Article 20

Gouvernance

1. Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, supervisent sa mise en œuvre et puissent être tenus responsables de la violation dudit article par ces entités.

L’application du présent paragraphe est sans préjudice du droit national en ce qui concerne les règles en matière de responsabilité applicables aux institutions publiques, ainsi que de responsabilité des agents de la fonction publique et des responsables élus ou nommés.

2. Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

FAQ

De quelle manière les dirigeants des entités doivent-ils agir selon la directive NIS2 ?

Selon la directive NIS2, les dirigeants des entités essentielles et importantes doivent approuver et superviser les mesures de cybersécurité pour gérer les risques en matière informatique de leur organisation ; ils sont aussi responsables si ces mesures ne sont pas correctement appliquées, à moins que des règles nationales particulières ne prévoient autrement pour certaines institutions publiques.

Les membres du personnel doivent-ils obligatoirement suivre une formation en cybersécurité ?

La directive NIS2 prévoit que les États membres doivent veiller à ce que les dirigeants des entités concernées suivent obligatoirement une formation en cybersécurité ; ils encouragent également ces entités à organiser régulièrement des formations similaires pour leur personnel afin que chaque employé soit conscient des risques en matière de cybersécurité et sache comment gérer ces risques au quotidien.

La directive NIS2 affecte-t-elle la responsabilité civile ou pénale des responsables publics ?

Non, la directive NIS2 précise clairement qu’elle ne modifie pas les règles nationales existantes sur la responsabilité juridique applicables aux institutions publiques, ni celles concernant la responsabilité personnelle des agents de la fonction publique ou des responsables élus ou désignés ; chaque pays restera libre d’appliquer ses propres règles en matière de responsabilité civile ou pénale.

Pourquoi est-il important d'avoir une gouvernance claire pour la cybersécurité ?

Une gouvernance claire en matière de cybersécurité permet aux organisations de prévenir efficacement les cyberattaques en fixant des responsabilités précises ; elle assure que les mesures de sécurité soient régulièrement mises à jour et contrôlées par les équipes dirigeantes, limitant ainsi le risque d’incidents informatiques susceptibles de perturber sévèrement les services importants pour le public.

Lectures fondamentales sur le RGPD

Lecture avancée

À propos du RGPD

Articles

Modèles

Toutes les ressources

Formation de sensibilisation au RGPD

Caractéristiques

Article 20

Gouvernance

FAQ

Maîtrise de l’IA

Lectures fondamentales sur le RGPD

Lecture avancée

À propos du RGPD

Articles

Modèles

Toutes les ressources

Formation de sensibilisation au RGPD

Caractéristiques

Article 20

Gouvernance

FAQ

Maîtrise de l’IA

Get Started within 24 hours.