Accueil/Blog/Responsabilité dirigeant
Juridique Mars 2026 · 5 min de lecture

Responsabilité personnelle du
dirigeant sous NIS2.

Ce que NIS2 change concrètement pour vous en tant que dirigeant. Amendes personnelles, suspension de fonctions, responsabilité pénale — ce que vous risquez vraiment.

La nouveauté majeure de NIS2 : le dirigeant est responsable

Avant NIS2, la cybersécurité était traitée comme un sujet purement technique, délégué au DSI ou au prestataire informatique. Le dirigeant pouvait se retrancher derrière "je n'y connais rien". NIS2 met fin à cette logique.

L'article 20 de la directive est explicite : les organes de direction doivent être impliqués activement dans la gestion des risques cyber. Ils doivent approuver les mesures de sécurité, superviser leur mise en œuvre, et suivre une formation régulière pour être en mesure de comprendre les enjeux.

En clair : "Mon prestataire IT gère ça" ne suffit plus comme défense en cas de contrôle ANSSI ou d'incident grave. C'est vous, dirigeant, qui êtes juridiquement responsable.

Les sanctions financières personnelles

NIS2 introduit deux niveaux de sanctions financières pour les dirigeants :

  • Amende personnelle jusqu'à 140 000€ pour les dirigeants d'entités importantes
  • Interdiction temporaire d'exercer des fonctions dirigeantes en cas d'infractions graves et répétées
  • Responsabilité pénale si la négligence grave compromet des infrastructures critiques ou la sécurité nationale

Ces sanctions sont distinctes des amendes infligées à l'entreprise (7 à 10 millions d'euros). Vous pouvez être sanctionné personnellement en plus de l'amende corporate.

Ce que vous devez faire concrètement

NIS2 définit précisément les obligations du dirigeant :

  • Suivre une formation NIS2 — et pouvoir en apporter la preuve
  • Valider et signer la politique de sécurité de l'entreprise
  • Approuver le budget cybersécurité
  • Superviser la mise en œuvre des 10 mesures de l'article 21
  • S'assurer que votre RSSI ou prestataire dispose des moyens nécessaires

La bonne nouvelle : Ces obligations ne requièrent pas d'expertise technique. Elles requièrent une gouvernance active et documentée. Une formation de 2h et un dossier de conformité bien construit vous couvrent sur l'ensemble de ces points.

Le scénario concret que vous voulez éviter

Votre entreprise subit une cyberattaque. Des données clients sont volées. L'ANSSI est notifiée. Lors de l'enquête, l'inspecteur constate que vous n'avez aucun document de conformité NIS2, aucune politique de sécurité signée, aucune preuve de formation.

Dans ce scénario, vous n'avez aucune défense. L'entreprise est sanctionnée. Et vous, personnellement, pouvez l'être également.

Le dossier de conformité XG Secure est votre bouclier dans ce scénario. Il documente que vous avez pris vos responsabilités sérieusement.