NIS2 : quand votre conseil de conformité ne suffit pas
La directive NIS2 fait du conseil en conformité un terrain à haut risque : si votre dispositif ne passe pas, le client sanctionné se retourne vers vous.
- NIS2 élargit massivement le nombre d'entités soumises à des obligations de cybersécurité, sous le contrôle de l'ANSSI.
- Le consultant qui accompagne la mise en conformité est tenu à une obligation de moyens renforcée et à un devoir de conseil.
- Si le dispositif recommandé est jugé insuffisant et le client sanctionné, votre responsabilité professionnelle peut être engagée.
- La RC Pro couvre la faute, l'erreur, l'omission de conseil et vos frais de défense.
NIS2, le changement d'échelle réglementaire
La directive NIS2 marque un saut considérable par rapport à son prédécesseur. Là où NIS1 visait quelques centaines d'opérateurs critiques, NIS2 fait entrer dans le périmètre des milliers d'entités, réparties en deux catégories : les entités essentielles et les entités importantes, couvrant l'énergie, la santé, le numérique, l'industrie, le transport, l'administration et bien d'autres secteurs.
Ces entités doivent mettre en œuvre des mesures de gestion des risques (analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôle d'accès), notifier leurs incidents significatifs, et répondre du dispositif devant l'ANSSI, qui dispose de pouvoirs de contrôle et de sanction renforcés. Pour beaucoup d'organisations, c'est la première fois qu'elles affrontent une obligation de cybersécurité aussi structurée — et elles se tournent vers vous pour la satisfaire.
Le rôle du consultant : un conseil sous haute tension
Accompagner un client vers la conformité NIS2, c'est endosser une responsabilité particulière. Vous n'êtes pas un simple exécutant : vous êtes celui qui qualifie l'entité (est-elle essentielle, importante, ou hors périmètre ?), qui cartographie les obligations applicables, et qui recommande un dispositif de mesures. Chacune de ces étapes est un point de responsabilité.
- Si vous concluez à tort qu'une entité est hors périmètre, le client n'engage rien et se retrouve en défaut.
- Si votre analyse de risques sous-estime une menace, le dispositif est calibré trop bas.
- Si vous omettez une obligation (par exemple la sécurité de la chaîne d'approvisionnement, souvent négligée), la conformité est incomplète.
Le devoir de conseil du professionnel de la cybersécurité est ici renforcé : on attend de vous que vous alertiez clairement le client sur ses obligations et sur les conséquences d'un manquement.
Ce que dit la loi sur votre responsabilité
Le principe reste celui de l'obligation de moyens : vous ne garantissez pas un résultat (l'absence totale de sanction), mais vous devez mettre en œuvre toutes les diligences attendues d'un professionnel compétent, selon l'état de l'art. Votre responsabilité contractuelle se trouve engagée si le client démontre une faute : une recommandation manifestement inadaptée, une omission, une analyse bâclée, un défaut d'information.
La distinction est essentielle, car la sanction administrative, elle, frappe d'abord le client, en tant que responsable de sa propre conformité. Mais ce client, une fois sanctionné, dispose d'un recours contre le conseil dont la prestation l'a conduit à ce manquement. C'est là que votre exposition devient concrète.
L'ANSSI sanctionne l'entité. L'entité, elle, se retourne vers le consultant qui lui avait assuré être conforme.
Le scénario qui peut vous mettre en cause
Un client, entité importante au sens de NIS2, vous mandate pour le mettre en conformité. Vous livrez un dispositif et un rapport rassurant. Quelques mois plus tard, un incident significatif survient ; l'ANSSI contrôle et relève que plusieurs mesures obligatoires manquaient ou étaient sous-dimensionnées. Le client est sanctionné et subit une atteinte à sa réputation.
Il vous reproche alors :
- Une qualification erronée de son périmètre d'obligations.
- Une analyse de risques insuffisante ayant sous-estimé la menace réalisée.
- Un défaut de conseil sur des obligations qu'il ignorait.
Le préjudice qu'il invoque est immatériel et lourd : montant de la sanction, perte de marchés, coûts de remédiation en urgence. Pour démêler la part qui vous revient réellement, il faudra une expertise — et des frais de défense conséquents.
La RC Pro, filet du conseil en conformité
C'est précisément ce type de réclamation que couvre la RC Pro du consultant cybersécurité. Sa garantie centrale vise la faute, l'erreur et l'omission commises dans le cadre de la prestation de conseil, ainsi que les dommages immatériels qui en résultent pour le client. Elle prend également en charge vos frais de défense — avocat, expertise technique — qui peuvent à eux seuls atteindre plusieurs milliers d'euros, que la réclamation soit fondée ou non.
Pour une activité de conseil en conformité réglementaire, où l'enjeu financier pour le client se chiffre en dizaines de milliers d'euros, cette protection n'est pas optionnelle. Elle démarre à 14,90 € par mois chez Insurio. Voir le détail sur notre fiche consultant cybersécurité.
Réduire votre exposition par la méthode
La meilleure défense reste une prestation traçable et un cadrage rigoureux :
- Formaliser la qualification du périmètre NIS2 par écrit, avec les hypothèses retenues et leurs limites.
- Distinguer recommandation et mise en œuvre : votre obligation porte sur le conseil, pas sur les arbitrages budgétaires que le client refuse.
- Documenter les alertes : si le client écarte une mesure que vous recommandiez, conservez la trace écrite de votre mise en garde.
- Encadrer le périmètre de mission dans le contrat (ce qui est audité, ce qui ne l'est pas).
- Plafonner votre responsabilité, ce qui est valable entre professionnels sauf faute lourde.
Ces réflexes, associés à une RC Pro adaptée, transforment un domaine réglementaire à fort enjeu en activité maîtrisée. Le client conforme est un client fidèle ; le consultant assuré est un consultant serein.
Questions fréquentes
La sanction administrative frappe d'abord le client, responsable de sa conformité. Mais s'il démontre une faute dans votre conseil — qualification erronée, analyse insuffisante, omission d'une obligation —, il peut engager votre responsabilité professionnelle et vous réclamer réparation.
Non, sauf engagement contractuel exprès. Le principe est l'obligation de moyens : vous devez mettre en œuvre toutes les diligences d'un professionnel compétent. Votre responsabilité ne joue qu'en cas de faute démontrée, pas du seul fait d'une sanction.
Conservez systématiquement la trace écrite de votre recommandation et de la mise en garde sur les conséquences d'un refus. Ce document est déterminant pour démontrer que le manquement résulte d'un arbitrage du client, et non d'un défaut de conseil de votre part.
Oui. La garantie faute, erreur et omission couvre précisément les manquements dans la prestation de conseil, ainsi que les dommages immatériels causés au client. Elle prend aussi en charge vos frais de défense en cas de réclamation.
La RC Pro spécialisée consultant cybersécurité est la couverture de référence : elle vise la faute professionnelle, l'omission de conseil et les dommages immatériels. Elle démarre à 14,90 €/mois et inclut la défense et recours.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Consultant Cybersécurité — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Consultant Cybersécurité →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.