La cybersécurité était un problème IT. NIS2 en a fait un problème de patron.

Ce que vous devez savoir avant le 30 juin 2026

29 mars 2026 par

Louis Collard

NIS2 et responsabilité des dirigeants : ce que la loi dit vraiment

Depuis octobre 2024, une directive européenne s’applique à des dizaines de milliers d’entreprises en Europe.

Son nom: NIS2.

Sa nouveauté la plus importante n’est pas technique. Elle est humaine. Pour la première fois, c’est vous, le dirigeant, qui êtes personnellement responsable de la sécurité numérique de votre entreprise.

Le scénario que personne ne veut vivre

Imaginez : un lundi matin, vos systèmes sont bloqués. Une attaque informatique a paralysé vos opérations. Vos données clients sont exposées. Dans les 24 heures, vous avez l’obligation légale d’en informer les autorités.

Quelques semaines plus tard, l’enquête révèle que votre entreprise n’avait pas mis en place les mesures requises. Que personne n’avait approuvé formellement un plan de gestion des risques. Que les incidents n’étaient pas suivis. Que la traçabilité était inexistante.

Le problème, ce n’est pas votre équipe IT. C’est vous. Parce que NIS2 le dit noir sur blanc.

Ce que la loi dit, en clair

L’article 20 de la directive NIS2 est sans ambiguïté : les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques en matière de cybersécurité, en superviser la mise en œuvre, et peuvent être tenus responsables des infractions commises [1]. La mise en œuvre opérationnelle peut être déléguée, mais l’approbation et la supervision, non.

Vérifier maintenant si ma société est dans le périmètre de NIS2?

Et les sanctions ne sont pas symboliques [1]. Les entités dites « essentielles » s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Les entités « importantes » peuvent être condamnées à hauteur de 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.

Ces montants s’appliquent à l’entreprise mais votre responsabilité de dirigeant, elle, peut être engagée directement. Dans certains États membres, une suspension temporaire des fonctions dirigeantes est même possible [2].

Pourquoi ça arrive : les angles morts de l’organisation

Dans la plupart des PME, la sécurité numérique vit dans un coin isolé. Un document par-ci, un fichier Excel par-là, des rapports que personne ne lit vraiment. Chaque équipe gère son bout de la chaîne, mais personne n’a la vue d’ensemble.

Résultat : quand une autorité de contrôle demande à voir les preuves de vos décisions, votre traçabilité des risques, votre historique d’incidents... vous n’avez rien à montrer. Pas parce que vous n’avez rien fait. Mais parce que ce que vous avez fait n’est nulle part rassemblé.

La cybersécurité n’est plus traitée comme un exercice purement technique. Elle est devenue une question de gestion d’entreprise et de gouvernance au plus haut niveau [3]. C’est exactement ce que NIS2 traduit en obligations concrètes.

Ce que ça demande concrètement : approuver, surveiller, décider

Être responsable ne signifie pas devenir expert en cybersécurité. Personne ne vous demande de savoir configurer un pare-feu. Ce qu’on vous demande, c’est d’être en mesure de répondre à trois questions simples :

Quels sont les risques que mon entreprise a identifiés ?
Qu’est-ce qu’on fait pour les réduire ?
Si quelque chose se passe, est-ce qu’on le sait — et est-ce qu’on réagit ?

Ce sont des questions de patron, pas de technicien. Et pour y répondre, il faut avoir accès à une vue consolidée, pas à dix outils différents.

La bonne nouvelle : ce n’est pas une montagne

En janvier 2026, la Commission européenne a proposé des amendements ciblés à NIS2 pour simplifier la conformité et alléger les obligations pour les entreprises, notamment pour les petites et moyennes structures [4].
La direction prise est claire : rendre la mise en conformité plus accessible, pas plus lourde.

Ce dont vous avez besoin, ce n’est pas d’un nouveau logiciel à apprendre, d’une équipe dédiée à recruter, ou d’un cabinet de conseil à budget ouvert. Ce dont vous avez besoin, c’est que tout soit au même endroit, dans les outils que vos équipes utilisent déjà.

Un système que vos équipes connaissent déjà

C’est exactement ce que fait le module GRC de Prismtech, conçu pour Odoo. Suivi des risques, gestion des incidents, traçabilité des décisions, préparation aux audits : tout se passe dans l’environnement Odoo que vos équipes utilisent au quotidien. Pas de double saisie, pas d’outil supplémentaire à déployer, pas de résistance au changement.

Vous gardez la main sur la situation. Vos équipes continuent de travailler comme d’habitude ett si un auditeur frappe à votre porte, vous avez quelque chose à lui montrer.

NIS2 a fait de la cybersécurité un sujet de direction. Autant avoir les bons outils pour l’assumer.

Découvrez le module GRC intégré dans Odoo.

Références

[1] European Union, Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS2 Directive), art. 20 and 34, EUR-Lex, accessed March 29, 2026. https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

[2] DLA Piper, “NIS2 Directive Explained: Management Bodies Rules,” November 2025. https://www.dlapiper.com/en/insights/publications/2025/11/nis2-directive-explained-part-2-management-bodies-rules

[3] IAPP, “EU Cybersecurity Reboot: Practical Impacts of the Proposed NIS2 and CSA2 Reforms,” January 2026. https://iapp.org/news/a/eu-cybersecurity-reboot-practical-impacts-of-the-proposed-nis2-and-csa2-reforms

[4] European Commission, Proposal for a Directive COM(2026) 13 — Simplification Measures and Alignment with the Cybersecurity Act, January 20, 2026. https://digital-strategy.ec.europa.eu/en/library/proposal-directive-regards-simplification-measures-and-alignment-cybersecurity-act

dans Gouvernance, Risque & Conformité

Cybersécurité en Europe : un guide pour PME

Transformer la conformité réglementaire en un avantage concurrentiel