Cbw article 24: l'obligation de formation du conseil expliquée

À qui s'applique l'obligation de formation du conseil ?

L'exigence de formation de Cbw art. 24 s'applique aux "personnes appartenant à l'organe qui assure la direction" d'une entité soumise à la Cbw. En termes néerlandais cela se traduit par :

• Conseils d'administration (Raad van Bestuur, organe exécutif)
• Conseils de surveillance (Raad van Toezicht / Raad van Commissarissen, organe de surveillance)
• Directions et directeurs-actionnaires des entités sans conseil formel
• Adjoints, conseillers provinciaux et membres du conseil exécutif quotidien des entités publiques
• Membres du conseil exécutif des universités et écoles supérieures (l'enseignement supérieur relève de la Cbw)

Que doit couvrir la formation ?

La Cbw ne prescrit pas de programme spécifique, mais le Cyberbeveiligingsbesluit (Cbb) et les régulateurs ont publié des orientations. La formation doit permettre aux membres du conseil d'identifier les risques de cybersécurité et d'évaluer leur impact sur l'organisation et ses services.

En pratique cela couvre : panorama actuel des menaces (rançongiciels, ingénierie sociale, chaîne d'approvisionnement), obligations Cbw et rôle de gouvernance, responsabilité personnelle, signalement et escalade des incidents significatifs, et traduction du risque technique en stratégie d'affaires.

Important : la formation doit être démontrablement destinée aux décideurs. Un module générique de sensibilisation à la sécurité conçu pour les employés ne suffit pas, les conseils ont besoin d'une formation au niveau gouvernance, pas au niveau utilisateur.

Fréquence et étendue

Cbw art. 24 parle de "régulièrement". Les orientations des régulateurs traduisent cela par un minimum d'une session formelle par an et par membre, complétée par des mises à jour intermédiaires lors d'incidents pertinents ou de changements réglementaires.

L'investissement total est typiquement de 4–8 heures par membre et par an : 2–3h de formation initiale, 2–3h de rappel/approfondissement et 1–2h d'exercice scénario ou table-top. Plusieurs sessions courtes de 30–60 minutes fonctionnent mieux qu'une seule longue session annuelle.

Les nouveaux membres doivent achever la formation dans les 6 mois suivant leur nomination. Pour les membres existants, la pratique est une période de mise à niveau de 12–24 mois à partir de l'entrée en vigueur de la Cbw, puis renouvellement annuel.

Documentation et preuve

La preuve est essentielle : lors d'actions de supervision, la première question est presque toujours "montrez que le conseil a été formé". Que documenter :

• Par membre : nom, date, contenu, durée, prestataire, preuve d'achèvement (certificat ou log de plateforme)
• Par organisation : calendrier de formation pour l'exercice en cours et le suivant, lié aux nominations et renouvellements
• Par ordre du jour : réunions du conseil où la cybersécurité a été discutée, avec procès-verbaux montrant que le sujet a été traité
• Par incident : quand le conseil a été informé, quelle décision a été prise, quelle action de suivi convenue
• Les logs inviolables (horodatages + piste d'audit) sont nettement plus solides que des certificats ou e-mails épars

Responsabilité personnelle, qu'est-ce que cela signifie concrètement ?

Cbw art. 24 introduit une responsabilité personnelle directe pour les membres du conseil en cas de négligence fautive en cybersécurité. C'est une rupture avec l'ancien régime où seule l'organisation était responsable.

Concrètement, dans les cas graves, les régulateurs peuvent : imposer des amendes personnelles, suspendre temporairement des membres de leurs fonctions, et en cas de soupçon d'actes pénaux (comme la rétention délibérée de signalements) saisir le ministère public. Une responsabilité civile pour préjudice à des tiers est également possible.

"Fautif" signifie typiquement : savoir ou raisonnablement devoir savoir qu'un risque est présent et ne pas prendre de mesures appropriées. Un membre qui peut démontrer avoir suivi une formation, mis le risque à l'ordre du jour et pris des décisions raisonnables est généralement protégé. Un membre qui n'a jamais été formé et délègue systématiquement la cybersécurité sans jugement propre, ne l'est pas.

Erreurs fréquentes

Lors du premier cycle d'implémentation, les régulateurs voient les mêmes schémas susceptibles d'être qualifiés de négligence fautive :

• Utiliser des modules génériques de sensibilisation pour le conseil au lieu d'une formation spécifique à la gouvernance. C'est une "case à cocher", pas une formation conseil démontrable.
• Déléguer entièrement la cybersécurité au CISO sans que le conseil vérifie l'état d'avancement. La Cbw exige un pilotage actif, pas seulement une approbation formelle.
• Aucune documentation des réunions du conseil où la cybersécurité a été discutée. Pas de point à l'ordre du jour = pas d'attention du point de vue de la supervision.
• Confusion entre "conformité" et "sécurité". Une organisation peut être conforme Cbw sur le papier tout en étant vulnérable en pratique. Les conseils doivent pouvoir distinguer les deux.
• Onboarding tardif des nouveaux membres, si un nouveau membre n'est formé qu'après 12 mois, l'écart est immédiatement vérifiable lors d'un audit.

Articles connexes

• Qu'est-ce que la loi néerlandaise sur la cybersécurité (Cbw) ?
• Reporting conseil pour la sensibilisation
• Preuves d'audit pour la sensibilisation

Sources

• Cbw, wetten.overheid.nl
• Digital Trust Center, formation conseil

FAQ

La formation peut-elle être en ligne ?

Oui. Cbw art. 24 ne prescrit pas de format spécifique. Formation en ligne, hybride et présentielle sont toutes acceptables tant que l'achèvement est démontrable et que le contenu est approprié. Beaucoup de membres choisissent des modules courts de 30–60 minutes parce qu'ils tiennent dans l'agenda.

Cela s'applique-t-il aussi au conseil de surveillance ?

Oui. La Cbw parle de "l'organe qui assure la direction", ce qui aux Pays-Bas inclut tant le conseil exécutif (RvB) que le conseil de surveillance (RvT, RvC). Les deux doivent suivre la formation, éventuellement avec des accents différents, l'organe de surveillance se concentre davantage sur la gouvernance, l'exécutif sur les décisions opérationnelles.

Que faire si un membre refuse la formation ?

Formellement c'est une négligence de l'organisation, matériellement du membre lui-même. Le conseil de surveillance peut et doit intervenir. En cas de refus persistant, l'assemblée générale peut révoquer le membre ; dans les cas extrêmes, les régulateurs peuvent intervenir.

Un MBA avec un cours de cybersécurité compte-t-il ?

Pas automatiquement. La formation doit être démontrablement orientée sur le rôle cyber d'un membre Cbw. Un cours MBA général satisfait rarement la spécificité attendue par les régulateurs. Une "board cyber training" spécifique avec contexte Cbw est plus solide.

Quel est un budget raisonnable ?

Par membre typiquement €500–€2 000/an pour un programme professionnel avec certification, e-learning et session de mise à jour annuelle. Pour les petites organisations, des programmes sectoriels collectifs sont souvent plus avantageux ; pour les grandes, une académie de gouvernance interne peut être plus efficace.

En quoi cela diffère-t-il de la sensibilisation Cbw art. 21 ?

Cbw art. 21 exige une sensibilisation générale pour tous les employés. Cbw art. 24 exige une formation spécifique du conseil. Les deux sont obligatoires et complémentaires : les employés apprennent à reconnaître les risques, les conseils apprennent à les piloter. En pratique, ce sont deux programmes différents, pas un parcours partagé.