Cyberhygiène et formation à la sécurité NIS 2 au titre de l'article 21, paragraphe 2, point g)
L'article 21, paragraphe 2, point g), de NIS 2 couvre votre personnel. L'article 20, paragraphe 2, couvre votre organe de direction. Deux obligations distinctes. Le §8 du CIR (UE) 2024/2690 énonce ce que l'obligation relative au personnel signifie réellement : un programme de sensibilisation pour tous, plus une formation spécifique aux rôles pour les personnes occupant des rôles pertinents pour la sécurité.
La version courte
L'article 21, paragraphe 2, point g), inscrit la cyberhygiène et la formation à la sécurité sur la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. L'obligation couvre tout le monde dans l'entité, y compris l'organe de direction et les fournisseurs directs.
Le §8 du CIR (UE) 2024/2690 divise l'obligation en deux parties. Le §8.1 est la sensibilisation : un programme qui atteint chaque membre du personnel, répété périodiquement, aligné sur votre politique de sécurité de l'information et sur votre tableau réel des menaces, couvrant les menaces, les points de contact et les ressources. Le §8.2 est la formation spécifique aux rôles : identifier le personnel occupant des rôles pertinents pour la sécurité, le former à la configuration et à l'exploitation sécurisées, aux menaces connues, et à la manière de se comporter lors d'un événement pertinent pour la sécurité.
Ce n'est pas la même obligation que l'article 20, paragraphe 2. L'article 20, paragraphe 2, est la formation de l'organe de direction lui-même, sur les risques de cybersécurité et les pratiques de gestion. L'article 21, paragraphe 2, point g), est la formation du reste de l'organisation. Vous avez besoin des deux. Les auditeurs vérifient les deux.
Article 21, paragraphe 2, point g), de la directive NIS 2 (2022/2555)
Pratiques de base en matière de cyberhygiène et formation à la cybersécurité.
Il s'agit du point g) de la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. C'est l'obligation couvrant l'ensemble du personnel, distincte de la formation de l'organe de direction prévue à l'article 20, paragraphe 2.
CIR (UE) 2024/2690, annexe §8
Aux fins de l'article 21, paragraphe 2, point g), de la directive (UE) 2022/2555, les entités concernées veillent à ce que leurs employés, y compris les membres de l'organe de direction et les fournisseurs directs, soient conscients des risques, informés de l'importance de la cybersécurité, et appliquent des pratiques de cyberhygiène.
Parce qu'il s'agit d'un règlement (et non d'une directive), il constitue un droit de l'UE directement contraignant. Le §8.1 fixe le programme de sensibilisation. Le §8.2 fixe l'obligation de formation spécifique aux rôles. Il s'applique aux fournisseurs DNS, aux registres TLD, aux fournisseurs de cloud et de centres de données, aux MSP, aux prestataires de services de confiance et aux autres secteurs énumérés à son annexe.
§30(2)(7) BSIG (Allemagne)
Procédures de base dans le domaine de la cyberhygiène et formation dans le domaine de la cybersécurité.
L'Allemagne reprend le texte de l'UE de près. La voie de mise en œuvre que le BSI indique est le Baustein IT-Grundschutz ORP.3 « Sensibilisierung und Schulung zur Informationssicherheit », qui couvre à la fois le volet sensibilisation et le volet spécifique aux rôles.
Programme de sensibilisation pour tous
Un programme qui atteint chaque membre du personnel, y compris l'organe de direction et les fournisseurs directs. Répété périodiquement, pas ponctuel. Les nouveaux arrivants sont pris en charge. Le contenu est aligné sur votre politique de sécurité de l'information et sur votre tableau réel des menaces. Il couvre les cybermenaces qui s'appliquent réellement à vous, les points de contact en cas d'anomalie, et les ressources que le personnel peut utiliser.
Formation spécifique aux rôles pour les rôles pertinents pour la sécurité
Identifiez quels rôles nécessitent des compétences pertinentes pour la sécurité. Formez ensuite ces personnes à trois choses : comment configurer et exploiter les systèmes qu'elles touchent (y compris les appareils mobiles), les menaces connues qui s'appliquent à leur travail, et comment se comporter lors d'un événement pertinent pour la sécurité. Plus large que l'informatique : assistance, développeurs, RH, finances peuvent tous être concernés.
Nouveaux arrivants et mise à jour périodique
Les deux parties du §8 disposent que le programme doit atteindre les nouveaux membres du personnel occupant des rôles pertinents pour la sécurité et être mis à jour régulièrement. Cela signifie une étape d'intégration au sein des processus RH, plus une cadence de révision du programme lui-même, afin que le contenu suive les menaces auxquelles vous faites réellement face aujourd'hui plutôt que celles auxquelles vous faisiez face il y a deux ans.
Sensibilisation et formation spécifique aux rôles sont deux programmes distincts
Le §8.1 et le §8.2 ne sont pas la même chose reconditionnée. La sensibilisation s'adresse à tous. La formation spécifique aux rôles s'adresse aux personnes dont le travail crée ou contrôle une exposition à la sécurité. Le contenu est différent, la cadence est différente, la preuve est différente. Si votre plan de formation ne comporte qu'un seul programme, il vous manque l'une des deux obligations.
Le contenu de la formation reflète votre tableau réel des risques
Le §8.1 dispose que le programme de sensibilisation doit être « aligné sur la politique de sécurité de l'information et le paysage des risques » de l'entité. Un contenu d'hameçonnage générique destiné à une banque ne conviendra pas à une Stadtwerk ou à une entreprise de gestion des déchets. Le programme doit suivre les menaces auxquelles vous faites réellement face, les systèmes que vous exploitez réellement, et les points de contact que le personnel doit réellement appeler.
BSI / Baustein IT-Grundschutz ORP.3
La voie de mise en œuvre du BSI pour le §30(2)(7) BSIG est le Baustein IT-Grundschutz ORP.3 « Sensibilisierung und Schulung ». ORP.3 couvre à la fois le volet sensibilisation (sessions annuelles pour tout le personnel) et le volet spécifique aux rôles (modules plus approfondis pour les administrateurs, développeurs, assistance et responsables). Il fixe également des attentes concrètes en matière de fréquence et vous demande de documenter le programme, la participation et une cadence de révision.
ENISA Technical Implementation Guidance
La TIG de l'ENISA pour le CIR (UE) 2024/2690 fait correspondre le §8 à ISO/IEC 27001:2022 (A.6.3, A.7.2.2 dans l'ancienne numérotation), au NIST CSF 2.0 (PR.AT) et à ETSI EN 319 401. Si vous menez déjà une sensibilisation à la sécurité au titre d'ISO 27001, la TIG vous indique quels contrôles existants couvrent le §8 et où se situe la lacune.
Lois nationales de transposition
Chaque État membre transpose l'obligation (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). La substance est la même parce que la directive fixe une norme unique à l'échelle de l'UE. Ce qui diffère : la langue de documentation, les canaux de notification, et l'autorité nationale qui audite les registres de formation.
Nous avons fait le cours de l'organe de direction, nous en avons fini avec la formation NIS 2.
L'article 20, paragraphe 2, et l'article 21, paragraphe 2, point g), sont deux obligations distinctes. Le cours de l'organe de direction couvre l'article 20, paragraphe 2. Votre programme couvrant l'ensemble du personnel couvre l'article 21, paragraphe 2, point g). L'un ne se substitue pas à l'autre. Un auditeur demandera des preuves des deux.
Nous menons une simulation d'hameçonnage annuelle, donc la sensibilisation est couverte.
Une simulation d'hameçonnage est une tactique, pas un programme. Le §8.1 du CIR exige un programme qui couvre les menaces qui s'appliquent à vous, les points de contact pour signaler des préoccupations, et les ressources que le personnel peut utiliser. Il doit aussi atteindre les nouveaux arrivants et s'exécuter périodiquement. Une seule simulation annuelle ne satisfait pas à ce test à elle seule.
Nous formons l'équipe informatique, cela couvre l'obligation spécifique aux rôles.
Le §8.2 dispose « le personnel dont les rôles nécessitent des compétences pertinentes pour la sécurité ». C'est plus large que l'informatique. Le personnel d'assistance qui réinitialise les mots de passe, les développeurs qui écrivent le code, le personnel RH qui gère les arrivées et les départs, le personnel financier qui gère l'autorisation des paiements. Tous peuvent relever du §8.2. La liste des rôles doit provenir de votre tableau réel des risques, pas de l'organigramme.
Ce que nous voyons dans le Mittelstand allemand : une simulation d'hameçonnage annuelle plus un paragraphe sur la sécurité dans le support d'intégration. Ce n'est pas le §8. Le §8 exige un programme écrit, avec un public cible par module, une fréquence par module, et un registre par apprenant de ce qu'il a accompli et quand.
La forme qui tient à l'audit : un parcours de sensibilisation pour tous (module d'intégration plus rappel annuel, menaces et points de contact), et un parcours spécifique aux rôles pour les rôles pertinents pour la sécurité que vous avez identifiés (administrateurs, développeurs, assistance, plus les rôles métier que votre analyse des risques a signalés). Documentez le programme, le public, la fréquence, les registres d'accomplissement, et une date de révision du programme lui-même.
Le module Formation (TRN) capture le programme : chaque cours, son public cible, sa fréquence, et un registre d'accomplissement par apprenant. Vous pouvez rattacher le programme de sensibilisation à « tout le personnel » et les modules spécifiques aux rôles aux rôles que vous avez définis. La piste d'audit constitue la preuve.
Le volet sensibilisation du §8.1 est satisfait par le cours CEO de la plateforme (article 20, paragraphe 2) plus un parcours de sensibilisation pour tout le personnel. Le volet spécifique aux rôles du §8.2 est satisfait en ajoutant des modules spécifiques aux rôles et en les assignant au personnel que votre analyse des risques signale. L'accomplissement est enregistré automatiquement. Les cycles de recyclage sont planifiés par le module.
- Directive (UE) 2022/2555 (NIS 2), article 21, paragraphe 2, point g) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi sur le BSI (BSIG), §30(2)(7) tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Baustein IT-Grundschutz du BSI ORP.3 « Sensibilisierung und Schulung zur Informationssicherheit »
- ENISA Technical Implementation Guidance pour le CIR (UE) 2024/2690 (au mois de mai 2026)