Article 20 NIS2 : former ses dirigeants à la cybersécurité
L'article 20 de la directive NIS2 impose aux dirigeants de suivre une formation cyber régulière. Quel contenu, quelle frequence, quels formats ? Guide pratique pour les RSSI qui doivent convaincre leur COMEX.
L'obligation légale
L'article 20 stipule que les membres des organes de direction doivent suivre des formations pour acquerir les connaissances nécessaires a l'identification des risques et a l'évaluation des pratiques de gestion. Le texte ne fixe pas de durée minimale mais exige une formation régulière.
Quel contenu pour une formation dirigeants ?
Le programme minimal devrait couvrir :
- Panorama des menaces : ransomware, phishing, supply chain, espionnage - avec des cas concrets récents
- Cadre reglementaire : NIS2, ReCyF, RGPD, DORA - ce que la loi impose au dirigeant
- Responsabilité personnelle : ce que risque le dirigeant en cas de manquement (detail)
- Lecture d'un tableau de bord cyber : indicateurs cles, comment les interpreter
- Gestion de crise : rôle du dirigeant en cas d'incident, communication de crise
- Budget et investissement : comment arbitrer les depenses cyber
Formats recommandes
| Format | Durée | Public | Avantage |
|---|---|---|---|
| Session COMEX dédiée | 2-3h | Direction générale | Adapte au contexte de l'entreprise |
| Exercice de crise (tabletop) | 1/2 journee | COMEX + RSSI + comm | Apprentissage par la pratique |
| Formation inter-entreprises | 1 journee | Dirigeants multi-secteurs | Echange de bonnes pratiques |
| E-learning + quiz | 1-2h | Conseil d'administration | Flexible, documentable |
Frequence et documentation
Le ReCyF recommande une sensibilisation annuelle au minimum. Documentez systématiquement : feuille de presence, programme, materiel, résultats du quiz. Cette documentation sera demandee en cas de contrôle de l'ANSSI.
Comment convaincre le COMEX
- Chiffrer le risque : cout moyen d'un ransomware, montant des sanctions NIS2, impact reputationnel
- Montrer la responsabilité personnelle : l'article 20 cible les dirigeants, pas le RSSI
- Proposer un format court : 2h suffisent pour une première sensibilisation
- Utiliser un cas concret : un incident récent dans le même secteur
Voir aussi les 10 mesures de l'article 21 et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, article 20
- ReCyF, pilier Gouvernance, mars 2026