L'Agence nationale de cybersécurité a mis à jour ses FAQ concernant la directive NIS 2, en précisant que les conseils d'administration des entreprises sont responsables de l'approbation des décisions stratégiques de cybersécurité, tandis que la mise en œuvre opérationnelle peut être déléguée aux structures techniques. En vertu des lignes directrices mises à jour, les entreprises doivent s'assurer que les décisions stratégiques - telles que la définition des politiques de sécurité et la planification - sont prises par le conseil d'administration ou un organe de gouvernance équivalent. Les tâches opérationnelles telles que la création de procédures, d'instructions et de manuels restent sous la responsabilité des équipes techniques, qui peuvent mettre à jour ces documents de manière indépendante sans avoir besoin de l'approbation du conseil à chaque fois. Les entreprises ont la flexibilité d'organiser leur documentation, soit par le biais d'un seul document unifié, soit par plusieurs actes coordonnés, tant qu'il existe un système cohérent distinguant les décisions stratégiques de l'exécution technique. De plus, les mises à jour des documents techniques et organisationnels ne nécessitent pas automatiquement une réapprobation par le conseil d'administration.
Lecture du biais (Centre): L'article fournit une explication neutre des exigences réglementaires mises à jour liées à la gouvernance de la cybersécurité au sein des entreprises. Il ne prend pas position sur le règlement lui-même, ni ne favorise une perspective politique particulière.




