022/2555 par rapport au cadre réglementaire cyber précédent. Alors que la cybersécurité était traditionnellement perçue comme un enjeu technique relevant exclusivement de la DSI ou du RSSI, la directive NIS 2 — et en particulier ses articles 20 et 32 — élève la cybersécurité au rang de responsabilité de gouvernance d'entreprise au même titre que la conformité financière ou environnementale. Les organes de direction des entités essentielles et importantes — Conseil d'administration, COMEX, Directoire — doivent désormais approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre, et s'assurer que les membres de la direction suivent une formation spécifique à la cybersécurité. En cas de manquement grave et répété, l'article 32 prévoit la possibilité d'interdire temporairement à un dirigeant d'exercer ses fonctions. Ce template Word, conçu pour être directement présenté au COMEX ou au Conseil d'administration, formalise la politique de gouvernance NIS 2 exigée par le Référentiel Cyber France (ReCyF ANSSI, mars 2026). Il couvre les rôles et responsabilités, les délégations de compétence, les obligations de formation, et le dispositif de reporting cyber à la gouvernance.

Pourquoi la gouvernance NIS 2 est une obligation de direction, pas de DSI

La distinction est fondamentale et souvent mal comprise lors des premières séances de sensibilisation NIS 2 au sein des COMEX. L'article 20 de la directive NIS 2 dispose que les "organes de direction" des entités doivent approuver les mesures de gestion des risques cyber et superviser leur mise en œuvre. Le terme "organes de direction" vise explicitement le Conseil d'administration, le Directoire, ou l'équivalent selon la structure juridique de l'entité.

Cette obligation est renforcée par l'article 32 qui prévoit, pour les entités essentielles, la possibilité pour l'ANSSI d'imposer une suspension temporaire des fonctions dirigeantes en cas de manquement grave et répété aux obligations NIS 2. Il ne s'agit pas d'une sanction financière appliquée à la société, mais d'une mesure personnelle visant le ou les dirigeants responsables. Cette disposition, sans précédent dans le droit cyber européen, signale clairement que la conformité NIS 2 est une responsabilité individuelle de gouvernance.

Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, précise dans sa mesure 1 (Politiques de sécurité) les exigences de gouvernance applicables : la politique de sécurité doit être approuvée par le niveau le plus haut de la hiérarchie, révisée annuellement, et déclinée en procédures opérationnelles. Notre template matérialise exactement cette exigence.

Les obligations de formation des dirigeants selon NIS 2

L'article 20 de la directive impose explicitement que les membres de l'organe de direction suivent une formation à la cybersécurité, et que cette formation soit proposée régulièrement aux employés. Cette obligation de formation est opérationnalisée dans le ReCyF ANSSI par des exigences précises.

La traçabilité de ces formations est exigée par le ReCyF : émargements, attestations de participation, et évaluation des acquis doivent être conservés pendant au moins 3 ans. Notre plan de formation dirigeants NIS 2 pour COMEX/CODIR fournit le programme type et les supports de sensibilisation prêts à l'emploi.

Structure de la politique de gouvernance NIS 2 : ce que doit contenir le document

Le ReCyF ANSSI définit les exigences minimales de contenu pour la politique de gouvernance NIS 2. Notre template couvre intégralement ces exigences, organisées en sept sections :

1. Périmètre et objet : identification de l'entité (statut EE/EI), périmètre des systèmes d'information couverts, référence au cadre réglementaire NIS 2 et ReCyF ANSSI.
2. Engagement de la direction : déclaration formelle d'engagement signée par le Président-Directeur Général ou le Directeur Général, approuvée par le Conseil d'administration ou le COMEX.
3. Rôles et responsabilités : matrice RACI des acteurs cyber (Dirigeant responsable, RSSI, DSI, DPO, auditeurs internes) avec délégations formelles.
4. Objectifs de sécurité : niveaux cibles de maturité pour chacune des 10 mesures de l'article 21, alignés sur le ReCyF ANSSI.
5. Gouvernance du risque cyber : fréquence et format du reporting cyber au COMEX, seuils d'escalade, rôle du Comité des risques ou équivalent.
6. Programme de formation et sensibilisation : plan annuel de formation conforme aux exigences NIS 2, populations cibles, indicateurs de suivi.
7. Révision et amélioration continue : cycle de révision annuelle, déclencheurs de révision exceptionnelle (incident majeur, changement organisationnel), procédure de mise à jour.

La matrice RACI de gouvernance NIS 2 : qui fait quoi

L'une des contributions les plus pratiques de notre template est la matrice RACI (Responsible, Accountable, Consulted, Informed) de la gouvernance NIS 2. Cette matrice clarifie les responsabilités de chaque acteur pour les obligations clés de la directive, ce qui est indispensable pour éviter les zones grises et les conflits de compétence lors d'un incident ou d'un audit.

• Dirigeant responsable (CEO/DG) : Accountable pour la conformité globale NIS 2, signe la politique de gouvernance, valide le budget cybersécurité, préside les comités de crise cyber.
• RSSI : Responsible de la mise en œuvre des 10 mesures NIS 2, de la gestion des incidents, de la notification ANSSI, et du reporting cyber au COMEX. Si l'organisation ne dispose pas de RSSI interne, la fonction peut être externalisée via un RSSI externalisé.
• DSI : Responsible de l'implémentation technique des mesures NIS 2 dans les systèmes d'information, de la cartographie du SI, et de la gestion des fournisseurs IT.
• DPO : Consulted pour les incidents impliquant des données personnelles, Responsible de la coordination avec la CNIL pour les notifications RGPD parallèles.
• DAF : Consulted pour la validation du budget cyber et l'évaluation des impacts financiers des incidents, Informed sur le tableau de bord KPI NIS 2.
• Conseil d'administration / COMEX : Informed mensuellement via le tableau de bord cyber, Accountable collectivement de la supervision des mesures NIS 2.

Le reporting cyber à la gouvernance : format et fréquence recommandés

L'une des nouvelles obligations pratiques introduites par NIS 2 est l'obligation de reporting cyber régulier à l'organe de direction. Pour être efficace, ce reporting doit être conçu pour une audience non technique (dirigeants, administrateurs) tout en fournissant les informations nécessaires à la prise de décision stratégique.

Le format recommandé par le ReCyF ANSSI est un tableau de bord mensuel présenté en COMEX, couvrant :

• Niveau de maturité global NIS 2 (score sur 100 avec évolution mois précédent)
• Avancement du plan de mise en conformité (jalons atteints / en retard)
• Incidents de sécurité du mois (nombre, nature, impact, statut de notification ANSSI)
• Indicateurs de risque clés (vulnérabilités critiques non corrigées, tentatives d'intrusion bloquées)
• Budget cybersécurité : consommé vs alloué, prévisions
• Actions requises de la gouvernance (décisions, arbitrages, signatures)

Notre tableau de bord conformité NIS 2 avec 20 KPI Excel est directement conçu pour alimenter ce reporting COMEX, avec des graphiques prêts à l'emploi et des commentaires d'interprétation.

Intégration avec la politique de sécurité du système d'information (PSSI)

La politique de gouvernance NIS 2 ne remplace pas la politique de sécurité du système d'information (PSSI) existante. Elle la complète et la structure hiérarchiquement : la politique de gouvernance constitue le document de niveau 0 (politique d'entreprise), approuvée par la gouvernance, dont découle la PSSI (niveau 1, politique technique), qui elle-même génère les procédures opérationnelles (niveau 2) et les guides techniques (niveau 3).

Pour les organisations déjà certifiées ISO 27001, la politique de gouvernance NIS 2 correspond à la "politique de sécurité de l'information" exigée par la clause 5.2 de la norme. Un audit ISO 27001 récent peut servir de base pour démontrer la conformité à cette exigence de gouvernance NIS 2. Notre template prévoit une section de correspondance ISO 27001 / NIS 2 / ReCyF pour les organisations multi-référentiels.

Les erreurs de gouvernance les plus courantes face à NIS 2

• Déléguer intégralement la conformité NIS 2 à la DSI ou au RSSI : c'est la première erreur, et elle expose personnellement les dirigeants. La direction générale doit être Accountable, même si le RSSI est Responsible.
• Approuver la politique sans la lire ni la comprendre : la signature d'un document que le dirigeant ne comprend pas ne l'exonère pas de sa responsabilité. Une séance de briefing de 30 minutes par le RSSI avant la signature est indispensable.
• Ne pas réviser la politique après un incident ou un changement structurel : la politique de gouvernance NIS 2 n'est pas un document "signe et oublie". Elle doit être révisée après tout incident significatif, changement de direction, fusion-acquisition, ou modification majeure du SI.
• Omettre les filiales et sous-entités : la politique de gouvernance doit couvrir l'ensemble du périmètre NIS 2, y compris les filiales qui entrent dans le périmètre de consolidation.
• Ne pas documenter les formations suivies : l'absence de traçabilité des formations obligatoires est un manquement spécifique, distinct de l'absence de formation elle-même.

FAQ — Gouvernance NIS 2 et responsabilité des dirigeants

Que signifie concrètement la responsabilité personnelle des dirigeants dans NIS 2 ?

L'article 32 de la directive NIS 2 introduit la possibilité pour l'autorité compétente (l'ANSSI en France) de prononcer une suspension temporaire de l'exercice des fonctions dirigeantes pour toute personne physique assumant des responsabilités dirigeantes dans une entité essentielle. Cette sanction est conditionnée à un manquement grave et répété aux obligations NIS 2, après mise en demeure restée sans effet. Elle s'applique à titre individuel, en complément ou indépendamment des sanctions financières imposées à l'entité. C'est une disposition sans précédent dans le droit cyber européen, qui aligne la responsabilité cyber sur les responsabilités pénales en matière de sécurité du travail ou de conformité environnementale.

Le RSSI peut-il être tenu personnellement responsable en cas de manquement NIS 2 ?

L'article 32 de la directive vise explicitement les "personnes physiques assumant des responsabilités dirigeantes au niveau de l'entité", ce qui inclut potentiellement le RSSI s'il est membre du COMEX ou de l'équipe de direction. En revanche, un RSSI qui a fait remonter des alertes à sa hiérarchie et dont les recommandations ont été ignorées dispose d'éléments de défense solides. C'est pourquoi la traçabilité des alertes transmises à la direction est essentielle pour le RSSI : les comptes-rendus de COMEX, les présentations de risques, et les demandes de budget documentées constituent des preuves de diligence professionnelle opposables en cas de litige.

La politique de gouvernance NIS 2 doit-elle être rendue publique ?

Non, la politique de gouvernance NIS 2 est un document interne confidentiel. Elle n'a pas vocation à être publiée sur le site web de l'entreprise. En revanche, certaines informations de niveau résumé (engagement de la direction en matière de cybersécurité, existence d'un RSSI, existence d'un programme de formation) peuvent figurer dans le rapport de gestion annuel ou la déclaration de performance extra-financière (DPEF) pour les grandes entreprises. L'ANSSI peut demander à consulter la politique complète dans le cadre d'un audit de conformité.

Comment articuler la politique de gouvernance NIS 2 avec les exigences DORA pour les entités du secteur financier ?

Les entités du secteur financier (banques, assurances, sociétés de gestion) soumises à la fois à NIS 2 et à DORA (Digital Operational Resilience Act) doivent s'assurer que leur politique de gouvernance cyber couvre les deux référentiels. DORA impose des exigences similaires mais avec des précisions supplémentaires pour la résilience opérationnelle numérique : plan de résilience ICT approuvé par le Conseil d'administration, tests de résilience annuels (TLPT pour les entités significatives), registre des fournisseurs ICT tiers critiques. Notre template prévoit des sections optionnelles permettant d'intégrer les exigences DORA spécifiques pour les entités concernées.

Quelle est la différence entre la politique de gouvernance NIS 2 et la PSSI ?

La politique de gouvernance NIS 2 est un document de niveau stratégique, approuvé par la direction générale et les organes de gouvernance, qui exprime l'engagement de l'organisation et fixe le cadre général de la gestion du risque cyber. La Politique de Sécurité du Système d'Information (PSSI) est un document de niveau opérationnel, rédigé par le RSSI, qui définit les règles techniques et organisationnelles applicables au SI. La politique de gouvernance NIS 2 est la "charte d'engagement" signée par les dirigeants ; la PSSI est le "règlement technique" mis en œuvre par les équipes. Les deux documents sont complémentaires et obligatoires selon le ReCyF ANSSI.

Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.

Conclusion — Faire de la gouvernance NIS 2 un avantage compétitif

La politique de gouvernance NIS 2 n'est pas qu'une obligation réglementaire : c'est une opportunité de structurer la fonction cyber au plus haut niveau de l'entreprise, de clarifier les responsabilités, et de démontrer à vos clients, partenaires et investisseurs que votre organisation traite la cybersécurité comme un enjeu stratégique. Les entités qui auront formalisé leur gouvernance cyber avant les premiers audits ANSSI disposeront d'un avantage certain dans la gestion de la relation avec le régulateur. Complétez cette démarche avec notre checklist des 10 mesures NIS 2, le plan de conformité sur 12 mois, et l'auto-diagnostic d'applicabilité pour une démarche NIS 2 complète et structurée.

l'homologation ANSSI est distincte de la simple conformité NIS 2 : elle concerne les systèmes d'importance vitale.

L'articulation entre gouvernance NIS 2 et conformité RGPD : les synergies à exploiter

Pour les organisations soumises à la fois à NIS 2 et au RGPD — ce qui est le cas de la quasi-totalité des entités françaises concernées — la politique de gouvernance NIS 2 doit s'articuler avec les mécanismes de gouvernance RGPD déjà en place. Cette articulation présente des synergies importantes qu'il serait dommage de manquer. Le DPO (Délégué à la Protection des Données), déjà présent dans de nombreuses organisations, joue un rôle complémentaire à celui du RSSI dans la gouvernance NIS 2 : il est l'interlocuteur privilégié pour les incidents impliquant des données à caractère personnel, la coordination avec la CNIL pour les violations RGPD parallèles à une notification NIS 2, et la gestion des risques liés aux transferts de données vers des fournisseurs. Notre template de politique de gouvernance NIS 2 intègre une section de coordination DPO/RSSI définissant leurs périmètres respectifs, les situations requérant une intervention conjointe, et les modalités de reportings croisés. Cette intégration évite les doublons documentaires et garantit la cohérence des politiques de sécurité et de protection des données.

Gouvernance NIS 2 dans les structures complexes : holdings, filiales, et entités multi-sites

La mise en place d'une gouvernance NIS 2 dans des structures organisationnelles complexes — groupes avec plusieurs filiales, structures matricielles, entités multi-sites réparties sur plusieurs pays — soulève des questions pratiques que notre template aborde spécifiquement. Dans un groupe comprenant plusieurs entités soumises à NIS 2, trois modèles de gouvernance sont possibles :

• Gouvernance centralisée : une politique de gouvernance NIS 2 groupe, validée par le COMEX Groupe, s'applique à toutes les entités filiales dans le périmètre NIS 2. Un RSSI Groupe coordonne la mise en conformité. Ce modèle est efficace mais nécessite que la politique groupe soit suffisamment générique pour couvrir les spécificités de chaque filiale.
• Gouvernance fédérée : une politique cadre groupe est déclinée en politiques spécifiques pour chaque filiale, approuvées localement par leurs organes de direction. Ce modèle est plus proche des exigences NIS 2 (qui visent chaque entité individuellement) mais plus lourd à maintenir.
• Gouvernance hybride : les politiques de base (gouvernance, incidents, fournisseurs) sont groupées ; les politiques techniques spécifiques (sécurité des systèmes OT, sécurité des applications métier) sont déclinées filiale par filiale. C'est le modèle recommandé par le ReCyF ANSSI pour les groupes complexes.

Notre template prévoit des sections adaptables à chacun de ces modèles, avec des instructions de personnalisation selon la structure organisationnelle de votre groupe. La directive NIS 2 et ses obligations s'appliquant à chaque entité individuellement, le modèle choisi doit garantir que chaque entité dans le périmètre dispose d'une documentation de gouvernance NIS 2 à son nom, validée par ses propres organes de direction.

Bénéfices concurrentiels d'une gouvernance NIS 2 formalisée

Au-delà de la conformité réglementaire, une gouvernance NIS 2 formalisée génère des bénéfices concurrentiels tangibles pour les entités qui la déploient. Dans les appels d'offres et marchés publics, les acheteurs publics et grands donneurs d'ordre privés incluent de plus en plus des exigences de conformité NIS 2 dans leurs critères de sélection. Une entité capable de produire sa politique de gouvernance NIS 2 signée par la direction générale, son plan de mise en conformité, et son score de maturité ReCyF dispose d'un avantage différenciant significatif face à des concurrents qui n'ont pas encore engagé cette démarche. Dans les secteurs où la confiance est un facteur clé (santé, finance, services numériques), la conformité NIS 2 devient un argument commercial à part entière, au même titre que la certification ISO 27001 l'est depuis plusieurs années. Consulter notre guide ReCyF ANSSI 2026 pour comprendre comment valoriser votre démarche NIS 2 auprès de vos clients et partenaires.

Le rôle de l'assurance dans la gouvernance cyber NIS 2

La gouvernance NIS 2 inclut également une dimension assurantielle que le ReCyF ANSSI encourage les entités à intégrer dans leur stratégie de gestion des risques. Si la directive NIS 2 n'impose pas la souscription d'une assurance cyber, la cyber-assurance est de plus en plus considérée comme un élément de la stratégie de traitement du risque résiduel, en complément des mesures de prévention et de détection. Les assureurs cyber conditionnent désormais la couverture (ou les primes) à la mise en place effective des mesures NIS 2 : MFA sur les accès distants, sauvegardes isolées (air-gap), procédure de notification des incidents, et politique de gestion des accès. La politique de gouvernance NIS 2 doit donc intégrer un volet "stratégie assurantielle" précisant les couvertures cyber en place, les conditions de déclenchement, et les procédures de déclaration de sinistre. Le RSSI et le DAF doivent collaborer sur ce point pour garantir l'alignement entre les garanties assurantielles et les risques résiduels identifiés dans l'analyse de risque NIS 2. Notre template prévoit une section optionnelle de gouvernance assurantielle adaptable à votre stratégie de couverture. Pour comprendre les implications financières des incidents cyber et calibrer votre couverture, consultez notre analyse des obligations NIS 2 qui détaille les scénarios d'impact économique les plus courants.