ARTICLE
6 November 2025

Gouvernance numérique : NIS 2 et DORA changent la donne

HA
Haas Avocats

Contributor

Haas Avocats logo
HAAS Avocats, a French law firm, defends and protects national and international clients in the fields of French intellectual property, new information and communication technologies, data protection, e-commerce, e-marketing and business law.
Explore Firm Details
Derrière les sigles européens NIS 2 (directive sur la sécurité des réseaux) et DORA (Digital Operational Resilience Act), se profile bien davantage qu'une simple évolution technique.
France Technology
Gérard Haas
Your Author LinkedIn Connections
Gérard Haas’s articles from Haas Avocats are most popular:
  • within Technology topic(s)
  • in United Kingdom
  • in United Kingdom
Haas Avocats are most popular:
  • within Environment and Criminal Law topic(s)

Derrière les sigles européens NIS 2 (directive sur la sécurité des réseaux) et DORA (Digital Operational Resilience Act), se profile bien davantage qu'une simple évolution technique. Ces textes inaugurent une mutation structurelle du droit de la conformité numérique : celle du passage d'un modèle de défense réactive à une responsabilité proactive du dirigeant.

Comme le rappelle Me Gérard Haas, avocat en droit du numérique et de la cybersécurité, « ces textes ne bouleversent pas la responsabilité du dirigeant, mais lui rappellent que la cybersécurité est désormais un devoir de gouvernance. » Le droit français connaissait déjà la faute de gestion et la responsabilité du dirigeant en cas de manquement à ses obligations de conformité.

Ce que change NIS 2 et DORA, c'est l'étendue de la diligence exigée : le dirigeant doit désormais comprendre, anticiper et documenter les risques numériques.

« NIS 2 et DORA ne changent pas la faute de gestion, ils en changent la nature : la négligence cyber devient la nouvelle faute stratégique. »

La permanence du cadre français : la faute de gestion à l'ère du numérique

Les articles L.225-251 et L.651-2 du Code de commerce demeurent les piliers de la responsabilité des dirigeants. Mais les nouvelles normes européennes y greffent un niveau d'exigence inédit : la cybersécurité n'est plus un choix opérationnel, c'est un impératif structurel. L'obligation de moyens se double désormais d'un devoir de compréhension active.

Le dirigeant qui se contente d'approuver un budget ou de déléguer sans supervision commet une faute de vigilance.

La jurisprudence récente de la CNIL (délibérations SAN-2024-020 et SAN-2025-001) et du Conseil d'État (décision du 19 juin 2020, n° 430810) confirme cette évolution : l'absence de procédures de contrôle ou de moyens organisationnels devient constitutive d'un manquement. Ainsi se dessine une extension de la faute de gestion : elle ne se limite plus à la mauvaise administration, mais s'étend à la carence numérique.

L'émergence du devoir fiduciaire de vigilance numérique des dirigeants

Sous l'influence conjuguée de NIS 2, DORA et du RGPD, le droit européen consacre une idée nouvelle : la cybersécurité comme devoir fiduciaire du dirigeant. Le chef d'entreprise doit démontrer qu'il a mis en Suvre une gouvernance numérique adaptée, traçable et soutenue par des moyens suffisants. Il ne s'agit plus seulement d'éviter la faute, mais de prouver la vigilance : le droit consacre ainsi une obligation de cyber-accountability.

Cette mutation transforme la fonction dirigeante :

  • les risques cyber doivent être inscrits à l'ordre du jour des conseils d'administration,
  • les décisions d'investissement en sécurité doivent être documentées,
  • les délégations doivent être formalisées, budgétées et suivies.

« Le dirigeant ne peut plus ignorer le code : la gouvernance numérique devient la grammaire du pouvoir responsable. »

La délégation de pouvoir face aux nouveaux défis de la cybersécurité

Comme le rappelle Me Haas, le dirigeant n'est pas un expert technique. Il décide sur la base d'avis spécialisés. Mais la délégation de pouvoir n'exonère pas : elle oblige.

Pour être valable, elle doit être :

  • formalisée par écrit,
  • accompagnée de moyens effectifs (budget, autorité, équipe),
  • attribuée à un délégataire compétent,
  • et contrôlée par un suivi régulier du dirigeant.

En pratique, cette délégation doit être pensée comme une chaîne de confiance – et non comme un bouclier de responsabilité. La cyber-résilience devient ainsi un critère de maturité organisationnelle.

Une transformation silencieuse mais structurante : vers la gouvernance numérique intégrée

En apparence, NIS 2 et DORA rappellent le droit existant.

En réalité, ils en redéfinissent le périmètre vivant : la cybersécurité devient un enjeu de gouvernance stratégique, éthique et durable. Sous le vernis d'un texte technique, l'Union européenne introduit une révolution culturelle :celle d'un dirigeant responsable de la continuité numérique, au même titre que de la santé financière de l'entreprise.

Cette évolution s'inscrit dans le sillage des devoirs de vigilance RSE : le numérique devient un espace de responsabilité sociale et institutionnelle.

« L'ère de la conformité défensive s'achève : place à la diligence cyber, pilier du leadership de demain. »

Conclusion : Vers une gouvernance numérique intégrée et responsable

Finalement, NIS 2 et DORA ne bouleversent pas le droit – ils en actualisent la philosophie. Ils imposent aux dirigeants de démontrer qu'ils ont compris, anticipé et assumé leurs obligations numériques. Leur force n'est pas punitive, mais éducative : ils façonnent une éthique de la vigilance.

La cybersécurité n'est plus une matière technique réservée aux DSI :

elle devient la boussole de la gouvernance moderne, le signe d'une responsabilité dirigeante mature et transparente.

En matière de gouvernance numérique, la vigilance n'est plus une vertu – c'est une obligation.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Gérard Haas
Gérard Haas
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More