Avec la directive NIS2, la cybersecurite n'est plus un sujet que vous pouvez deleguer integralement a votre DSI ou a votre prestataire informatique. L'article 20 est explicite : les organes de direction doivent approuver les mesures de gestion des risques cyber ET suivre une formation adaptee. En clair, vous etes personnellement responsable. Et les sanctions en cas de manquement vont jusqu'a l'interdiction temporaire d'exercer des fonctions de direction.
58 % des cyberattaques ciblent les PME (source : ANSSI, Panorama de la cybermenace 2024). 60 % des PME victimes d'une cyberattaque font faillite dans les 18 mois qui suivent (source : rapport senat.fr sur la cybersecurite des entreprises, 2024). Face a ces chiffres, la reponse europeenne est claire : les dirigeants ne peuvent plus se contenter de signer des cheques - ils doivent comprendre ce qu'ils signent.
Si vous avez deja lu notre guide complet NIS2 pour les PME, vous connaissez le perimetre de la directive et les 10 obligations techniques. Cet article se concentre sur un volet specifique et souvent sous-estime : votre obligation personnelle de formation en tant que dirigeant, et comment vous y conformer avant l'echeance du 17 octobre 2026.
A la fin de votre lecture, vous saurez :
- Ce que l'article 20 de NIS2 exige concretement des dirigeants
- Les sanctions personnelles encourues en cas de non-conformite
- Les 5 competences minimales attendues d'un dirigeant sur la cybersecurite
- Les formats de formation disponibles et comment choisir le bon
- Le programme minimum pour etre conforme en 2 jours
- Comment financer votre formation (OPCO, CPF, aides regionales)
- Vos obligations en matiere de formation des equipes
Ce que NIS2 exige exactement des dirigeants
L'article 20 : le texte qui change tout
L'article 20 de la directive NIS2 est sans ambiguite. Il impose deux obligations distinctes aux organes de direction des entites concernees :
- Approuver les mesures de gestion des risques en matiere de cybersecurite adoptees par l'entite (article 21)
- Suivre une formation afin d'acquerir des connaissances et des competences suffisantes pour identifier les risques et evaluer les pratiques de gestion des risques cyber
Le texte ne dit pas "deleguez a votre RSSI" ou "faites valider par votre prestataire". Il dit que vous, en tant que membre de l'organe de direction, devez personnellement etre en mesure de comprendre les risques et de superviser les mesures mises en oeuvre.
Ce que "organes de direction" signifie en pratique
La notion d'organe de direction couvre :
- Le dirigeant ou gerant de la societe (SARL, SAS, SA)
- Les membres du conseil d'administration
- Les membres du directoire
- Tout mandataire social ayant un pouvoir de decision sur la strategie de l'entreprise
Pour une PME typique, cela concerne directement le dirigeant-fondateur, le directeur general, et eventuellement les associes siegeant au conseil d'administration.
La difference avec les obligations generales de formation
NIS2 ne se contente pas d'exiger une "sensibilisation" generique. L'article 20 fait une distinction nette entre deux niveaux :
| Niveau | Public | Obligation | Frequence |
|---|---|---|---|
| Formation approfondie | Organes de direction | Competences pour identifier les risques et evaluer les mesures | Initiale + mise a jour reguliere |
| Sensibilisation reguliere | Ensemble des salaries | Connaissances de base en cyberhygiene | Au minimum annuelle |
La formation des dirigeants va donc bien au-dela de la simple sensibilisation demandee a l'ensemble du personnel. Vous devez etre capable de poser les bonnes questions, de comprendre les reponses, et de prendre des decisions eclairees.
Les sanctions personnelles en cas de non-conformite
Des amendes qui touchent l'entreprise et le dirigeant
NIS2 introduit un regime de sanctions a deux etages. Le premier concerne l'entite elle-meme :
| Categorie d'entite | Amende maximale |
|---|---|
| Entite essentielle | 10 M EUR ou 2 % du CA mondial annuel (le plus eleve) |
| Entite importante | 7 M EUR ou 1,4 % du CA mondial annuel (le plus eleve) |
L'interdiction temporaire d'exercer : la sanction qui fait la difference
Le deuxieme etage est inedit dans le droit europeen de la cybersecurite : les sanctions personnelles contre les dirigeants.
L'article 32 de NIS2 prevoit que les autorites competentes peuvent :
- Suspendre temporairement un dirigeant de ses fonctions de direction
- Interdire temporairement a une personne physique d'exercer des fonctions de direction au sein de l'entite
- Rendre publique la decision de sanction (publication nominative)
Ces sanctions s'appliquent lorsque l'autorite competente estime que le dirigeant n'a pas respecte ses obligations au titre de l'article 20 - y compris l'obligation de formation.
Le risque reel pour un dirigeant de PME
En pratique, le scenario le plus probable pour une PME n'est pas l'amende de 10 millions d'euros. C'est la cascade suivante :
- Un incident de cybersecurite survient (rancongiciel, fuite de donnees)
- L'autorite competente (ANSSI en France) enquete
- Elle constate que le dirigeant n'a pas suivi de formation, n'a pas approuve formellement les mesures de securite, et n'a pas supervise leur mise en oeuvre
- La responsabilite personnelle du dirigeant est engagee
- Sanction administrative + risque de mise en cause civile par les actionnaires, les clients ou les partenaires
Le fait de pouvoir demontrer que vous avez suivi une formation certifiante et que vous supervisez activement la cybersecurite de votre entreprise constitue votre meilleure protection juridique.
Les 5 competences minimales attendues d'un dirigeant
NIS2 ne fournit pas de referentiel de competences detaille pour les dirigeants. En revanche, la combinaison de l'article 20 (formation des dirigeants) et de l'article 21 (mesures de gestion des risques) permet d'identifier 5 domaines de competences indispensables.
| Competence | Ce que vous devez savoir faire | Niveau attendu |
|---|---|---|
| 1. Cartographie des risques | Comprendre les menaces qui pesent sur votre entreprise (rancongiciel, hameconnage, fuite de donnees). Savoir lire et valider une analyse des risques. Identifier les actifs critiques de votre SI. | Comprendre et valider, pas realiser vous-meme |
| 2. Gouvernance cyber | Definir une politique de securite coherente. Valider les budgets de cybersecurite. Nommer un responsable et definir ses prerogatives. Integrer la cybersecurite dans la strategie globale. | Decider et superviser |
| 3. Gestion des incidents | Connaitre la procedure de notification (24h, 72h, 30 jours). Savoir prendre les decisions de crise (isoler, communiquer, restaurer). Comprendre vos obligations legales en cas de violation de donnees. | Decider sous pression |
| 4. Conformite reglementaire | Comprendre les exigences NIS2 applicables a votre entite. Articuler NIS2 avec le RGPD et les obligations sectorielles. Documenter la conformite pour les audits. | Comprendre et piloter |
| 5. Securite de la chaine d'approvisionnement | Evaluer le niveau de securite de vos fournisseurs critiques. Integrer des clauses cyber dans vos contrats. Gerer le risque lie aux sous-traitants. | Comprendre et exiger |
Ces 5 competences ne font pas de vous un expert technique. Elles font de vous un dirigeant capable de piloter la cybersecurite de votre entreprise en toute connaissance de cause - ce que NIS2 attend de vous.
Pour approfondir le volet sous-traitants, consultez notre article sur les obligations NIS2 pour les sous-traitants de PME.
Les 3 formats de formation disponibles
Le marche de la formation en cybersecurite pour dirigeants s'est structure rapidement depuis l'adoption de NIS2. Trois formats principaux coexistent, chacun avec ses avantages et ses limites.
Comparatif des formats
| Critere | Formation en ligne (e-learning) | Formation intra-entreprise | Certification reconnue |
|---|---|---|---|
| Duree | 4 a 8 heures (modules courts) | 1 a 2 jours | 3 a 5 jours |
| Cout | 200 - 800 EUR | 1 200 - 1 500 EUR/jour | 2 500 - 5 000 EUR |
| Personnalisation | Faible (contenu generique) | Forte (adaptee a votre secteur) | Moyenne (programme standardise) |
| Flexibilite | Tres elevee (a votre rythme) | Moyenne (date fixe, sur site) | Faible (planning impose) |
| Valeur probatoire | Faible (attestation simple) | Moyenne (rapport de formation) | Forte (certification reconnue) |
| Interaction | Faible | Forte (cas pratiques, echanges) | Forte (exercices, examen) |
| Adapte pour | Sensibilisation initiale, mise a jour | Formation du comite de direction | Preuve de conformite NIS2 |
Formation en ligne : le premier pas
Les formations en ligne sont ideales pour une premiere approche ou pour maintenir vos connaissances a jour entre deux sessions en presentiel. Elles se presentent generalement sous forme de modules de 20 a 45 minutes, accessibles a tout moment.
Points forts : flexibilite, cout reduit, possibilite de revenir sur un module.
Limites : pas de mise en situation reelle, contenu souvent generique, faible valeur probatoire en cas d'audit.
Formation intra-entreprise : le meilleur rapport qualite-pertinence
La formation intra-entreprise est dispensee dans vos locaux (ou en visioconference) par un formateur qui adapte le contenu a votre secteur d'activite, a votre taille et a vos enjeux specifiques. C'est le format le plus adapte pour former l'ensemble du comite de direction en une seule session.
Points forts : personnalisation, cas pratiques adaptes a votre contexte, formation collective du comite de direction, confidentialite (vos problematiques restent internes).
Limites : cout plus eleve (1 200 a 1 500 EUR par jour de formation, hors frais de deplacement du formateur), necessite de bloquer 1 a 2 jours dans l'agenda de toute l'equipe dirigeante.
Certification reconnue : la preuve de conformite
Les certifications en cybersecurite pour dirigeants sont delivrees par des organismes reconnus et valident un niveau de competences par un examen. Elles constituent la meilleure preuve de conformite en cas d'audit NIS2.
Points forts : reconnaissance officielle, programme structure et complet, valeur probatoire maximale, credibilite aupres des partenaires et clients.
Limites : cout plus eleve, duree de 3 a 5 jours, necessite de preparation et de reussite a l'examen.
Comment choisir sa formation
Avec la multiplication des offres, choisir la bonne formation demande de verifier quelques criteres essentiels.
Les 6 criteres de selection
| Critere | Ce qu'il faut verifier | Signal d'alerte |
|---|---|---|
| Label qualite | Certification Qualiopi de l'organisme (obligatoire pour le financement OPCO/CPF) | Pas de Qualiopi = pas de financement public |
| Contenu NIS2 | Le programme couvre explicitement les articles 20 et 21 de la directive | Programme generique sans mention de NIS2 |
| Public cible | Formation concue pour des dirigeants (pas pour des techniciens) | Prerequis techniques avances |
| Mise a jour | Programme actualise apres la transposition francaise de NIS2 | Contenu date d'avant 2025 |
| Formateur | Experience en cybersecurite ET en accompagnement de dirigeants | Profil uniquement technique sans experience managériale |
| Delivrable | Attestation de formation ou certificat nominatif avec programme detaille | Aucune attestation formelle |
Le bon format selon votre situation
- Vous decouvrez le sujet : commencez par une formation en ligne de 4 a 8 heures pour acquerir les fondamentaux, puis planifiez une formation intra-entreprise dans les 3 mois.
- Vous avez deja une sensibilite cyber : une formation intra-entreprise de 1 a 2 jours, orientee NIS2 et adaptee a votre secteur, sera suffisante pour etre conforme.
- Vous voulez une preuve de conformite maximale : optez pour une certification reconnue de 3 a 5 jours. C'est l'investissement le plus solide en cas d'audit.
- Vous dirigez une entite essentielle : la certification est fortement recommandee, compte tenu du regime de supervision proactif de l'ANSSI.
Le programme minimum pour etre conforme
Voici un programme type de formation sur 2 jours, couvrant les 5 competences identifiees precedemment. Ce programme represente le socle minimum pour qu'un dirigeant puisse demontrer sa conformite a l'article 20 de NIS2.
Jour 1 : comprendre les risques et le cadre reglementaire
Matin (3h30)
- Panorama des cybermenaces ciblant les PME en 2026
- Les mecanismes d'attaque expliques sans jargon technique (rancongiciel, hameconnage, compromission de messagerie)
- Atelier pratique : identifier les actifs critiques de votre entreprise
- Exercice : evaluer l'impact financier d'un incident sur votre activite
Apres-midi (3h30)
- NIS2 : ce que la directive exige de vous personnellement
- Articulation avec le RGPD et les obligations sectorielles
- Les sanctions : amendes, interdiction d'exercer, publication
- Cas pratiques : 3 scenarios de non-conformite et leurs consequences
- Atelier : evaluer votre niveau actuel par rapport aux exigences NIS2
Jour 2 : agir et piloter
Matin (3h30)
- Construire une politique de securite adaptee a une PME
- Definir les roles : qui fait quoi dans votre organisation
- Gerer un incident : la procedure de notification (24h, 72h, 30 jours)
- Exercice de simulation de crise : un rancongiciel frappe votre entreprise a 8h du matin
Apres-midi (3h30)
- Securiser votre chaine d'approvisionnement : evaluer vos fournisseurs
- Budget cybersecurite : combien investir et comment prioriser
- Construire votre feuille de route de mise en conformite NIS2
- Atelier : rediger les 3 premiers documents de conformite de votre entreprise
- Plan d'action personnel a 90 jours
Pour avoir une vision complete des couts de mise en conformite, consultez notre article sur le cout de la conformite NIS2 pour les PME.
Financer sa formation
La formation en cybersecurite des dirigeants est eligible a plusieurs dispositifs de financement. Dans de nombreux cas, le reste a charge est nul ou minimal pour les PME.
Les dispositifs de financement disponibles
| Dispositif | Prise en charge | Eligibilite | Conditions |
|---|---|---|---|
| OPCO | Jusqu'a 100 % pour les PME < 50 salaries | Toute entreprise cotisant a un OPCO | Organisme Qualiopi obligatoire, demande prealable |
| CPF (Compte Personnel de Formation) | Jusqu'a 100 % (selon solde disponible) | Tout dirigeant (TNS et salarie) | Formation certifiante inscrite au RNCP ou RS |
| FAF (Fonds d'Assurance Formation) | Jusqu'a 100 % (plafond variable) | Dirigeants non salaries (TNS) | AGEFICE, FIFPL ou FAFCEA selon statut |
| Aides regionales | 50 a 100 % (selon region) | PME du territoire | Varier selon les appels a projets regionaux |
| Credit d'impot formation dirigeant | 423 EUR (40h x 10,57 EUR SMIC horaire) | Dirigeants d'entreprise | Derniere annee du dispositif en 2024, verifier prorogation |
| France Num | Diagnostic gratuit + orientation | TPE/PME | Pas de financement direct de la formation |
Comment optimiser votre financement
Etape 1 : identifiez votre OPCO
Chaque entreprise cotise a un OPCO (Operateur de Competences) en fonction de sa convention collective. Les principaux OPCO pour les PME sont OPCO EP, ATLAS, AKTO et OPCO 2i. Contactez votre OPCO pour connaitre votre enveloppe formation disponible et les modalites de prise en charge.
Etape 2 : verifiez votre solde CPF
Connectez-vous sur moncompteformation.gouv.fr pour consulter votre solde. En tant que dirigeant, vous accumulez des droits CPF chaque annee. Ce solde peut etre utilise pour financer une certification en cybersecurite.
Etape 3 : combinez les dispositifs
Les financements sont cumulables dans la plupart des cas. Exemple concret pour un dirigeant de PME de 35 salaries :
- Formation certifiante a 3 500 EUR
- Prise en charge OPCO : 2 000 EUR (plafond pour la formation dirigeant)
- Complement CPF : 1 500 EUR
- Reste a charge : 0 EUR
Etape 4 : anticipez les delais
Les demandes de prise en charge OPCO doivent etre deposees avant le debut de la formation (generalement 15 a 30 jours avant). Ne vous y prenez pas au dernier moment.
Former ses equipes : obligations et bonnes pratiques
L'article 20 de NIS2 ne se limite pas aux dirigeants. Il impose egalement que l'ensemble des salaries beneficie d'une sensibilisation reguliere a la cybersecurite.
Ce que NIS2 exige pour les salaries
La directive est claire : les entites concernees doivent proposer une formation similaire a leurs membres du personnel sur une base reguliere. L'objectif est que chaque collaborateur dispose des connaissances suffisantes pour identifier les risques et adopter les bonnes pratiques.
En pratique, cela se traduit par :
- Sensibilisation annuelle obligatoire pour l'ensemble du personnel
- Exercices de simulation (hameconnage, gestion de crise) au minimum une fois par an
- Charte informatique signee par chaque collaborateur
- Formation renforcee pour les profils a risque (administrateurs, comptables, direction)
Le plan de formation type pour une PME
| Public | Format | Frequence | Duree | Cout estime |
|---|---|---|---|---|
| Direction (comite executif) | Certification ou intra-entreprise | Initiale + mise a jour annuelle | 2 a 5 jours | 2 500 - 5 000 EUR |
| Responsable IT / RSSI | Certification technique | Annuelle | 3 a 5 jours | 3 000 - 6 000 EUR |
| Managers | Atelier en presentiel | Annuelle | 1 demi-journee | 500 - 800 EUR/personne |
| Tous les salaries | E-learning + simulation phishing | Trimestrielle | 30 min/trimestre | 20 - 50 EUR/personne/an |
Les 5 bonnes pratiques pour une formation efficace
-
Commencez par le haut : si la direction n'est pas formee et exemplaire, le message ne passera pas aupres des equipes. La formation des dirigeants est le prerequis a tout programme de sensibilisation.
-
Privilegiez la regularite a l'intensite : 30 minutes de sensibilisation par trimestre sont plus efficaces qu'une journee entiere une fois par an. Les reflexes s'acquierent par la repetition.
-
Utilisez des cas concrets : les chiffres generiques ("X % des entreprises sont attaquees") impressionnent moins que des exemples tires de votre secteur d'activite ou de votre region.
-
Mesurez les progres : lancez des campagnes de simulation de hameconnage avant et apres la formation. Le taux de clic sur les faux emails est votre meilleur indicateur d'efficacite.
-
Documentez tout : conservez les attestations de formation, les listes d'emargement, les resultats des exercices. En cas d'audit NIS2, ces documents sont votre preuve de conformite.
Pour une vision complete des mesures de cybersecurite a mettre en oeuvre au-dela de la formation, consultez notre article sur les 7 mesures essentielles de cybersecurite pour les PME.
Le calendrier : ce qu'il faut faire et quand
L'echeance du 17 octobre 2026 approche. Voici un calendrier realiste pour vous mettre en conformite sur le volet formation.
| Periode | Action | Responsable |
|---|---|---|
| Des maintenant | Identifier votre OPCO et votre enveloppe formation disponible | Direction / RH |
| Mois 1 | Choisir un organisme de formation Qualiopi specialise NIS2 | Direction |
| Mois 2 | Suivre la formation dirigeant (2 a 5 jours) | Dirigeant(s) |
| Mois 3 | Deployer la premiere sensibilisation pour l'ensemble des salaries | Direction / IT |
| Mois 4 | Lancer la premiere campagne de simulation de hameconnage | IT / prestataire |
| Mois 6 | Evaluer les resultats, ajuster le programme de formation | Direction |
| Trimestre suivant | Deuxieme session de sensibilisation + nouvelle simulation | IT |
| Annuellement | Mise a jour de la formation dirigeant + renouvellement sensibilisation | Direction / RH |
Conclusion : la formation n'est pas une case a cocher
Il serait tentant de voir la formation NIS2 comme une formalite administrative de plus. C'est une erreur.
Un dirigeant forme a la cybersecurite prend de meilleures decisions. Il pose les bonnes questions a son prestataire informatique. Il sait evaluer si le budget propose est coherent ou excessif. Il reagit plus vite et plus efficacement en cas d'incident. Et surtout, il ne decouvre pas le sujet le jour ou son entreprise est attaquee.
La formation est aussi votre meilleure protection juridique. En cas d'incident, pouvoir demontrer que vous avez suivi une formation certifiante, que vous supervisez activement les mesures de securite et que vos equipes sont regulierement sensibilisees change radicalement votre position face a l'autorite de controle.
Le cout est accessible - souvent integralement financable par votre OPCO ou votre CPF. Le temps a investir est de 2 a 5 jours. Le retour sur investissement est immediat en termes de reduction du risque et de conformite reglementaire.
Vous souhaitez evaluer votre situation et definir votre plan de formation NIS2 ? Contactez-nous pour un diagnostic cybersecurite gratuit - nous evaluons votre niveau de maturite, identifions vos obligations et vous orientons vers les formations les plus adaptees a votre profil et a votre secteur.
Sources : Directive (UE) 2022/2555 (NIS2), articles 20, 21 et 32. ANSSI - Panorama de la cybermenace 2024. Rapport du Senat sur la cybersecurite des entreprises 2024. ENISA Threat Landscape 2024. France Num. MonCompteFormation.gouv.fr.