Avec la directive NIS2, la cybersecurite n’est plus un sujet que vous pouvez deleguer integralement à votre DSI ou à votre prestataire informatique. L’article 20 est explicite : les organes de direction doivent approuver les mesures de gestion des risques cyber ET suivre une formation adaptée. En clair, vous êtes personnellement responsable. Et les sanctions en cas de manquement vont jusqu’à l’interdiction temporaire d’exercer des fonctions de direction.
58 % des cyberattaques ciblent les PME (source : ANSSI, Panorama de la cybermenace 2024). 60 % des PME victimes d’une cyberattaque font faillite dans les 18 mois qui suivent (source : rapport senat.fr sur la cybersecurite des entreprises, 2024). Face à ces chiffres, la réponse europeenne est claire : les dirigeants ne peuvent plus se contenter de signer des cheques - ils doivent comprendre ce qu’ils signent.
Si vous avez déjà lu notre guide complet NIS2 pour les PME, vous connaissez le perimetre de la directive et les 10 obligations techniques. Cet article se concentre sur un volet spécifique et souvent sous-estime : votre obligation personnelle de formation en tant que dirigeant, et comment vous y conformer avant l’échéance du 17 octobre 2026.
A la fin de votre lecture, vous saurez :
- Ce que l’article 20 de NIS2 exige concretement des dirigeants
- Les sanctions personnelles encourues en cas de non-conformité
- Les 5 competences minimales attendues d’un dirigeant sur la cybersecurite
- Les formats de formation disponibles et comment choisir le bon
- Le programme minimum pour être conforme en 2 jours
- Comment financer votre formation (OPCO, CPF, aides regionales)
- Vos obligations en matiere de formation des équipes
Ce que NIS2 exige exactement des dirigeants
L’article 20 : le texte qui change tout
L’article 20 de la directive NIS2 est sans ambiguite. Il impose deux obligations distinctes aux organes de direction des entites concernees :
- Approuver les mesures de gestion des risques en matiere de cybersecurite adoptees par l’entite (article 21)
- Suivre une formation afin d’acquerir des connaissances et des competences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques cyber
Le texte ne dit pas “deleguez à votre RSSI” ou “faites valider par votre prestataire”. Il dit que vous, en tant que membre de l’organe de direction, devez personnellement être en mesure de comprendre les risques et de superviser les mesures mises en oeuvre.
Ce que “organes de direction” signifie en pratique
La notion d’organe de direction couvre :
- Le dirigeant ou gerant de la societe (SARL, SAS, SA)
- Les membres du conseil d’administration
- Les membres du directoire
- Tout mandataire social ayant un pouvoir de decision sur la stratégie de l’entreprise
Pour une PME typique, cela concerne directement le dirigeant-fondateur, le directeur general, et eventuellement les associes siegeant au conseil d’administration.
La différence avec les obligations generales de formation
NIS2 ne se contente pas d’exiger une “sensibilisation” generique. L’article 20 fait une distinction nette entre deux niveaux :
| Niveau | Public | Obligation | Frequence |
|---|---|---|---|
| Formation approfondie | Organes de direction | Competences pour identifier les risques et évaluer les mesures | Initiale + mise a jour régulière |
| Sensibilisation régulière | Ensemble des salariés | Connaissances de base en cyberhygiene | Au minimum annuelle |
La formation des dirigeants va donc bien au-dela de la simple sensibilisation demandee à l’ensemble du personnel. Vous devez être capable de poser les bonnes questions, de comprendre les réponses, et de prendre des decisions eclairees.
Les sanctions personnelles en cas de non-conformité
Des amendes qui touchent l’entreprise et le dirigeant
NIS2 introduit un regime de sanctions à deux etages. Le premier concerne l’entite elle-même :
| Categorie d’entite | Amende maximale |
|---|---|
| Entite essentielle | 10 M EUR ou 2 % du CA mondial annuel (le plus élevé) |
| Entite importante | 7 M EUR ou 1,4 % du CA mondial annuel (le plus élevé) |
L’interdiction temporaire d’exercer : la sanction qui fait la différence
Le deuxieme etage est inedit dans le droit europeen de la cybersecurite : les sanctions personnelles contre les dirigeants.
L’article 32 de NIS2 prevoit que les autorites competentes peuvent :
- Suspendre temporairement un dirigeant de ses fonctions de direction
- Interdire temporairement à une personne physique d’exercer des fonctions de direction au sein de l’entite
- Rendre publique la decision de sanction (publication nominative)
Ces sanctions s’appliquent lorsque l’autorite competente estime que le dirigeant n’a pas respecte ses obligations au titre de l’article 20 - y compris l’obligation de formation.
Le risque reel pour un dirigeant de PME
En pratique, le scenario le plus probable pour une PME n’est pas l’amende de 10 millions d’euros. C’est la cascade suivante :
- Un incident de cybersecurite survient (rancongiciel, fuite de données)
- L’autorite competente (ANSSI en France) enquete
- Elle constate que le dirigeant n’a pas suivi de formation, n’a pas approuve formellement les mesures de sécurité, et n’a pas supervise leur mise en oeuvre
- La responsabilite personnelle du dirigeant est engagee
- Sanction administrative + risque de mise en cause civile par les actionnaires, les clients où les partenaires
Le fait de pouvoir demontrer que vous avez suivi une formation certifiante et que vous supervisez activement la cybersecurite de votre entreprise constitue votre meilleure protection juridique.
Les 5 competences minimales attendues d’un dirigeant
NIS2 ne fournit pas de referentiel de competences détaille pour les dirigeants. En revanche, la combinaison de l’article 20 (formation des dirigeants) et de l’article 21 (mesures de gestion des risques) permet d’identifier 5 domaines de competences indispensables.
| Competence | Ce que vous devez savoir faire | Niveau attendu |
|---|---|---|
| 1. Cartographie des risques | Comprendre les menaces qui pesent sur votre entreprise (rancongiciel, hameconnage, fuite de données). Savoir lire et valider une analyse des risques. Identifier les actifs critiques de votre SI. | Comprendre et valider, pas réaliser vous-même |
| 2. Gouvernance cyber | Definir une politique de sécurité coherente. Valider les budgets de cybersecurite. Nommer un responsable et definir ses prerogatives. Integrer la cybersecurite dans la stratégie globale. | Decider et superviser |
| 3. Gestion des incidents | Connaitre la procedure de notification (24h, 72h, 30 jours). Savoir prendre les decisions de crise (isoler, communiquer, restaurer). Comprendre vos obligations legales en cas de violation de données. | Decider sous pression |
| 4. Conformite reglementaire | Comprendre les exigences NIS2 applicables à votre entite. Articuler NIS2 avec le RGPD et les obligations sectorielles. Documenter la conformité pour les audits. | Comprendre et piloter |
| 5. Securite de la chaine d’approvisionnement | Evaluer le niveau de sécurité de vos fournisseurs critiques. Integrer des clauses cyber dans vos contrats. Gerer le risque lie aux sous-traitants. | Comprendre et exiger |
Ces 5 competences ne font pas de vous un expert technique. Elles font de vous un dirigeant capable de piloter la cybersecurite de votre entreprise en toute connaissance de cause - ce que NIS2 attend de vous.
Pour approfondir le volet sous-traitants, consultez notre article sur les obligations NIS2 pour les sous-traitants de PME.
Les 3 formats de formation disponibles
Le marche de la formation en cybersecurite pour dirigeants s’est structure rapidement depuis l’adoption de NIS2. Trois formats principaux coexistent, chacun avec ses avantages et ses limités.
Comparatif des formats
| Critere | Formation en ligne (e-learning) | Formation intra-entreprise | Certification reconnue |
|---|---|---|---|
| Duree | 4 a 8 heures (modules courts) | 1 a 2 jours | 3 à 5 jours |
| Cout | 200 - 800 EUR | 1 200 - 1 500 EUR/jour | 2 500 - 5 000 EUR |
| Personnalisation | Faible (contenu generique) | Forte (adaptée à votre secteur) | Moyenne (programme standardise) |
| Flexibilite | Tres élevée (à votre rythme) | Moyenne (date fixe, sur site) | Faible (planning impose) |
| Valeur probatoire | Faible (attestation simple) | Moyenne (rapport de formation) | Forte (certification reconnue) |
| Interaction | Faible | Forte (cas pratiques, echanges) | Forte (exercices, examen) |
| Adapte pour | Sensibilisation initiale, mise a jour | Formation du comite de direction | Preuve de conformité NIS2 |
Formation en ligne : le premier pas
Les formations en ligne sont ideales pour une première approche ou pour maintenir vos connaissances a jour entre deux sessions en presentiel. Elles se présentent généralement sous forme de modules de 20 à 45 minutes, accessibles à tout moment.
Points forts : flexibilite, coût réduit, possibilite de revenir sur un module.
Limites : pas de mise en situation reelle, contenu souvent generique, faible valeur probatoire en cas d’audit.
Formation intra-entreprise : le meilleur rapport qualité-pertinence
La formation intra-entreprise est dispensee dans vos locaux (ou en visioconference) par un formateur qui adapte le contenu à votre secteur d’activite, à votre taille et à vos enjeux spécifiques. C’est le format le plus adapte pour former l’ensemble du comite de direction en une seule session.
Points forts : personnalisation, cas pratiques adaptés à votre contexte, formation collective du comite de direction, confidentialite (vos problematiques restent internes).
Limites : coût plus élevé (1 200 à 1 500 EUR par jour de formation, hors frais de deplacement du formateur), nécessite de bloquer 1 a 2 jours dans l’agenda de toute l’équipe dirigeante.
Certification reconnue : la preuve de conformité
Les certifications en cybersecurite pour dirigeants sont delivrees par des organismes reconnus et valident un niveau de competences par un examen. Elles constituent la meilleure preuve de conformité en cas d’audit NIS2.
Points forts : reconnaissance officielle, programme structure et complet, valeur probatoire maximale, credibilite aupres des partenaires et clients.
Limites : coût plus élevé, duree de 3 à 5 jours, nécessite de préparation et de réussite à l’examen.
Comment choisir sa formation
Avec la multiplication des offres, choisir la bonne formation demande de vérifier quelques critères essentiels.
Les 6 critères de selection
| Critere | Ce qu’il faut vérifier | Signal d’alerte |
|---|---|---|
| Label qualité | Certification Qualiopi de l’organisme (obligatoire pour le financement OPCO/CPF) | Pas de Qualiopi = pas de financement public |
| Contenu NIS2 | Le programme couvre explicitement les articles 20 et 21 de la directive | Programme generique sans mention de NIS2 |
| Public cible | Formation conçue pour des dirigeants (pas pour des techniciens) | Prerequis techniques avances |
| Mise a jour | Programme actualise après la transposition française de NIS2 | Contenu date d’avant 2025 |
| Formateur | Experience en cybersecurite ET en accompagnement de dirigeants | Profil uniquement technique sans experience managériale |
| Delivrable | Attestation de formation ou certificat nominatif avec programme détaille | Aucune attestation formelle |
Le bon format selon votre situation
- Vous découvrez le sujet : commencez par une formation en ligne de 4 a 8 heures pour acquerir les fondamentaux, puis planifiez une formation intra-entreprise dans les 3 mois.
- Vous avez déjà une sensibilite cyber : une formation intra-entreprise de 1 a 2 jours, orientee NIS2 et adaptée à votre secteur, sera suffisante pour être conforme.
- Vous voulez une preuve de conformité maximale : optez pour une certification reconnue de 3 à 5 jours. C’est l’investissement le plus solide en cas d’audit.
- Vous dirigez une entite essentielle : la certification est fortement recommandee, compte tenu du regime de supervision proactif de l’ANSSI.
Le programme minimum pour être conforme
Voici un programme type de formation sur 2 jours, couvrant les 5 competences identifiees precedemment. Ce programme represente le socle minimum pour qu’un dirigeant puisse demontrer sa conformité à l’article 20 de NIS2.
Jour 1 : comprendre les risques et le cadré reglementaire
Matin (3h30)
- Panorama des cybermenaces ciblant les PME en 2026
- Les mecanismes d’attaque expliques sans jargon technique (rancongiciel, hameconnage, compromission de messagerie)
- Atelier pratique : identifier les actifs critiques de votre entreprise
- Exercice : évaluer l’impact financier d’un incident sur votre activite
Apres-midi (3h30)
- NIS2 : ce que la directive exige de vous personnellement
- Articulation avec le RGPD et les obligations sectorielles
- Les sanctions : amendes, interdiction d’exercer, publication
- Cas pratiques : 3 scenarios de non-conformité et leurs conséquences
- Atelier : évaluer votre niveau actuel par rapport aux exigences NIS2
Jour 2 : agir et piloter
Matin (3h30)
- Construire une politique de sécurité adaptée à une PME
- Definir les roles : qui fait quoi dans votre organisation
- Gerer un incident : la procedure de notification (24h, 72h, 30 jours)
- Exercice de simulation de crise : un rancongiciel frappe votre entreprise a 8h du matin
Apres-midi (3h30)
- Securiser votre chaine d’approvisionnement : évaluer vos fournisseurs
- Budget cybersecurite : combien investir et comment prioriser
- Construire votre feuille de route de mise en conformité NIS2
- Atelier : rédiger les 3 premiers documents de conformité de votre entreprise
- Plan d’action personnel a 90 jours
Pour avoir une vision complète des coûts de mise en conformité, consultez notre article sur le coût de la conformité NIS2 pour les PME.
Financer sa formation
La formation en cybersecurite des dirigeants est eligible a plusieurs dispositifs de financement. Dans de nombreux cas, le reste à charge est nul ou minimal pour les PME.
Les dispositifs de financement disponibles
| Dispositif | Prise en charge | Eligibilite | Conditions |
|---|---|---|---|
| OPCO | Jusqu’à 100 % pour les PME < 50 salariés | Toute entreprise cotisant à un OPCO | Organisme Qualiopi obligatoire, demande prealable |
| CPF (Compte Personnel de Formation) | Jusqu’à 100 % (selon solde disponible) | Tout dirigeant (TNS et salarie) | Formation certifiante inscrite au RNCP ou RS |
| FAF (Fonds d’Assurance Formation) | Jusqu’à 100 % (plafond variable) | Dirigeants non salariés (TNS) | AGEFICE, FIFPL ou FAFCEA selon statut |
| Aides regionales | 50 à 100 % (selon region) | PME du territoire | Varier selon les appels a projets regionaux |
| Credit d’impot formation dirigeant | 423 EUR (40h x 10,57 EUR SMIC horaire) | Dirigeants d’entreprise | Derniere annee du dispositif en 2024, vérifier prorogation |
| France Num | Diagnostic gratuit + orientation | TPE/PME | Pas de financement direct de la formation |
Comment optimiser votre financement
Étape 1 : identifiez votre OPCO
Chaque entreprise cotise à un OPCO (Operateur de Competences) en fonction de sa convention collective. Les principaux OPCO pour les PME sont OPCO EP, ATLAS, AKTO et OPCO 2i. Contactez votre OPCO pour connaitre votre enveloppe formation disponible et les modalites de prise en charge.
Étape 2 : verifiez votre solde CPF
Connectez-vous sur moncompteformation.gouv.fr pour consulter votre solde. En tant que dirigeant, vous accumulez des droits CPF chaque annee. Ce solde peut être utilisé pour financer une certification en cybersecurite.
Étape 3 : combinez les dispositifs
Les financements sont cumulables dans la plupart des cas. Exemple concret pour un dirigeant de PME de 35 salariés :
- Formation certifiante à 3 500 EUR
- Prise en charge OPCO : 2 000 EUR (plafond pour la formation dirigeant)
- Complement CPF : 1 500 EUR
- Reste à charge : 0 EUR
Étape 4 : anticipez les délais
Les demandes de prise en charge OPCO doivent être deposees avant le debut de la formation (généralement 15 à 30 jours avant). Ne vous y prenez pas au dernier moment.
Former ses équipes : obligations et bonnes pratiques
L’article 20 de NIS2 ne se limité pas aux dirigeants. Il impose egalement que l’ensemble des salariés bénéficie d’une sensibilisation régulière à la cybersecurite.
Ce que NIS2 exige pour les salariés
La directive est claire : les entites concernees doivent proposer une formation similaire à leurs membres du personnel sur une base régulière. L’objectif est que chaque collaborateur dispose des connaissances suffisantes pour identifier les risques et adopter les bonnes pratiques.
En pratique, cela se traduit par :
- Sensibilisation annuelle obligatoire pour l’ensemble du personnel
- Exercices de simulation (hameconnage, gestion de crise) au minimum une fois par an
- Charte informatique signee par chaque collaborateur
- Formation renforcee pour les profils a risque (administrateurs, comptables, direction)
Le plan de formation type pour une PME
| Public | Format | Frequence | Duree | Cout estime |
|---|---|---|---|---|
| Direction (comite executif) | Certification ou intra-entreprise | Initiale + mise a jour annuelle | 2 à 5 jours | 2 500 - 5 000 EUR |
| Responsable IT / RSSI | Certification technique | Annuelle | 3 à 5 jours | 3 000 - 6 000 EUR |
| Managers | Atelier en presentiel | Annuelle | 1 demi-journee | 500 - 800 EUR/personne |
| Tous les salariés | E-learning + simulation phishing | Trimestrielle | 30 min/trimestre | 20 - 50 EUR/personne/an |
Les 5 bonnes pratiques pour une formation efficace
-
Commencez par le haut : si la direction n’est pas formee et exemplaire, le message ne passera pas aupres des équipes. La formation des dirigeants est le prérequis à tout programme de sensibilisation.
-
Privilegiez la regularite à l’intensite : 30 minutes de sensibilisation par trimestre sont plus efficaces qu’une journee entiere une fois par an. Les reflexes s’acquierent par la repetition.
-
Utilisez des cas concrets : les chiffres generiques (“X % des entreprises sont attaquees”) impressionnent moins que des exemples tires de votre secteur d’activite ou de votre region.
-
Mesurez les progres : lancez des campagnes de simulation de hameconnage avant et après la formation. Le taux de clic sur les faux emails est votre meilleur indicateur d’efficacité.
-
Documentez tout : conservez les attestations de formation, les listes d’emargement, les résultats des exercices. En cas d’audit NIS2, ces documents sont votre preuve de conformité.
Pour une vision complète des mesures de cybersecurite à mettre en oeuvre au-dela de la formation, consultez notre article sur les 7 mesures essentielles de cybersecurite pour les PME.
Le calendrier : ce qu’il faut faire et quand
L’échéance du 17 octobre 2026 approche. Voici un calendrier realiste pour vous mettre en conformité sur le volet formation.
| Periode | Action | Responsable |
|---|---|---|
| Des maintenant | Identifier votre OPCO et votre enveloppe formation disponible | Direction / RH |
| Mois 1 | Choisir un organisme de formation Qualiopi specialise NIS2 | Direction |
| Mois 2 | Suivre la formation dirigeant (2 à 5 jours) | Dirigeant(s) |
| Mois 3 | Deployer la première sensibilisation pour l’ensemble des salariés | Direction / IT |
| Mois 4 | Lancer la première campagne de simulation de hameconnage | IT / prestataire |
| Mois 6 | Evaluer les résultats, ajuster le programme de formation | Direction |
| Trimestre suivant | Deuxieme session de sensibilisation + nouvelle simulation | IT |
| Annuellement | Mise a jour de la formation dirigeant + renouvellement sensibilisation | Direction / RH |
Conclusion : la formation n’est pas une case à cocher
Il serait tentant de voir la formation NIS2 comme une formalite administrative de plus. C’est une erreur.
Un dirigeant forme à la cybersecurite prend de meilleures decisions. Il pose les bonnes questions à son prestataire informatique. Il sait évaluer si le budget propose est coherent ou excessif. Il reagit plus vite et plus efficacement en cas d’incident. Et surtout, il ne decouvre pas le sujet le jour ou son entreprise est attaquee.
La formation est aussi votre meilleure protection juridique. En cas d’incident, pouvoir demontrer que vous avez suivi une formation certifiante, que vous supervisez activement les mesures de sécurité et que vos équipes sont régulièrement sensibilisees change radicalement votre position face à l’autorite de contrôle.
Le coût est accessible - souvent integralement financable par votre OPCO ou votre CPF. Le temps a investir est de 2 à 5 jours. Le retour sur investissement est immediat en termes de réduction du risque et de conformité reglementaire.
Vous souhaitez évaluer votre situation et definir votre plan de formation NIS2 ? Contactez-nous pour un diagnostic cybersecurite gratuit - nous evaluons votre niveau de maturité, identifions vos obligations et vous orientons vers les formations les plus adaptées à votre profil et à votre secteur.
Sources : Directive (UE) 2022/2555 (NIS2), articles 20, 21 et 32. ANSSI - Panorama de la cybermenace 2024. Rapport du Senat sur la cybersecurite des entreprises 2024. ENISA Threat Landscape 2024. France Num. MonCompteFormation.gouv.fr.