Le piège classique
L'article 20 transforme la cybersécurité en responsabilité personnelle des dirigeants. L'ILR ne se contente plus de sanctionner l'entité : les membres du conseil d'administration et de la direction peuvent être tenus personnellement responsables des manquements à l'article 21. Le piège classique : un CEO qui signe une politique SSI rédigée par le RSSI sans la comprendre, sans preuve de formation, sans procès-verbal d'approbation horodaté. En cas de contrôle ILR, l'absence de traçabilité de l'approbation et de la formation des dirigeants suffit à engager leur responsabilité, avec des sanctions allant jusqu'à 10 M EUR ou 2% du CA mondial pour les entités essentielles, plus des interdictions temporaires d'exercer des fonctions de direction.
Les 4 preuves opposables que l'ILR exigera lors d'un contrôle
- Procès-verbal d'approbation daté et signé des mesures de gestion des risques (article 21) par l'organe de direction, avec ordre du jour et liste des présents.
- Attestation de formation cybersécurité de chaque membre de l'organe de direction, avec contenu pédagogique, durée, évaluation et date.
- Reporting régulier (au minimum trimestriel) au conseil sur l'état des risques cyber, les incidents, les indicateurs de maturité, archivé avec horodatage.
- Délégations écrites précisant qui supervise quoi (RSSI, DPO, DSI), pour démontrer que la supervision ne se limite pas à une signature annuelle.
Le piège secondaire : la formation. L'ILR attend une formation récurrente et adaptée au secteur, pas un MOOC générique de 20 minutes. Et elle doit toucher aussi les employés, même si pour eux l'obligation est seulement encouragée, devenir un standard de fait.
Comment Luxgap automatise ce risque
Notre Luxgap Board Cyber Accountability rend impossible pour un dirigeant d'ignorer ses obligations NIS 2 : la plateforme génère automatiquement le dossier de preuve opposable à l'ILR pour chaque membre de l'organe de direction, avec horodatage cryptographique et signature qualifiée eIDAS. Le mécanisme : un agent IA lit en continu vos politiques SSI, votre registre de risques (ISO 27005), vos tickets d'incidents (Jira, ServiceNow, GLPI) et synthétise un board pack cyber mensuel pré-validé, prêt à approuver en conseil.
- Module Board Pack Generator : synthèse automatique mensuelle (top 10 risques, incidents, KPI maturité NIST CSF) générée à partir de Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, sans saisie manuelle.
- Module Approval Ledger : registre cryptographiquement scellé de chaque approbation du conseil, opposable à l'ILR, avec signature eIDAS LuxTrust ou Itsme intégrée.
- Module Director Training Path : parcours de formation personnalisé par secteur (énergie, santé, finance, télécom) avec attestation horodatée, contenu mis à jour automatiquement à chaque évolution réglementaire ENISA.
- Module Personal Liability Dashboard : tableau de bord individuel par administrateur montrant son exposition personnelle (formations à jour, approbations signées, incidents non traités), accessible depuis Teams ou mobile.
- Module ILR Audit Pack : génération en un clic d'un PDF horodaté regroupant toutes les preuves de gouvernance des 24 derniers mois, prêt à remettre lors d'un contrôle.
Disponible en SaaS (Starter jusqu'à 5 administrateurs, Pro jusqu'à 20, Enterprise illimité avec multi-entités) ou inclus dans le mandat DPO/CISO Luxgap. Demandez un audit blanc gratuit de votre gouvernance cyber en 48h, livré sous forme de rapport d'écart NIS 2 article 20.
