Art. 20(2) NIS 2

Formation de l'organe de direction NIS 2 au titre de l'article 20, paragraphe 2

NIS 2 dispose que l'organe de direction lui-même doit être formé à la cybersécurité. Pas le CISO. Pas le responsable informatique. Le conseil d'administration, les Geschäftsführer, les personnes qui approuvent les mesures de gestion des risques au titre de l'article 20, paragraphe 1.

Simon OrzelSimon Orzel·

La version courte

L'article 20 de NIS 2 est l'article relatif à la gouvernance. Le paragraphe 1 dispose que l'organe de direction doit approuver les mesures de gestion des risques, superviser leur mise en œuvre, et peut être tenu personnellement responsable s'il ne le fait pas. Le paragraphe 2 ajoute le volet formation : l'organe de direction lui-même suit une formation, et l'entité propose une formation régulière à l'ensemble du personnel.

La formation n'est pas délégable. La directive nomme spécifiquement l'organe de direction. Envoyer le CISO suivre un cours ne libère pas de l'obligation. Les personnes qui approuvent les mesures de l'article 21 doivent disposer de connaissances suffisantes pour comprendre ce qu'elles approuvent.

L'Allemagne inscrit cette règle dans son droit national par le §38(3) BSIG. La formulation reprend celle de la directive. Cette page parcourt l'article 20, paragraphe 2, l'obligation pratique et la transposition allemande dans cet ordre.

La source juridique
Deux niveaux. La directive (contraignante pour chaque pays de l'UE, et seul niveau de l'UE ici, car le règlement d'exécution de la Commission ne couvre pas l'article 20). La transposition nationale (en Allemagne : §38(3) BSIG).

Article 20, paragraphe 2, de la directive NIS 2 (2022/2555)

Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation, et exigent des entités essentielles et importantes qu'elles proposent une formation similaire à leurs employés de manière régulière, afin qu'ils acquièrent des connaissances et des compétences suffisantes leur permettant d'identifier les risques et d'évaluer les pratiques de gestion des risques en matière de cybersécurité ainsi que leur incidence sur les services fournis par l'entité.

Il s'agit de la règle source. Elle nomme l'organe de direction par son nom et rattache le contenu de la formation à l'identification des risques, à l'évaluation des risques, aux pratiques de gestion de la cybersécurité et à l'incidence sur les services de l'entité. Elle crée également l'obligation de former le personnel pour les entités essentielles et importantes.

Règlement d'exécution (UE) 2024/2690 de la Commission

Le CIR fixe les exigences techniques et méthodologiques pour les mesures de l'article 21, paragraphe 2. Il ne couvre pas l'article 20.

Contrairement à l'article 21, l'article 20 n'a pas de règlement d'exécution. Le texte de la directive constitue la norme. Les autorités nationales et l'ENISA en précisent les modalités pratiques ; il n'existe aucune section du CIR à laquelle se référer.

§38(3) BSIG (Allemagne)

Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.

Le §38 BSIG s'inscrit dans la loi de transposition de NIS2 (NIS2UmsuCG) et est en vigueur depuis 2026. Il constitue l'ancrage opérationnel allemand de l'obligation personnelle de formation. Les §38(1) et (2) BSIG ajoutent l'obligation d'approbation et le volet de la responsabilité personnelle. L'enregistrement au titre du §33 BSIG était dû le 6 mars 2026.

Les trois éléments fondamentaux de l'obligation
L'article 20, paragraphe 2, comporte trois composantes mobiles. Chacune doit être visible pour un auditeur. Aucune des trois ne peut être omise.
Partie 1

L'organe de direction lui-même suit une formation

Les membres de l'organe de direction doivent être formés. Personnellement. La directive emploie le pluriel (« membres »), de sorte que chaque Geschäftsführer, chaque membre du conseil ayant une responsabilité opérationnelle, est concerné. La preuve de l'inscription et de l'achèvement constitue le seuil juridique. La plateforme conserve les deux.

Partie 2

L'entité propose une formation à l'ensemble du personnel

L'entité doit proposer une formation à ses employés de manière régulière. « Régulière » n'est pas défini ; le rythme annuel est la norme opérationnelle au titre de l'IT-Grundschutz ORP.3. Sensibilisation pour tous, formation spécifique au rôle pour le personnel informatique. L'obligation s'applique à l'ensemble des effectifs, pas seulement à l'équipe technique.

Partie 3

Le contenu couvre les risques, plus les pratiques de gestion, plus l'incidence sur les services

La directive nomme quatre blocs de contenu : identifier les risques, évaluer les risques, comprendre les pratiques de gestion de la cybersécurité, comprendre l'incidence sur les services fournis par l'entité. Une simulation d'hameçonnage générique ne couvre pas les quatre. Un cours de niveau direction le fait.

Deux règles qui façonnent l'obligation
Deux règles de fond qui déterminent la manière dont l'article 20, paragraphe 2, est apprécié en pratique. Les deux sont contraignantes. Les deux sont courtes.

Obligation personnelle de l'organe de direction (article 20, paragraphes 1 et 2)

L'organe de direction ne peut pas déléguer cela au CISO, au responsable informatique ou au délégué à la protection des données. L'article 20, paragraphe 1, rattache l'obligation d'approbation à l'organe de direction. L'article 20, paragraphe 2, rattache l'obligation de formation aux mêmes personnes. Les deux vont de pair par conception. La raison : si vous approuvez les mesures de gestion des risques, vous devez comprendre ce que vous approuvez.

La proportionnalité s'applique via l'article 21, paragraphe 1

L'article 21, paragraphe 1, dispose que les mesures de cybersécurité doivent être « appropriées au risque encouru », en tenant compte de la taille, de l'exposition, de la probabilité, de la gravité, de l'état de l'art et du coût. L'exigence de formation se lit à travers le même prisme. Un Stadtwerk de 60 personnes a besoin d'une formation sérieuse et documentée ; il n'a pas besoin d'un programme exécutif s'étalant sur plusieurs semaines. Ce que la directive ne permet pas, c'est l'absence de formation.

Comment les régulateurs nationaux gèrent réellement cela
L'UE fixe la règle. Chaque pays la transpose. La substance est la même dans toute l'Union. Les modalités locales diffèrent un peu.
Allemagne

BSI / §38(3) BSIG

L'Allemagne reprend la formulation de la directive presque mot pour mot au §38(3) BSIG. La Handreichung du BSI relative au §38 (avril 2026) n'est qu'un apport de recherche non contraignant, pas un programme de cours. Le BSI ne gère pas de dispositif d'accréditation pour la formation de l'article 20. La preuve de l'inscription et de l'achèvement constitue le seuil juridique.

À l'échelle de l'UE

Orientations techniques de mise en œuvre de l'ENISA

Les TIG de l'ENISA couvrent les mesures de l'article 21. L'article 20 se situe hors du champ des TIG car il n'existe aucun CIR à mettre en œuvre ici. L'ENISA cite bien l'article 20 dans son matériel NIS 2 plus large, mais elle n'a pas publié de critères de formation formels.

Autres États membres

Lois nationales de transposition

Chaque État membre a transposé l'article 20, paragraphe 2 (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). Même obligation, mêmes blocs de contenu. Des canaux de signalement différents et des autorités de contrôle différentes. Aucun d'eux ne gère non plus d'organisme d'accréditation pour la formation de l'article 20.

Trois pièges que nous voyons tout le temps
Trois hypothèses qui reviennent dans presque chaque appel de préparation d'audit avec un Geschäftsführer. Toutes trois créent des lacunes qu'un auditeur trouvera.

  • Nous avons délégué cela à notre CISO.

    Vous ne le pouvez pas. L'article 20, paragraphe 2, nomme explicitement « les membres des organes de direction ». Envoyer le CISO suivre un cours ne libère pas de l'obligation. Le CISO peut piloter le programme, choisir le prestataire, élaborer le contenu. La formation qu'exige la directive est destinée aux personnes qui approuvent au titre de l'article 20, paragraphe 1.

  • Nous avons déployé un module de sensibilisation à la sécurité, donc l'organe de direction est couvert.

    La formation de sensibilisation des utilisateurs n'est pas une formation de direction. L'article 20, paragraphe 2, énumère quatre blocs de contenu : identifier les risques, évaluer les risques, comprendre les pratiques de gestion de la cybersécurité, comprendre l'incidence sur les services. « Ne cliquez pas sur les liens d'hameçonnage » ne figure pas sur cette liste. L'organe de direction a besoin d'une formation aux pratiques de gestion, pas au comportement des utilisateurs.

  • Notre assurance D&O couvre la responsabilité personnelle, donc la formation est facultative.

    Ce n'est pas le cas. Le §38(2) BSIG crée une responsabilité personnelle en cas de manquement aux obligations de direction prévues au §38. L'assurance est quelque chose que vous ajoutez par-dessus. Elle ne supprime pas l'obligation sous-jacente, et la formation elle-même est ce qui réduit le risque sous-jacent de manquement. Omettre la formation augmente la responsabilité, elle ne la diminue pas.

Comment les conseils d'administration du Mittelstand procèdent réellement

Il n'existe aucun organisme d'accréditation pour la formation de l'article 20. Aucun dispositif DAkkS, aucun label TÜV, aucune certification Big Four requise. L'article 20, paragraphe 2, nomme l'inscription et l'achèvement. C'est le seuil juridique. Tout ce qui va au-delà est facultatif et déterminé par le risque, pas par la loi.

Ce qui fonctionne dans le Mittelstand allemand : un cours structuré couvrant les quatre blocs de contenu (identification des risques, évaluation des risques, pratiques de gestion, incidence sur les services), une inscription enregistrée nominativement pour chaque membre de l'organe de direction, une preuve d'achèvement conservée avec la piste d'audit, un rafraîchissement à un rythme régulier. Cela tient au regard de l'article 20, paragraphe 2. Cela s'aligne aussi avec le §38(3) BSIG et le cadrage propre du BSI dans la Handreichung relative au §38.

Comment nous gérons cela sur la plateforme

Nous avons conçu le cours CEO précisément pour cela. Le cours couvre les quatre blocs de contenu que nomme l'article 20, paragraphe 2 : identification des risques, évaluation des risques, pratiques de gestion de la cybersécurité, et incidence sur les services fournis par l'entité. Chaque leçon est courte. Le cours est conçu pour les Geschäftsführer, pas pour les ingénieurs en sécurité.

La plateforme enregistre l'inscription nominativement pour chaque membre de l'organe de direction, capture la preuve d'achèvement et conserve les deux dans la piste d'audit. Le même enregistrement satisfait l'exigence de documentation du §38(3) BSIG. Le cours est gratuit, tout comme la plateforme qui le sous-tend.

Sources
  • Directive (UE) 2022/2555 (NIS 2), article 20 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Loi BSI (BSIG), §38 tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG)
  • BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 avril 2026 (non contraignante)
  • Documents ENISA relatifs à NIS 2 sur les responsabilités de la direction — enisa.europa.eu
  • IT-Grundschutz ORP.3 (sensibilisation et formation)
Formez l'organe de direction sans chercher de prestataire
Notre cours CEO couvre les quatre blocs de contenu que nomme l'article 20, paragraphe 2. Preuve d'inscription et d'achèvement capturée automatiquement. Gratuit, open source, sans lock-in.
Ouvrir le cours CEO gratuit