En vigueur depuis le 17 oct. 2024·Jour 579·

Gouvernance22 mars 20255 min

La formation cybersécurité que chaque conseil NIS2 doit désormais à ses actionnaires

L’article 20(2) impose aux dirigeants de suivre une formation. Voici à quoi ressemble une formation sérieuse — et ce que les régulateurs accepteront comme preuve.

La formation cybersécurité que chaque conseil NIS2 doit désormais à ses actionnairesGouvernance

L'article 20, paragraphe 2 de la directive (UE) 2022/2555 est inhabituellement direct pour une directive européenne. Il ne dit pas devraient, envisager ou prendre en considération. Il dit, en forme opérative : les membres des organes de direction des entités essentielles et importantes sont tenus de suivre une formation.

Le même paragraphe étend l'obligation d'un demi-pas. Les États membres encouragent les entités essentielles et importantes à offrir une formation similaire à leurs employés à intervalles réguliers. Le verbe s'adoucit — encouragent au lieu d'imposent — mais le renvoi à l'article 21, paragraphe 2, point g), qui liste « les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité » parmi les catégories de mesures que les entités doivent adopter, le redurcit. En somme, NIS2 rend la formation du conseil obligatoire et celle des employés attendue.

C'est l'article que les conseils sous-estiment systématiquement. Non parce qu'ils refusent de se former — parce qu'ils ne savent pas ce que le régulateur acceptera comme preuve qu'ils l'ont fait.

Ce que la directive exige réellement

En lisant ensemble l'article 20, paragraphe 2 et le considérant 81, le socle légal tient en quatre points :

  1. La formation est suivie par les membres de l'organe de direction eux-mêmes. Pas le RSSI. Pas l'équipe juridique. Les administrateurs.
  2. La formation leur permet d'identifier les risques. Une sensibilisation générique ne suffit pas — le contenu doit être branché sur le paysage de menaces propre à l'entité.
  3. La formation leur permet d'évaluer les pratiques de gestion des risques de cybersécurité et leur incidence sur les services fournis. Les administrateurs doivent pouvoir lire le registre des risques, poser des questions challengeantes, juger si les mesures proposées sont proportionnées.
  4. Une formation similaire est offerte aux employés à intervalles réguliers. Récurrente, avec une cadence mesurable, traçable à un enregistrement.

C'est le plancher. Tout en dessous est un constat. Tout au-dessus est un choix de l'entité sur le degré de sur-ingénierie.

Le volume horaire : ce que les régulateurs accepteront

La directive ne précise pas d'heures. Les autorités nationales compétentes ne se contredisent pas sur le seuil défendable. Tirés de leurs lignes directrices publiées, trois chiffres reviennent :

  • Onboarding nouveaux administrateurs : 6 à 12 heures. Couvrant la directive elle-même, le paysage de menaces de l'entité, le registre des risques et la procédure de réponse aux incidents.
  • Mise à jour annuelle des administrateurs en place : 2 à 4 heures. Couvrant les évolutions matérielles depuis la dernière session — nouvelles menaces, nouvelles mesures, nouvelles guidances régulatoires, et tout incident survenu dans l'année.
  • Programme employés : 30 à 60 minutes par employé et par an, avec des modules spécifiques pour les rôles à haut risque (finance, opérations IT, assistanat de direction).

Significativement en dessous de ces chiffres, il devient difficile à défendre face à un inspecteur. Significativement au-dessus, c'est normal dans les secteurs régulés où les attentes prudentielles étaient déjà plus élevées (services financiers, énergie).

Ce que le contenu doit couvrir

Trois blocs sont non négociables, quel que soit le secteur :

Bloc 1 — La directive elle-même et la classification de l'entité. Cinq à quinze minutes de contenu. Qu'est-ce que NIS2, à qui s'applique-t-elle, pourquoi cette entité est dans le périmètre, quelles conséquences en cas de non-conformité. Le considérant 81 cadre ce bloc comme le plancher de la connaissance des administrateurs.

Bloc 2 — Le modèle de menaces de l'entité, en langage clair. Quelles attaques ont touché des entités comparables ces deux dernières années. Quelle est la cible de haute valeur de l'entité. Quel est le scénario réaliste du pire jour. C'est ce bloc qui distingue la formation de la sensibilisation — les administrateurs en repartent capables de challenger leur RSSI avec les bonnes questions, et pas seulement de hocher la tête.

Bloc 3 — Les responsabilités spécifiques du conseil. Les cinq responsabilités de l'article 20 (approuver, superviser, accepter la responsabilité, suivre la formation, garantir la formation à l'échelle de l'entité), le compteur 72 heures que le conseil peut avoir à alimenter, la trace documentaire que le régulateur cherchera. C'est le bloc opérationnel — ce que fait le conseil, à quelle cadence.

Ce qui passe comme preuve

Dans les notes d'inspection publiées des autorités nationales compétentes européennes, trois artefacts satisfont systématiquement :

  • Un journal de formation daté listant le nom de chaque administrateur, la ou les sessions suivies, la date et la durée. Ce document, validé par le secrétaire général ou équivalent, est la pièce la plus importante.
  • Les supports de formation conservés — slides, études de cas, test si présent. Les inspecteurs ne demandent pas qu'ils soient exhaustifs ; ils demandent qu'ils soient retrouvables et qu'ils démontrent les trois blocs ci-dessus.
  • Un bref procès-verbal de conseil acquittant l'achèvement du cycle, idéalement avec un ou deux items d'action retenus par les administrateurs. Les items d'action sont le signal le plus fort que la formation a été substantielle plutôt que cocher-une-case.

Ce qui ne passe pas, en termes régulatoires :

  • Une vidéo générique de sensibilisation à la sécurité envoyée par e-mail, sans journal de présence.
  • Une présentation du RSSI en séance de conseil, traitée comme la formation. (Cela peut compléter une formation mais ne la remplace pas. Le considérant 81 est explicite sur la formation dédiée des organes de direction.)
  • Une certification déléguée — par exemple, l'administrateur qui a suivi un cours tiers de gouvernance en 2023 et considère l'obligation purgée.

Cadence et propriété

Le programme de formation doit avoir un porteur nommé. Le motif défendable est : le secrétaire général ou équivalent (responsable gouvernance, responsable juridique dans les entités plus petites) tient le registre de formation, programme les cycles, et rapporte la complétion au comité d'audit ou des risques. Le RSSI fournit le contenu ; le secrétaire général porte l'artefact.

Cette séparation compte. Un RSSI qui à la fois délivre et certifie la formation des administrateurs est en auto-évaluation — un signal que les régulateurs notent de plus en plus dans leurs méthodologies publiées.

Ce à quoi ça ressemble quand c'est bien fait

Dans les notes d'inspection publiées des autorités nationales compétentes européennes, quatre signaux reviennent :

  1. Le journal de formation montre 100 % de complétion par chaque membre de l'organe de direction, avec le cycle précédent daté dans les douze derniers mois.
  2. Le contenu a été adapté à l'entité — pas une vidéo générique — et un échantillon des supports peut être produit à la demande.
  3. L'onboarding a lieu avant que le nouvel administrateur ne participe à sa première séance risques-cyber, pas après.
  4. La formation des employés a un taux de complétion mesurable que le conseil revoit, avec des modules spécifiques pour les fonctions à haut risque.

Ce n'est pas un effort lourd. La barrière n'est pas le budget — une formation administrateur dans la fourchette 6-12 heures coûte 5 000 à 15 000 € par cohorte pour être bien faite. La barrière, c'est de porter la cadence et de produire les documents. Les deux sont du travail de greffe — et c'est exactement ce que mesure le régulateur.

Sources

  1. Directive (UE) 2022/2555, article 20, paragraphe 2 (formation des organes de direction et encouragement à former les employés).
  2. Directive (UE) 2022/2555, article 21, paragraphe 2, point g) (pratiques de base en matière de cyberhygiène et formation à la cybersécurité).
  3. Directive (UE) 2022/2555, considérant 81 (justification de la formation obligatoire des dirigeants).
  4. Directive (UE) 2022/2555, considérant 89 (encouragement à une culture et à une formation à la cybersécurité au niveau des entités).
  5. Lignes directrices publiées des autorités nationales compétentes sur les attentes en matière de formation : ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE), ainsi que l'ENISA.

Autres articles

Authentification multifacteur NIS2 : 5 classes d'accès à protégerMesures techniques

Authentification multifacteur NIS2 : 5 classes d'accès à protéger

11 mai 2026·Lire · 7 min
Transposition NIS2 France, Allemagne, Espagne, Italie : où en sont les quatre marchésExécution nationale

Transposition NIS2 France, Allemagne, Espagne, Italie : où en sont les quatre marchés

6 mai 2026·Lire · 7 min
Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matinGestion des incidents

Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matin

6 mai 2026·Lire · 7 min