2LRN4 security awareness platform
← Retour à la base de connaissances

Quelles exigences de conformité imposent une formation de sensibilisation ?

Explication pratique sur exigences conformité formation sensibilisation pour les organisations qui veulent améliorer durablement les comportements sûrs.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En 2026, la formation à la sensibilisation à la sécurité ne se trouve plus seulement dans une directive interne, mais dans plusieurs lois et normes à la fois. La loi néerlandaise sur la cybersécurité (NIS2), DORA, ISO 27001, le RGPD, NEN 7510 et le règlement IA européen ont chacun leurs propres exigences en matière de sensibilisation et de formation. Laquelle s'applique à votre organisation, qu'exigent-elles précisément, et comment les combiner en un seul programme exploitable plutôt qu'en cinq chantiers parallèles ?

NIS2 et la loi néerlandaise sur la cybersécurité : la base générale

La directive NIS2 est transposée aux Pays-Bas par la loi sur la cybersécurité (Cbw), remplaçant l'ancienne Wbni. Elle s'applique aux entités essentielles et importantes : santé, finance, énergie, eau, infrastructures numériques, administration, enseignement supérieur, etc.

Article 21 NIS2 (Cbw article 21) exige une politique de sécurité incluant un volet sensibilisation et formation. Documenté et conformité démontrable.

Article 20 NIS2 (Cbw article 24) instaure une obligation de formation du conseil avec responsabilité personnelle.

DORA pour le secteur financier : lex specialis

Depuis le 17 janvier 2025, DORA s'applique à toutes les institutions financières de l'UE. Règlement, donc directement applicable, prime sur le Cbw en cas de chevauchement.

Article 13 DORA impose des programmes de sensibilisation ICT et de résilience opérationnelle numérique : base régulière pour tous, spécialisée pour fonctions critiques, par rôle, conseil, mesure d'efficacité.

En pratique : un programme DORA intégré plus complément Cbw.

ISO 27001 et NEN 7510 : exigences normatives

ISO 27001:2022 clause 7.2 impose une sensibilisation formelle ; Annexe A.7.2 un programme formalisé.

NEN 7510 pour la santé aux Pays-Bas ajoute des formations sectorielles : données médicales, sécurité patient, chaîne.

ISO 27001 et NEN 7510 couvrent presque les mêmes exigences pour la santé, avec accents différents.

RGPD : sensibilisation comme mesure du responsable

Le RGPD mentionne moins la sensibilisation, mais l'article 39 (DPO) inclut « la sensibilisation et la formation du personnel participant aux opérations de traitement ».

L'autorité interroge après une fuite l'état du programme. Sans programme documenté, risque d'amende complémentaire au seul motif de sensibilisation insuffisante.

Formation annuelle démontrable pour tous travaillant avec des données personnelles.

Règlement IA UE : littératie IA depuis février 2025

Depuis le 2 février 2025, article 4 du règlement IA oblige toute organisation utilisant l'IA à assurer la littératie IA de ses collaborateurs.

Concrètement : un module IA dans le programme : qu'est-ce que l'IA, risques, services approuvés, limites, données interdites en systèmes publics.

Module de quatre à six minutes, annuel, mis à jour.

Comment combiner toutes les exigences en un programme

Pas cinq programmes, un seul plan annuel intégré :

  • Programme de base pour tous. Phishing, mots de passe, sécurité physique, littératie IA, protection des données.
  • Modules d'approfondissement par rôle. Finance, IT, RH, santé.
  • Formation du conseil. Cbw article 24 et DORA article 13.
  • Simulations phishing périodiques. Quatre à six par an avec variantes modernes.
  • Administration démontrable. Plateforme centrale, prête pour l'audit.

Ce que demandent concrètement les autorités

Trois éléments : politique documentée avec objectifs, preuve d'exécution, preuve d'efficacité (simulations).

Ne pas attendre un incident. Plateforme = rapports d'audit à la demande. Cbw : notification 24/72 h.

Actualiser au moins annuellement. Programme vivant.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Articles connexes

Sources

FAQ

La formation est-elle obligatoire ?

Oui, sous plusieurs cadres : NIS2/Cbw, DORA, RGPD, ISO 27001, règlement IA.

Quelle exigence est la plus stricte ?

Pour la finance : DORA. Sinon le Cbw avec formation du conseil obligatoire et responsabilité personnelle.

Qu'est-ce que l'article 24 Cbw ?

Obligation de formation régulière du conseil sur les risques cyber, avec responsabilité personnelle.

Qu'est-ce que la littératie IA ?

Les collaborateurs doivent comprendre l'IA, ses risques, son usage responsable, et les données interdites en systèmes publics.

Combien d'heures de formation par an suffisent ?

Aucun texte ne fixe d'heures. En pratique : 20–30 minutes par personne et par an en microlearning, plus rôle et conseil.

Faut-il conserver les preuves de formation ?

Oui, prêtes pour l'audit. Plateforme avec participation, complétion, simulations.

Un seul programme pour toutes les exigences ?

Oui : un plan annuel intégré couvre NIS2, Cbw, DORA, RGPD, ISO 27001 et règlement IA.

Source externe : European Commission - NIS2 Directive

À lire aussi
DORA pour les institutions financières — ce que signifie la sensibilisation → Protection des données et vie privée : essentiels RGPD pour collaborateurs →
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles