{"id":20922,"date":"2026-06-30T11:00:00","date_gmt":"2026-06-30T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20922"},"modified":"2026-07-09T16:22:40","modified_gmt":"2026-07-09T16:22:40","slug":"ce-que-la-direction-doit-documenter-en-vertu-de-la-nis2","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/06\/30\/ce-que-la-direction-doit-documenter-en-vertu-de-la-nis2\/","title":{"rendered":"Ce que la direction g\u00e9n\u00e9rale doit documenter au titre de NIS2"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>Un sc\u00e9nario tir\u00e9 de l&rsquo;audit du BSI : la direction g\u00e9n\u00e9rale a fait beaucoup de choses correctement. Elle a lib\u00e9r\u00e9 un budget, nomm\u00e9 un CISO, prioris\u00e9 les mesures et gard\u00e9 un \u0153il sur les progr\u00e8s. Pourtant, rien de tout cela n&rsquo;appara\u00eet sur papier. Lorsque l&rsquo;auditeur demande comment la direction assume son obligation de surveillance, il n&rsquo;obtient que des assurances orales et aucun proc\u00e8s-verbal. Le travail a \u00e9t\u00e9 accompli, la preuve manque. C&rsquo;est pr\u00e9cis\u00e9ment l\u00e0 que se joue si une bonne organisation de la s\u00e9curit\u00e9 est reconnue comme telle lors de l&rsquo;audit. Une r\u00e9solution formelle n&rsquo;est pas n\u00e9cessaire \u00e0 cet effet, mais une trace de pilotage v\u00e9rifiable l&rsquo;est.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">Aucune r\u00e9solution formelle prescrite :<\/strong> Le paragraphe 38 du BSIG exige de mettre en \u0153uvre les mesures et de surveiller leur mise en \u0153uvre. Le terme \u00ab approuver \u00bb de la directive NIS2 ne figure pas dans la loi allemande.<\/li>\n<li><strong style=\"color:#69d8ed;\">La documentation est express\u00e9ment obligatoire :<\/strong> Le paragraphe 30 alin\u00e9a 1 phrase 3 exige de documenter le respect des mesures. Une infraction est sanctionnable par une amende selon le paragraphe 65.<\/li>\n<li><strong style=\"color:#69d8ed;\">Six \u00e9l\u00e9ments doivent figurer au proc\u00e8s-verbal :<\/strong> de la documentation des mesures aux preuves de surveillance et aux d\u00e9cisions de pilotage jusqu&rsquo;\u00e0 l&rsquo;\u00e9valuation de l&rsquo;efficacit\u00e9, aux justificatifs de formation et \u00e0 la cha\u00eene de notification.<\/li>\n<li><strong style=\"color:#69d8ed;\">L&rsquo;amende frappe l&rsquo;entit\u00e9, la responsabilit\u00e9 la direction :<\/strong> Les plafonds allant jusqu&rsquo;\u00e0 10 millions d&rsquo;euros concernent l&rsquo;entreprise. La responsabilit\u00e9 personnelle de la direction s&rsquo;exerce sur le plan civil via le paragraphe 38 alin\u00e9a 2.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">En lien :<\/span>Cinq indicateurs que le conseil de surveillance comprend vraiment&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"color:#333;text-decoration:underline;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9gl\u00e9s par \u00e9crit<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que la direction g\u00e9n\u00e9rale doit documenter au titre de NIS2 ?<\/h2>\n<p><strong>Que demande le BSIG en mati\u00e8re de documentation \u00e0 la direction g\u00e9n\u00e9rale ?<\/strong> Le BSIG 2025 oblige l&rsquo;entit\u00e9 \u00e0 documenter le respect de ses mesures de gestion des risques. La direction g\u00e9n\u00e9rale doit surveiller leur mise en \u0153uvre. De ces deux obligations d\u00e9coule la pratique consistant \u00e0 consigner les d\u00e9cisions de s\u00e9curit\u00e9 prises, leur surveillance et la participation aux formations de mani\u00e8re \u00e0 ce qu&rsquo;elles soient prouvables lors d&rsquo;un audit BSI ou d&rsquo;un examen de responsabilit\u00e9.<\/p>\n<p>L&rsquo;erreur la plus courante est de croire que la loi exige une r\u00e9solution formelle de la direction g\u00e9n\u00e9rale sur les mesures de s\u00e9curit\u00e9. Il s&rsquo;agit de la formulation europ\u00e9enne, et non de la formulation allemande. Quiconque fonde sa gouvernance sur ce malentendu documente en dehors du cadre de la loi. L&rsquo;obligation r\u00e9elle est d\u00e9finie plus strictement et est plus facile \u00e0 g\u00e9rer en pratique lorsque l&rsquo;on conna\u00eet le libell\u00e9 exact.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Mettre en \u0153uvre et surveiller, et non approuver<\/h2>\n<p>Le coup d&rsquo;\u0153il sur le texte de loi en vaut la peine. Le paragraphe 38 alin\u00e9a 1 du BSIG oblige les directions g\u00e9n\u00e9rales des entit\u00e9s particuli\u00e8rement importantes et importantes \u00e0 mettre en \u0153uvre les mesures de gestion des risques \u00e0 prendre conform\u00e9ment au paragraphe 30 et \u00e0 surveiller leur mise en \u0153uvre. Il n&rsquo;y est pas question d&rsquo;approbation ou de r\u00e9solution.<\/p>\n<p>La confusion vient de la directive NIS2 de niveau sup\u00e9rieur. Son article 20 exige que les organes dirigeants approuvent les mesures, en surveillent la mise en \u0153uvre et puissent \u00eatre tenus responsables des violations. Lors de la transposition, le l\u00e9gislateur allemand a remplac\u00e9 le terme \u00ab approuver \u00bb par \u00ab mettre en \u0153uvre \u00bb, conserv\u00e9 \u00ab surveiller \u00bb et ancr\u00e9 la responsabilit\u00e9 de la direction au paragraphe 38 alin\u00e9a 2. Pour la pratique, cela signifie : aucune obligation l\u00e9gale de r\u00e9solution formelle ne peut \u00eatre d\u00e9duite du BSIG. Cela ne soulage toutefois pas la direction, car une surveillance sans trace document\u00e9e est difficilement d\u00e9montrable lors d&rsquo;un audit.<\/p>\n<p>C&rsquo;est l\u00e0 qu&rsquo;intervient l&rsquo;obligation proprement dite de documentation. Le paragraphe 30 alin\u00e9a 1 phrase 3 du BSIG exige express\u00e9ment que le respect de l&rsquo;obligation de prendre les mesures soit document\u00e9 par l&rsquo;entit\u00e9. Cette obligation incombe \u00e0 l&rsquo;entit\u00e9 et est directement assortie d&rsquo;une sanction p\u00e9cuniaire. Le paragraphe 65 cite l&rsquo;absence, l&rsquo;inexactitude ou le caract\u00e8re incomplet de la documentation comme un chef d&rsquo;incrimination distinct en mati\u00e8re d&rsquo;infraction administrative. \u00c0 c\u00f4t\u00e9 se trouve l&rsquo;obligation de la direction du paragraphe 38 alin\u00e9a 1, qui consiste \u00e0 surveiller de mani\u00e8re d\u00e9montrable la mise en \u0153uvre. Celle-ci n&rsquo;est pas elle-m\u00eame un fait passible d&rsquo;amende, mais exige pratiquement la m\u00eame trace document\u00e9e. Ces deux normes r\u00e9unies constituent l&rsquo;ancrage l\u00e9gal pour toute checklist de proc\u00e8s-verbal.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Six \u00e9l\u00e9ments qui doivent figurer au proc\u00e8s-verbal<\/h2>\n<p>Le tableau suivant traduit les points d&rsquo;ancrage l\u00e9gaux en documents concrets. La loi ne prescrit aucun format. Ce qui compte d\u00e8s lors, ce sont des traces v\u00e9rifiables aux bons endroits, prouvables et maintenues \u00e0 jour.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:660px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Objet de la documentation<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Ce qui est consign\u00e9<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Base juridique<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Documentation des mesures<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Toutes les mesures selon le paragraphe 30, y compris l&rsquo;appr\u00e9ciation de proportionnalit\u00e9 en fonction de la taille, du risque et des co\u00fbts<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 30 al. 1 phrase 3 (seule obligation de documentation directement passible d&rsquo;amende)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Preuves de surveillance<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Rapports de situation r\u00e9guliers \u00e0 la direction, lacunes ouvertes, progr\u00e8s, risque cyber comme point \u00e0 l&rsquo;ordre du jour<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 38 al. 1 (surveiller la mise en \u0153uvre)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Trace de pilotage de la direction<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Objectifs, budget, r\u00f4les, risques r\u00e9siduels accept\u00e9s, priorisation des paquets de mesures, consign\u00e9s comme trace de management sans obligation de r\u00e9solution<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 38 al. 1 et paragraphe 30 al. 1 phrase 1<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>\u00c9valuation de l&rsquo;efficacit\u00e9<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Concepts et proc\u00e9dures plus les r\u00e9sultats p\u00e9riodiques des audits, tests et exercices<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 30 al. 2 n\u00b0 6<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Attestations de formation<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Justificatifs de participation, contenus, date et membres participants de la direction g\u00e9n\u00e9rale<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 38 al. 3<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Documentation des notifications et des crises<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Preuve de la cha\u00eene de notification en cas d&rsquo;incidents significatifs, information et pilotage de la direction en situation de crise<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Paragraphe 32 et paragraphe 30 al. 2 n\u00b0 2 et 3<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Deux de ces \u00e9l\u00e9ments portent le plus de poids. La documentation des mesures selon le paragraphe 30 alin\u00e9a 1 phrase 3 est le seul point dont l&rsquo;absence remplit imm\u00e9diatement un fait constitutif d&rsquo;amende. Les preuves de surveillance selon le paragraphe 38 alin\u00e9a 1 constituent la preuve que la direction elle-m\u00eame a pilot\u00e9 et n&rsquo;a pas renvoy\u00e9 la responsabilit\u00e9 uniquement vers le bas. C&rsquo;est pr\u00e9cis\u00e9ment cette preuve qui tranche en cas de responsabilit\u00e9.<\/p>\n<p>Pour les six \u00e9l\u00e9ments, la m\u00eame exigence minimale de m\u00e9tier s&rsquo;applique : un lieu de d\u00e9p\u00f4t clair, une personne responsable nomm\u00e9e, un \u00e9tat de version et un rythme de mise \u00e0 jour fixe. Sans cette gestion des documents, m\u00eame une collection de bonne qualit\u00e9 perd de sa valeur lors de l&rsquo;audit, parce que l&rsquo;actualit\u00e9 et la responsabilit\u00e9 ne peuvent pas \u00eatre prouv\u00e9es.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que le BSI veut voir et qui est touch\u00e9 par la sanction<\/h2>\n<p>La loi accorde au BSI des pouvoirs de supervision \u00e9tendus. Le paragraphe 61 autorise, pour les entit\u00e9s particuli\u00e8rement importantes, l&rsquo;ordonnance d&rsquo;audits et de contr\u00f4les, la demande de preuves et la pr\u00e9sentation d&rsquo;enregistrements, de documents et autres pi\u00e8ces. Pour les entit\u00e9s importantes, cette supervision selon le paragraphe 62 n&rsquo;intervient qu&rsquo;en cas de soup\u00e7on fond\u00e9. Est express\u00e9ment v\u00e9rifiable \u00e9galement l&rsquo;obligation de formation de la direction g\u00e9n\u00e9rale selon le paragraphe 38 alin\u00e9a 3. La loi ne cite aucun sch\u00e9ma de contr\u00f4le fixe ni aucun format de proc\u00e8s-verbal prescrit. Ce qui est contr\u00f4l\u00e9, c&rsquo;est l&rsquo;accomplissement mat\u00e9riel des obligations des paragraphes 30 et 32 ainsi que de l&rsquo;obligation de mise en \u0153uvre et de surveillance de la direction selon le paragraphe 38 alin\u00e9as 1 et 3.<\/p>\n<p>Concernant les sanctions, une distinction claire vaut la peine, distinction qui se brouille dans de nombreuses pr\u00e9sentations. Les plafonds d&rsquo;amendes souvent cit\u00e9s du paragraphe 65 frappent l&rsquo;entit\u00e9, et non personnellement la direction g\u00e9n\u00e9rale. Pour les entit\u00e9s particuli\u00e8rement importantes, le cadre est de 10 millions d&rsquo;euros maximum ou, en cas de chiffre d&rsquo;affaires total sup\u00e9rieur \u00e0 500 millions d&rsquo;euros, jusqu&rsquo;\u00e0 2 pour cent du chiffre d&rsquo;affaires annuel mondial. Pour les entit\u00e9s importantes, il s&rsquo;agit de 7 millions d&rsquo;euros maximum ou jusqu&rsquo;\u00e0 1,4 pour cent. Ces montants sont des plafonds maximaux pour le cas individuel, soumis au principe de proportionnalit\u00e9, et non des taux standards. Ils se rattachent \u00e0 des violations des obligations de mesures et de notification, par exemple \u00e0 l&rsquo;obligation de documentation du paragraphe 30 alin\u00e9a 1 phrase 3.<\/p>\n<p>La responsabilit\u00e9 personnelle de la direction passe par une autre voie. Le paragraphe 38 alin\u00e9a 2 lie une violation fautive de l&rsquo;obligation \u00e0 une responsabilit\u00e9 interne de la direction envers sa propre entit\u00e9 selon les r\u00e8gles du droit des soci\u00e9t\u00e9s. Dans les cas graves, l&rsquo;autorit\u00e9 de supervision comp\u00e9tente peut, sur notification du BSI conform\u00e9ment au paragraphe 61 alin\u00e9a 9, ordonner l&rsquo;interdiction temporaire d&rsquo;exercer les fonctions de direction pour les entit\u00e9s particuli\u00e8rement importantes, lorsqu&rsquo;une injonction n&rsquo;a pas \u00e9t\u00e9 suivie malgr\u00e9 le d\u00e9lai imparti. Pour la pratique, cela signifie : en tant que direction g\u00e9n\u00e9rale, celui qui documente comment la surveillance et le pilotage ont \u00e9t\u00e9 assur\u00e9s rend son organisation audit-ready. Les proc\u00e8s-verbaux sont l&rsquo;instrument qui permet de prouver ult\u00e9rieurement la perception active de l&rsquo;obligation, aussi bien lors de l&rsquo;audit du BSI que dans un contr\u00f4le de responsabilit\u00e9.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est ferm\u00e9e. Un clic la d\u00e9verrouille pour afficher la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>La direction g\u00e9n\u00e9rale doit-elle approuver formellement les mesures NIS2 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Non. Le paragraphe 38 du BSIG exige la mise en \u0153uvre des mesures et la surveillance de leur mise en \u0153uvre, pas leur approbation ou leur r\u00e9solution formelle. Aucune obligation de r\u00e9solution formelle ne d\u00e9coule du texte de loi. Les proc\u00e8s-verbaux sont un instrument de gouvernance pour l&rsquo;\u00e9tablissement de la preuve, et non un acte d&rsquo;approbation express\u00e9ment d\u00e9sign\u00e9 par la loi.<\/p>\n<\/details>\n<details>\n<summary><strong>Quelle documentation est express\u00e9ment obligatoire au titre du BSIG ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le paragraphe 30 alin\u00e9a 1 phrase 3 exige de documenter le respect des mesures de gestion des risques. C&rsquo;est la seule obligation de documentation expresse assortie d&rsquo;un fait constitutif d&rsquo;amende propre selon le paragraphe 65. En compl\u00e9ment, l&rsquo;\u00e9valuation de l&rsquo;efficacit\u00e9 selon le paragraphe 30 alin\u00e9a 2 num\u00e9ro 6 et la surveillance selon le paragraphe 38 alin\u00e9a 1 pr\u00e9supposent des traces \u00e9crites.<\/p>\n<\/details>\n<details>\n<summary><strong>Quel est le montant des amendes selon le BSIG ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Selon le paragraphe 65, les plafonds s&rsquo;\u00e9l\u00e8vent pour les entit\u00e9s particuli\u00e8rement importantes \u00e0 10 millions d&rsquo;euros maximum ou \u00e0 2 pour cent du chiffre d&rsquo;affaires annuel mondial, et pour les entit\u00e9s importantes \u00e0 7 millions d&rsquo;euros maximum ou \u00e0 1,4 pour cent. Le seuil de chiffre d&rsquo;affaires s&rsquo;applique \u00e0 partir d&rsquo;un chiffre d&rsquo;affaires total sup\u00e9rieur \u00e0 500 millions d&rsquo;euros. Les amendes frappent l&rsquo;entit\u00e9. La responsabilit\u00e9 personnelle de la direction passe par la responsabilit\u00e9 interne de droit des soci\u00e9t\u00e9s selon le paragraphe 38 alin\u00e9a 2.<\/p>\n<\/details>\n<details>\n<summary><strong>La direction g\u00e9n\u00e9rale doit-elle participer personnellement aux formations ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le texte de loi exige au paragraphe 38 alin\u00e9a 3 que la direction g\u00e9n\u00e9rale participe r\u00e9guli\u00e8rement aux formations. Les termes \u00ab personnellement \u00bb ou \u00ab non d\u00e9l\u00e9gable \u00bb n&rsquo;y figurent pas. L&rsquo;obligation s&rsquo;adresse aux membres de la direction g\u00e9n\u00e9rale en tant que personnes physiques. Pour l&rsquo;audit, la participation, les contenus et la r\u00e9gularit\u00e9 doivent pouvoir \u00eatre prouv\u00e9s.<\/p>\n<\/details>\n<p>\n<!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/24\/ciso-a-temps-partiel-ce-qui-peut-etre-externalise-ce-qui-doit-rester-interne\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">CISO \u00e0 temps partiel : Ce qui peut \u00eatre externalis\u00e9, ce qui doit rester interne<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/16\/nis2-apres-lecheance-cest-maintenant-que-commence-la-supervision-de-la-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-apres-lecheance-cest-maintenant-que-commence-la-supervision-de-la-bsi-cover-fr-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 apr\u00e8s l\u2019\u00e9ch\u00e9ance : c\u2019est maintenant que commence la supervision de la BSI<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n<p>Source de l&rsquo;image : g\u00e9n\u00e9r\u00e9 par IA (juillet 2026)<\/p>\n","protected":false},"excerpt":{"rendered":"Le BSIG n&rsquo;exige pas de d\u00e9cision formelle, mais une mise en \u0153uvre v\u00e9rifiable. Six documents qui d\u00e9cident de la preuve dans l&rsquo;audit BSI.","protected":false},"author":50,"featured_media":18205,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Obligation de documentation NIS2","_yoast_wpseo_title":"Ce que la direction doit documenter en vertu de la NIS2","_yoast_wpseo_metadesc":"Le BSIG n'exige pas de d\u00e9cision formelle, mais une mise en \u0153uvre v\u00e9rifiable. Six documents qui d\u00e9cident de la preuve dans l'audit BSI.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/geschaeftsfuehrung-nis2-dokumentationspflicht-bsig-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/geschaeftsfuehrung-nis2-dokumentationspflicht-bsig-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20922","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"fr","wpml_translation_of":18204,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20922"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20922\/revisions"}],"predecessor-version":[{"id":21117,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20922\/revisions\/21117"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18205"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20922"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}