NIS-2 - Responsabilité personnelle des dirigeants en matière de cybersécurité
La directive NIS-2 appelle les différents États membres à adapter leur législation nationale afin d'améliorer la sécurité et la résilience des différentes installations couvertes par la directive.
Certaines exigences minimales en matière de sécurité sont prescrites par la directive NIS-2 et seront reprises à l'identique dans la prochaine loi allemande de mise en œuvre, la NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Il s'agit des points suivants, qui seront régis par l'article 30, paragraphe 4 du projet BSIG :
Les mesures [...] doivent être fondées sur une approche multirisque visant à protéger les systèmes, composants et processus informatiques et l'environnement physique de ces systèmes contre les incidents de sécurité, et comprendre au moins les éléments suivants :
des approches en matière d'analyse des risques et de sécurité des systèmes d'information,
la gestion des incidents de sécurité,
le maintien des opérations, telles que la gestion des sauvegardes et la récupération après un sinistre, et la gestion des crises,
la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre les différents établissements et leurs fournisseurs directs ou leurs prestataires de services,
les mesures de sécurité relatives à l'acquisition, au développement et à la maintenance des systèmes, composants et processus informatiques, y compris la gestion et la divulgation des vulnérabilités,
les concepts et les procédures d'évaluation de l'efficacité des mesures de gestion des risques dans le domaine de la cybersécurité,
les procédures de base en matière de cyber-hygiène et la formation à la cybersécurité,
Concepts et procédures pour l'utilisation de la cryptographie et du cryptage,
Sécurité du personnel, concepts de contrôle d'accès et gestion des installations,
l'utilisation de solutions d'authentification multi-facteurs ou d'authentification continue, la sécurisation des communications vocales, vidéo et textuelles et, le cas échéant, les systèmes de communication d'urgence sécurisés au sein de l'établissement.
Il convient de souligner que la sécurité de la chaîne d'approvisionnement est également couverte par l'article 30, paragraphe 4, point 4, du projet BSIG. Il s'agit donc d'assurer la sécurité de la "chaîne d'approvisionnement". En ce qui concerne les logiciels, par exemple, cela peut signifier de nouvelles obligations importantes.
Responsabilité personnelle de la direction
Afin de respecter les nombreuses exigences des directives NIS-2 et de la loi de transposition allemande, le principe "la cybersécurité est l'affaire du chef" est clarifié sous l'angle de la responsabilité. Il est en effet prévu d'introduire un nouveau § 38 BSIG-E, dont la teneur est la suivante :
Obligation d'approbation, de surveillance et de formation pour les directeurs d'établissements particulièrement importants et d'établissements importants
(1) Les directeurs généraux des entités particulièrement importantes et des entités importantes sont tenus d'approuver les mesures de gestion des risques en matière de cybersécurité prises par ces entités pour se conformer à l'article 30 et de surveiller leur mise en œuvre. Il n'est pas permis de confier à un tiers l'exécution des obligations visées à la première phrase.
(2) Les directeurs qui manquent aux obligations qui leur incombent en vertu du paragraphe 1 sont responsables vis-à-vis de l'institution du préjudice subi. La première phrase ne s'applique pas aux directeurs d'établissements particulièrement importants du sous-secteur du gouvernement central du secteur de l'administration publique.
(3) La renonciation de l'entité à des droits à réparation au titre du paragraphe 2 ou la transaction de l'entité sur ces droits est sans effet. Cette disposition ne s'applique pas lorsque la personne tenue à réparation est insolvable et qu'elle conclut un accord avec ses créanciers afin d'éviter la procédure d'insolvabilité ou lorsque l'obligation de réparation est réglée dans un plan d'insolvabilité.
(4) Les directeurs des entités particulièrement importantes et des entités importantes doivent, ainsi que leur personnel, participer régulièrement à des formations afin d'acquérir des connaissances et des compétences suffisantes pour identifier et évaluer les risques, ainsi que les pratiques de gestion des risques dans le domaine de la cybersécurité et leur impact sur les services fournis par l'entité.
Il s'agit donc d'une obligation pour la direction d'approuver les mesures de gestion des risques dans le domaine de la cybersécurité et de contrôler leur mise en œuvre. Si ce n'est pas le cas, les dirigeants sont personnellement responsables vis-à-vis de l'entreprise, notamment en matière de dommages et intérêts.
Il convient de noter que cette obligation ne concerne pas systématiquement toutes les entreprises, mais uniquement les entités couvertes par la directive NIS 2 ou par la future loi sur la sécurité des systèmes d'information (BSIG) réformée. Toutefois, le champ d'application des entreprises concernées est actuellement nettement élargi - par rapport à la réglementation actuelle. En outre, la définition précise des seuils par le biais d'un règlement allemand de l'exécutif n'a pas encore été effectuée.
Des pouvoirs plus étendus doivent en outre être accordés au BSI, qui peuvent même aller jusqu'à l'interdiction temporaire du pouvoir de gestion (§ 64 al. 6 n° 2 du projet BSIG).
Situation juridique actuelle
La responsabilité de la direction pour l'organisation correcte des "systèmes et structures de sécurité" dans l'entreprise n'est pas nouvelle. En Allemagne, l'article 43, paragraphe 2 de la GmbHG s'applique déjà comme suit :
"Les gérants qui violent leurs obligations sont solidairement responsables envers la société des dommages causés".
Le § 93 alinéa 2 AktG contient une disposition équivalente valable pour les sociétés anonymes. Ces dispositions établissaient déjà une responsabilité de la direction en cas de faute d'organisation ou de délégation. En particulier, selon le § 91 alinéa 2 AktG, qui n'est pas seulement applicable aux sociétés anonymes mais aussi aux GmbH en raison de son "effet de rayonnement", il existe une responsabilité de la direction lorsque des normes d'organisation n'ont pas été créées.
La jurisprudence a précisé ces principes et les a notamment formulés comme suit :
"Le directoire ne satisfait à une telle obligation d'organisation, en cas de situation de risque correspondante, que s'il met en place une organisation de conformité axée sur la prévention des dommages et le contrôle des risques".
Par le biais de l'article 130 de l'OWiG, il existe déjà une responsabilité des propriétaires d'un établissement ou d'une entreprise (y compris des cadres) s'ils omettent de prendre des mesures de surveillance et que des dommages en résultent.
En outre, les dirigeants peuvent être tenus de verser des dommages et intérêts s'ils participent (involontairement) à un comportement contrevenant ou illégal, par exemple s'ils renoncent à des recherches supplémentaires (par exemple en ce qui concerne l'existence de droits d'auteur ou de brevets) dans le cadre de décisions de risque proches de la pratique. En outre, des lois dans des domaines spéciaux peuvent entraîner des responsabilités.
La réglementation relative à la responsabilité de la direction en cas d'absence de mise en place et de surveillance de mesures de cybersécurité - dans la mesure où elle est pertinente en l'espèce -, désormais prescrite au niveau européen par la directive NIS-2 et ancrée de manière générale dans le prochain article 38 de la BSIG, n'est donc pas entièrement nouvelle en Allemagne. Toutefois, l'introduction du nouveau paragraphe avec un champ d'application légèrement différent augmente encore le risque de responsabilité et en souligne l'importance.
Résumé
Toute entreprise, en particulier les sociétés à responsabilité limitée et les sociétés anonymes, ainsi que les entreprises et les institutions couvertes par le futur article 38 de la loi sur la sécurité des systèmes d'information (BSIG-E), devraient vérifier d'urgence si toutes les structures internes nécessaires ont été mises en place pour éviter les dommages, en particulier ceux résultant des risques de cybersécurité. Si nécessaire, ces structures devraient être mises en place d'urgence et faire l'objet d'un examen régulier, directement au niveau de la direction. La simple "délégation" de l'ensemble des tâches, par exemple à un service informatique ou à un prestataire de services externe, ne suffit pas à "dégager la responsabilité" de la direction.