NIS 2 et DORA : la vigilance numérique, un nouveau pilier de la responsabilité du dirigeant
Ces thématiques, déjà évoquées dans nos précédentes Lettres, prennent aujourd’hui une dimension concrète et structurante.
La montée en puissance du risque cyber transforme en profondeur la fonction dirigeante. Avec NIS 2 et DORA, l’Europe impose aux entreprises une gouvernance de la sécurité aussi exigeante que celle de la conformité financière.
Ces derniers mois confirment une tendance qui va s’accentuer
1.Une nouvelle ère de la conformité numérique
Les textes européens NIS 2 et DORA ouvrent une étape majeure dans la régulation du risque numérique.
Ils ne se limitent pas à imposer des obligations techniques : ils inaugurent une mutation durable de la gouvernance d’entreprise où la cybersécurité devient un élément central de la stratégie.
L’époque où la cybersécurité relevait exclusivement de la direction informatique est révolue.
Le droit consacre désormais un principe clair : le dirigeant porte la responsabilité de la résilience numérique de son organisation.
Ces textes inscrivent durablement la cybersécurité au cœur de la stratégie d’entreprise, traduisant la volonté européenne d’instaurer une culture de prévention et de traçabilité.
2.Le prolongement du droit français de la faute de gestion
Le droit français connaissait déjà la responsabilité pour faute de gestion, pierre angulaire de la responsabilité du dirigeant.
Les articles L. 225-251, L. 223-22 et L. 227-8 du Code de commerce en fixent le principe, tandis que l’article L. 651-2 permet de sanctionner, en cas de liquidation judiciaire, la faute ayant contribué à l’insuffisance d’actif.
Le droit pénal des affaires (articles 121-2 et 121-3 du Code pénal) et le droit du travail (articles L. 4121-1 et suivants du Code du travail) fondent la responsabilité des dirigeants sur des infractions intentionnelles, ou, plus souvent, des fautes d’imprudence ou de négligence commises dans l’exercice des fonctions de direction, ou encore en cas de manquement à l’obligation de prévention des risques professionnels.
Or, NIS 2 et DORA réinterprètent cette notion à l’aune du numérique.
La carence en matière de cybersécurité devient une forme contemporaine de faute de vigilance, déjà amorcée par la loi Sapin II (art. 6, 17 et 18), la loi sur le devoir de vigilance (art. L. 225-102-4 à L. 225-102-6 C. com.) et le RGPD (règlement UE 2016/679), qui ont toutes renforcé le principe de vigilance proactive du dirigeant.
Le dirigeant ne peut plus se retrancher derrière un manque de compétence technique ou une délégation imprécise : il lui revient de comprendre les risques numériques, d’en assurer le suivi, et de pouvoir démontrer la pertinence des moyens engagés.
Ce glissement marque le passage d’une faute de gestion classique à une faute de gouvernance numérique, ancrée dans la responsabilité de prévenir les défaillances organisationnelles.
3.Le devoir de vigilance numérique : un principe transversal
Sous l’effet conjugué de NIS 2, du règlement DORA, du RGPD, de la Loi Sapin II et de la Loi sur le devoir de vigilance de 2017, se dessine un socle commun : celui d’une vigilance proactive exercée au plus haut niveau de l’entreprise.
Concrètement, cette vigilance se traduit par quatre exigences essentielles :
- Identifier les risques numériques susceptibles d’affecter la continuité de l’activité ;
- Mettre en œuvre une politique de sécurité adaptée, proportionnée et documentée ;
- Assurer la traçabilité des décisions, y compris en matière de délégation et d’investissement ;
- Veiller à la formation et à la sensibilisation des équipes.
Cette vigilance n’est plus une simple exigence de conformité : elle devient un devoir fiduciaire envers l’entreprise et ses parties prenantes.
La cybersécurité rejoint désormais les dimensions financières, sociales et environnementales de la gouvernance responsable
4.La délégation de pouvoir : un outil de gouvernance, non une échappatoire
La délégation de pouvoir demeure un instrument central de l’organisation interne, mais son usage doit être repensé à l’aune des exigences numériques.
Le dirigeant ne peut plus déléguer à l’aveugle : il doit s’assurer que le délégataire dispose de compétences avérées, de moyens suffisants et d’un mandat explicite.
Un article rédigé par Jean-Charles SIMON
