Ce que la direction générale doit documenter au titre de NIS2
Un scénario tiré de l’audit du BSI : la direction générale a fait beaucoup de choses correctement. Elle a libéré un budget, nommé un CISO, priorisé les mesures et gardé un œil sur les progrès. Pourtant, rien de tout cela n’apparaît sur papier. Lorsque l’auditeur demande comment la direction assume son obligation de surveillance, il n’obtient que des assurances orales et aucun procès-verbal. Le travail a été accompli, la preuve manque. C’est précisément là que se joue si une bonne organisation de la sécurité est reconnue comme telle lors de l’audit. Une résolution formelle n’est pas nécessaire à cet effet, mais une trace de pilotage vérifiable l’est.
L’essentiel en bref
- Aucune résolution formelle prescrite : Le paragraphe 38 du BSIG exige de mettre en œuvre les mesures et de surveiller leur mise en œuvre. Le terme « approuver » de la directive NIS2 ne figure pas dans la loi allemande.
- La documentation est expressément obligatoire : Le paragraphe 30 alinéa 1 phrase 3 exige de documenter le respect des mesures. Une infraction est sanctionnable par une amende selon le paragraphe 65.
- Six éléments doivent figurer au procès-verbal : de la documentation des mesures aux preuves de surveillance et aux décisions de pilotage jusqu’à l’évaluation de l’efficacité, aux justificatifs de formation et à la chaîne de notification.
- L’amende frappe l’entité, la responsabilité la direction : Les plafonds allant jusqu’à 10 millions d’euros concernent l’entreprise. La responsabilité personnelle de la direction s’exerce sur le plan civil via le paragraphe 38 alinéa 2.
En lien :Cinq indicateurs que le conseil de surveillance comprend vraiment / Quels droits de décision du CISO doivent être réglés par écrit
Ce que la direction générale doit documenter au titre de NIS2 ?
Que demande le BSIG en matière de documentation à la direction générale ? Le BSIG 2025 oblige l’entité à documenter le respect de ses mesures de gestion des risques. La direction générale doit surveiller leur mise en œuvre. De ces deux obligations découle la pratique consistant à consigner les décisions de sécurité prises, leur surveillance et la participation aux formations de manière à ce qu’elles soient prouvables lors d’un audit BSI ou d’un examen de responsabilité.
L’erreur la plus courante est de croire que la loi exige une résolution formelle de la direction générale sur les mesures de sécurité. Il s’agit de la formulation européenne, et non de la formulation allemande. Quiconque fonde sa gouvernance sur ce malentendu documente en dehors du cadre de la loi. L’obligation réelle est définie plus strictement et est plus facile à gérer en pratique lorsque l’on connaît le libellé exact.
Mettre en œuvre et surveiller, et non approuver
Le coup d’œil sur le texte de loi en vaut la peine. Le paragraphe 38 alinéa 1 du BSIG oblige les directions générales des entités particulièrement importantes et importantes à mettre en œuvre les mesures de gestion des risques à prendre conformément au paragraphe 30 et à surveiller leur mise en œuvre. Il n’y est pas question d’approbation ou de résolution.
La confusion vient de la directive NIS2 de niveau supérieur. Son article 20 exige que les organes dirigeants approuvent les mesures, en surveillent la mise en œuvre et puissent être tenus responsables des violations. Lors de la transposition, le législateur allemand a remplacé le terme « approuver » par « mettre en œuvre », conservé « surveiller » et ancré la responsabilité de la direction au paragraphe 38 alinéa 2. Pour la pratique, cela signifie : aucune obligation légale de résolution formelle ne peut être déduite du BSIG. Cela ne soulage toutefois pas la direction, car une surveillance sans trace documentée est difficilement démontrable lors d’un audit.
C’est là qu’intervient l’obligation proprement dite de documentation. Le paragraphe 30 alinéa 1 phrase 3 du BSIG exige expressément que le respect de l’obligation de prendre les mesures soit documenté par l’entité. Cette obligation incombe à l’entité et est directement assortie d’une sanction pécuniaire. Le paragraphe 65 cite l’absence, l’inexactitude ou le caractère incomplet de la documentation comme un chef d’incrimination distinct en matière d’infraction administrative. À côté se trouve l’obligation de la direction du paragraphe 38 alinéa 1, qui consiste à surveiller de manière démontrable la mise en œuvre. Celle-ci n’est pas elle-même un fait passible d’amende, mais exige pratiquement la même trace documentée. Ces deux normes réunies constituent l’ancrage légal pour toute checklist de procès-verbal.
Six éléments qui doivent figurer au procès-verbal
Le tableau suivant traduit les points d’ancrage légaux en documents concrets. La loi ne prescrit aucun format. Ce qui compte dès lors, ce sont des traces vérifiables aux bons endroits, prouvables et maintenues à jour.
| Objet de la documentation | Ce qui est consigné | Base juridique |
|---|---|---|
| Documentation des mesures | Toutes les mesures selon le paragraphe 30, y compris l’appréciation de proportionnalité en fonction de la taille, du risque et des coûts | Paragraphe 30 al. 1 phrase 3 (seule obligation de documentation directement passible d’amende) |
| Preuves de surveillance | Rapports de situation réguliers à la direction, lacunes ouvertes, progrès, risque cyber comme point à l’ordre du jour | Paragraphe 38 al. 1 (surveiller la mise en œuvre) |
| Trace de pilotage de la direction | Objectifs, budget, rôles, risques résiduels acceptés, priorisation des paquets de mesures, consignés comme trace de management sans obligation de résolution | Paragraphe 38 al. 1 et paragraphe 30 al. 1 phrase 1 |
| Évaluation de l’efficacité | Concepts et procédures plus les résultats périodiques des audits, tests et exercices | Paragraphe 30 al. 2 n° 6 |
| Attestations de formation | Justificatifs de participation, contenus, date et membres participants de la direction générale | Paragraphe 38 al. 3 |
| Documentation des notifications et des crises | Preuve de la chaîne de notification en cas d’incidents significatifs, information et pilotage de la direction en situation de crise | Paragraphe 32 et paragraphe 30 al. 2 n° 2 et 3 |
Deux de ces éléments portent le plus de poids. La documentation des mesures selon le paragraphe 30 alinéa 1 phrase 3 est le seul point dont l’absence remplit immédiatement un fait constitutif d’amende. Les preuves de surveillance selon le paragraphe 38 alinéa 1 constituent la preuve que la direction elle-même a piloté et n’a pas renvoyé la responsabilité uniquement vers le bas. C’est précisément cette preuve qui tranche en cas de responsabilité.
Pour les six éléments, la même exigence minimale de métier s’applique : un lieu de dépôt clair, une personne responsable nommée, un état de version et un rythme de mise à jour fixe. Sans cette gestion des documents, même une collection de bonne qualité perd de sa valeur lors de l’audit, parce que l’actualité et la responsabilité ne peuvent pas être prouvées.
Ce que le BSI veut voir et qui est touché par la sanction
La loi accorde au BSI des pouvoirs de supervision étendus. Le paragraphe 61 autorise, pour les entités particulièrement importantes, l’ordonnance d’audits et de contrôles, la demande de preuves et la présentation d’enregistrements, de documents et autres pièces. Pour les entités importantes, cette supervision selon le paragraphe 62 n’intervient qu’en cas de soupçon fondé. Est expressément vérifiable également l’obligation de formation de la direction générale selon le paragraphe 38 alinéa 3. La loi ne cite aucun schéma de contrôle fixe ni aucun format de procès-verbal prescrit. Ce qui est contrôlé, c’est l’accomplissement matériel des obligations des paragraphes 30 et 32 ainsi que de l’obligation de mise en œuvre et de surveillance de la direction selon le paragraphe 38 alinéas 1 et 3.
Concernant les sanctions, une distinction claire vaut la peine, distinction qui se brouille dans de nombreuses présentations. Les plafonds d’amendes souvent cités du paragraphe 65 frappent l’entité, et non personnellement la direction générale. Pour les entités particulièrement importantes, le cadre est de 10 millions d’euros maximum ou, en cas de chiffre d’affaires total supérieur à 500 millions d’euros, jusqu’à 2 pour cent du chiffre d’affaires annuel mondial. Pour les entités importantes, il s’agit de 7 millions d’euros maximum ou jusqu’à 1,4 pour cent. Ces montants sont des plafonds maximaux pour le cas individuel, soumis au principe de proportionnalité, et non des taux standards. Ils se rattachent à des violations des obligations de mesures et de notification, par exemple à l’obligation de documentation du paragraphe 30 alinéa 1 phrase 3.
La responsabilité personnelle de la direction passe par une autre voie. Le paragraphe 38 alinéa 2 lie une violation fautive de l’obligation à une responsabilité interne de la direction envers sa propre entité selon les règles du droit des sociétés. Dans les cas graves, l’autorité de supervision compétente peut, sur notification du BSI conformément au paragraphe 61 alinéa 9, ordonner l’interdiction temporaire d’exercer les fonctions de direction pour les entités particulièrement importantes, lorsqu’une injonction n’a pas été suivie malgré le délai imparti. Pour la pratique, cela signifie : en tant que direction générale, celui qui documente comment la surveillance et le pilotage ont été assurés rend son organisation audit-ready. Les procès-verbaux sont l’instrument qui permet de prouver ultérieurement la perception active de l’obligation, aussi bien lors de l’audit du BSI que dans un contrôle de responsabilité.
Questions fréquentes
Chaque question est fermée. Un clic la déverrouille pour afficher la réponse.
La direction générale doit-elle approuver formellement les mesures NIS2 ?
Non. Le paragraphe 38 du BSIG exige la mise en œuvre des mesures et la surveillance de leur mise en œuvre, pas leur approbation ou leur résolution formelle. Aucune obligation de résolution formelle ne découle du texte de loi. Les procès-verbaux sont un instrument de gouvernance pour l’établissement de la preuve, et non un acte d’approbation expressément désigné par la loi.
Quelle documentation est expressément obligatoire au titre du BSIG ?
Le paragraphe 30 alinéa 1 phrase 3 exige de documenter le respect des mesures de gestion des risques. C’est la seule obligation de documentation expresse assortie d’un fait constitutif d’amende propre selon le paragraphe 65. En complément, l’évaluation de l’efficacité selon le paragraphe 30 alinéa 2 numéro 6 et la surveillance selon le paragraphe 38 alinéa 1 présupposent des traces écrites.
Quel est le montant des amendes selon le BSIG ?
Selon le paragraphe 65, les plafonds s’élèvent pour les entités particulièrement importantes à 10 millions d’euros maximum ou à 2 pour cent du chiffre d’affaires annuel mondial, et pour les entités importantes à 7 millions d’euros maximum ou à 1,4 pour cent. Le seuil de chiffre d’affaires s’applique à partir d’un chiffre d’affaires total supérieur à 500 millions d’euros. Les amendes frappent l’entité. La responsabilité personnelle de la direction passe par la responsabilité interne de droit des sociétés selon le paragraphe 38 alinéa 2.
La direction générale doit-elle participer personnellement aux formations ?
Le texte de loi exige au paragraphe 38 alinéa 3 que la direction générale participe régulièrement aux formations. Les termes « personnellement » ou « non délégable » n’y figurent pas. L’obligation s’adresse aux membres de la direction générale en tant que personnes physiques. Pour l’audit, la participation, les contenus et la régularité doivent pouvoir être prouvés.
Les choix de la rédaction
À lireCISO à temps partiel : Ce qui peut être externalisé, ce qui doit rester interneÀ lireNIS2 après l’échéance : c’est maintenant que commence la supervision de la BSI
Plus du réseau MBF Media
Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme
Source de l’image : généré par IA (juillet 2026)




