01 56 43 68 80

6, Rue de Saint-Petersbourg, 75008 Paris

DSI, RSSI, DPO : le référent cybersécurité sous NIS 2 et DORA

En 2026, la cybersécurité devient un sujet de gouvernance juridique à part entière. Les nouveaux textes entrant en vigueur (NIS 2, CRA, DORA) ne se contentent plus d’imposer des mesures techniques : ils exigent une organisation interne cohérente, traçable et responsable.
DSI RSSI DPO le référent cybersécurité sous NIS 2 et DORA

La question centrale n’est donc plus seulement quoi faire, mais qui porte quoi, et surtout qui rend des comptes.

DSI, RSSI, DPO : répartition des responsabilités en cybersécurité

Le DSI pilote de la continuité et non arbitre de la conformité

Le Directeur des Systèmes d’Information reste le garant du bon fonctionnement des infrastructures numériques : disponibilité, performance, évolutivité, maîtrise des coûts. Sa logique est fondamentalement opérationnelle et économique.

Or, les entités concernées par NIS 2 et DORA devront notamment mettre en œuvre :

  • Une évaluation permanente des risques ;
  • La documentation des choix de sécurité ;
  • Une capacité à reconnaître les défaillances, parfois issues de décisions IT antérieures.

Lorsque le DSI se voit confier un rôle de pilotage ou de contrôle de la cybersécurité, un conflit d’intérêts latent apparaît : il devient juge de ses propres arbitrages.

Dans un contexte de contrôle ou de sanction, cette confusion des rôles constitue un point de fragilité évident.

Le DSI est certes un acteur essentiel, mais est un mauvais candidat au rôle de référent réglementaire.

Le RSSI : chef d’orchestre cyber, mais indépendant sous condition

Le RSSI est la cheville ouvrière des dispositifs NIS 2 et DORA en ce qu’il sera sollicité pour :

  • La gestion des risques ;
  • Mettre en œuvre les politiques de sécurité ;
  • Détecter et répondre aux incidents ;
  • Coordonner les équipes IT et métiers.

Son rôle est central mais juridiquement ambigu :

  • D’un côté, il possède l’expertise technique et la vision globale des risques ;
  • De l’autre, il est souvent rattaché hiérarchiquement au DSI, ce qui limite sa capacité d’alerte indépendante et sa neutralité dans l’analyse des incidents.

Dans les textes européens, le RSSI n’est d’ailleurs jamais désigné comme référent réglementaire, mais comme un acteur opérationnel dans leur mise en œuvre.

Il est indispensable à la conformité, sans pour autant en être le garant juridique ultime.

Le DPO : de la donnée personnelle à la gestion de crise

Initialement cantonné à la protection des données personnelles, le DPO s’est progressivement imposé comme un acteur transversal du risque numérique.

De ce fait, le DPO est déjà en charge :

  • De la mise en conformité de l’entité dont il est DPO ;
  • Des alertes en matière de violation de données personnelles ;
  • Du dialogue avec les autorités.

En pratique, une cyberattaque constitue le plus souvent à la fois un incident de sécurité et, potentiellement, une violation de données, tout en exposant l’organisation à des risques juridiques et réputationnels.

Le DPO se retrouve ainsi au carrefour des obligations de notification, d’analyse d’impact et de gouvernance.

Référent NIS 2, DORA, CRA : cherchez le responsable

Le référent NIS 2 : le DPO comme pivot naturel

NIS 2 impose aux entités concernées de formaliser une gouvernance ainsi que des obligations de notification en cas d’incident.

La directive ne désigne pas de fonction précise, mais exige un interlocuteur auprès des autorités de contrôle, ce qui requiert une indépendance certaine.

Dans la majorité des organisations, le DPO apparaît comme le meilleur candidat puisqu’il est :

  • Habitué aux échanges avec les autorités ;
  • Rompu aux logiques de conformité et de preuve ;
  • Déjà positionné comme tiers de confiance interne.

Le RSSI reste le pilote opérationnel, mais le DPO peut légitimement jouer le rôle de référent NIS 2, garant de la cohérence et de la traçabilité.

Le référent DORA : une gouvernance pilotée par le risque

DORA va plus loin que NIS 2 en plaçant la responsabilité au niveau de l’organe de direction.

Dans ce contexte, deux modèles émergent :

  1. Le DPO référent DORA, à condition d’être intégré aux dispositifs de gestion des risques ;
  2. La création d’un référent spécifique avec un DPO étroitement associé aux obligations de notification et de gouvernance des données.

Dans les deux cas, le RSSI ne peut raisonnablement être l’unique référent : il est partie prenante du dispositif qu’il met en œuvre.

Là encore, le DPO a vocation à jouer un rôle pivot, sans être isolé.

Le référent CRA : une gouvernance à inventer

Le CRA se distingue : il vise les produits, non les entités.

Le référent CRA dépendra fortement du modèle économique :

  • Chez un éditeur ou fabricant, le rôle pourrait revenir à une fonction de conformité produit, en lien étroit avec le RSSI ;
  • Le DPO intervient surtout lorsque les produits traitent des données personnelles ou génèrent des risques pour les utilisateurs ;
  • Le RSSI reste incontournable pour la gestion des vulnérabilités.

Le CRA appelle donc un référent hybride, souvent hors des schémas classiques, avec une coordination forte entre conformité, sécurité et produit.

Cumul des fonctions DSI, RSSI, DPO : risques juridiques et conflits d’intérêts en matière de cybersécurité

En tout état de cause, certaines fonctions ne doivent pas se cumuler du fait d’une incompatibilité manifeste, voire de potentiels conflits d’intérêt.

DSI / DPO : le duo de choc

La cohabitation de ces deux acteurs n’est pas, en soi, prohibée. Chacun apporte une pierre à l’édifice de la gestion IT :

  • Le DSI conserve son rôle actif de supervision et d’arbitrage, sans délégation aveugle ;
  • Le DPO conseille et alerte de manière indépendante sur la conformité.

Le mariage forcé de ces deux fonctions expose l’organisme à une cybersécurité pilotée par le même acteur qui en supporte les choix techniques et stratégiques.

Dans un contexte NIS 2 ou DORA, cette confusion des rôles devient difficilement justifiable, y compris devant les autorités de contrôle.

RSSI / DPO : quand le contrôleur s’auto-contrôle

Le cumul RSSI / DPO est, dans la majorité des cas, incompatible avec l’exigence d’indépendance du DPO.

Être simultanément responsable de la définition et de la mise en œuvre des mesures de sécurité, tout en étant chargé d’en contrôler la conformité et d’en signaler les défaillances, revient à instaurer un contrôle sans distance critique.

Ce conflit d’intérêts n’est pas théorique. Il devient concret lors :

  • De la qualification d’un incident de sécurité ;
  • De l’analyse d’une violation de données personnelles ;
  • D’un contrôle mené par la CNIL (RGPD) ou par l’ANSSI (NIS 2).

En matière de cybersécurité, cumuler les fonctions peut donner l’illusion de l’efficacité.

En pratique, c’est souvent le moyen le plus sûr de paralyser la prise de décision ou encore de rendre la gouvernance indéfendable au moment où elle est examinée.

Conclusion : la conformité cyber ne se délègue plus, elle s’organise

NIS 2, DORA et le CRA imposent une évidence : la cybersécurité ne peut plus être portée par une seule fonction, encore moins par une personne isolée.

Le DSI construit, le RSSI sécurise, mais le DPO structure, alerte et rend lisible la conformité.

Désigner un référent réglementaire n’est pas un choix symbolique : c’est un acte juridique engageant.

En 2026, les autorités ne sanctionneront pas seulement les failles techniques, mais les organisations incapables d’expliquer qui savait quoi, quand, et pourquoi rien n’a été fait.

***

Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

Revenir à l’accueil