Les administrateurs indépendants d’entreprise devraient s’intéresser de près à la directive NIS2 car elle introduit de nouvelles obligations en matière de cybersécurité, qui impactent directement la gouvernance, la gestion des risques et la responsabilité des membres du conseil d’administration. En tant que garants de la bonne gouvernance et de la pérennité de l’entreprise, les administrateurs indépendants ont un rôle clé à jouer pour s’assurer que leur organisation se conforme à ces nouvelles exigences. Cela commence souvent par une revue régulière de la cartographie des risques en général, et en Cybersécurité en particulier.

De manière classique, le comité d’audit est notamment chargé du « suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques  » (cf. Vade-Mecum IFA) et le Conseil accompagne à la définition d’un profil de risque acceptable pour l’entreprise concernée, en fonction de ses fondamentaux économiques et de son ambition.

La directive NIS2 (Directive (UE) 2022/2555), adoptée le 14 décembre 2022, est une mise à jour de la directive NIS de 2016. Elle vise à renforcer la cybersécurité au sein de l’Union européenne en imposant des exigences de sécurité plus strictes et en élargissant le champ d’application à davantage de secteurs d’activité critiques. Chaque État membre avait l’obligation de transposer ces nouvelles obligations en droit national d’ici le 17 octobre 2024.

Les entreprises concernées devront se conformer à des standards élevés de protection des systèmes d’information et faire preuve de vigilance accrue dans la gestion des risques numériques. Parmi les exigences clés, la directive NIS2 inclut des obligations de signalement d’incidents majeurs, de gestion des vulnérabilités, et de sécurisation des infrastructures critiques, couvrant des secteurs tels que l’énergie, la finance, la santé, les télécommunications et les infrastructures numériques.

Voici les raisons pour lesquelles la directive NIS2 est importante pour les administrateurs indépendants d’entreprise :

Responsabilité accrue pour les dirigeants et le conseil d’administration

• La directive NIS2 introduit une responsabilité plus directe des membres du conseil d’administration, y compris des administrateurs indépendants, en cas de manquement aux obligations de cybersécurité. En cas d’incident majeur ou de non-conformité, les membres du conseil pourraient être tenus responsables.
• Les administrateurs indépendants doivent donc s’assurer que des mesures adéquates sont en place pour gérer et superviser les risques cyber, et que l’entreprise respecte les nouvelles normes imposées par la NIS2.

Gouvernance des risques et résilience organisationnelle

• La cybersécurité fait partie intégrante de la gestion des risques d’entreprise, et la NIS2 place un accent fort sur la résilience des organisations face aux cybermenaces. Pour les administrateurs indépendants, la directive est un rappel de l’importance de surveiller activement les risques numériques et de garantir que l’entreprise adopte une approche proactive de la cybersécurité.
• En s’intéressant à la NIS2, les administrateurs peuvent jouer un rôle stratégique pour s’assurer que la cybersécurité est intégrée dans le cadre global de gestion des risques et de continuité des activités.

Exigence de supervision des investissements en cybersécurité

• La conformité avec la NIS2 implique souvent des investissements importants en technologie, en formation et en processus de sécurité. Les administrateurs indépendants ont le devoir de s’assurer que ces investissements sont bien gérés, justifiés et alignés avec la stratégie globale de l’entreprise.
• Ils doivent aussi veiller à ce que les budgets alloués à la cybersécurité soient suffisants pour atteindre les objectifs de conformité et pour protéger l’entreprise contre des menaces de plus en plus sophistiquées.

Anticipation des risques réputationnels et financiers

• Un manquement aux obligations de la NIS2 peut non seulement entraîner des sanctions financières, mais également endommager la réputation de l’entreprise, avec des conséquences potentielles pour la relation avec les clients, les partenaires et les investisseurs.
• En étant proactifs, les administrateurs indépendants peuvent contribuer à minimiser ces risques, renforcer la confiance des parties prenantes et soutenir la pérennité de l’entreprise.

Alignement stratégique et avantage concurrentiel

• La directive NIS2 encourage les entreprises à adopter les meilleures pratiques en matière de cybersécurité, ce qui peut constituer un avantage concurrentiel en inspirant confiance aux clients et partenaires. Les administrateurs indépendants, en tant que promoteurs de la bonne gouvernance, doivent s’assurer que l’entreprise tire parti de la conformité NIS2 pour se positionner favorablement sur le marché.
• En s’assurant que l’entreprise est proactive dans sa gestion de la cybersécurité, les administrateurs contribuent à renforcer la résilience de l’organisation et à la rendre plus attractive pour les investisseurs et les parties prenantes.

Ce sont des éléments majeurs pour les entreprises, mais la directive NIS2 va bien au delà sur le plan notamment des coopérations entre Etats membres d’ lUE.

La directive NIS2 impose de nouvelles responsabilités et de nouveaux standards en cybersécurité pour les entreprises, et les administrateurs indépendants ont un rôle essentiel dans la supervision et la bonne gouvernance de ces aspects. Les sanctions en cas de non-conformité seront également importantes.

Pour savoir si votre entreprise est concernée : https://monespacenis2.cyber.gouv.fr/simulateur

En s’intéressant à la directive NIS2, les administrateurs indépendants d’entreprise contribuent à protéger l’entreprise et les intérêts des actionnaires contre les risques cyber, à garantir sa conformité, et à renforcer sa résilience et sa compétitivité dans un contexte de plus en plus digitalisé et exposé aux cybermenaces.

Faisons le point ensemble sur vos besoins, l’état des lieux et la trajectoire visée, et nous vous présenterons les outils et process que nous mettrons au service de notre future collaboration.