Que demande l'Article 20 de NIS2 aux membres du conseil en matière de sensibilisation ?

L'Article 20 de NIS2 exige que les organes de direction des entités essentielles et importantes suivent eux-mêmes des formations en cybersécurité et encouragent les employés à faire de même. Le conseil d'administration porte la responsabilité finale du programme de sensibilisation.

Que demande l'Article 21 de NIS2 pour la formation des employés à la sensibilisation ?

L'Article 21 de NIS2 cite la formation et la sensibilisation des employés comme mesure concrète de gestion des risques. Les organisations doivent démontrer une formation périodique, une structure de répétition et un suivi du progrès par employé et département.

Quel niveau de démonstration est requis pour un audit NIS2 ?

Un audit NIS2 exige des rapports exportables sur la participation, le comportement (taux de clic, taux de signalement) et la progression par département ou entité. Les rapports du conseil doivent être disponibles au moins trimestriellement, avec une planification annuelle documentée et des KPIs définis.

La simulation de phishing compte-t-elle comme preuve pour la conformité NIS2 ?

Oui. Les simulations de phishing relèvent de l'Article 21(f) en tant que mesure comportementale de gestion des risques. Les résultats — taux de clic, taux de signalement, suivi — constituent des preuves auditables que l'organisation travaille activement à l'amélioration des comportements.

À quelles organisations NIS2 s'applique-t-il ?

NIS2 s'applique aux entités essentielles et importantes dans des secteurs comprenant la santé, l'énergie, le transport, la finance, l'eau, l'infrastructure numérique et les administrations publiques. Les seuils sont basés sur la taille de l'organisation et son impact sociétal.

NIS2 Checklist

Checklist de sensibilisation NIS2 — que doit-on pouvoir démontrer ?

NIS2 oblige les organisations non seulement à organiser la sensibilisation à la sécurité, mais aussi à la rendre démontrable. Cette checklist aide à évaluer si votre programme répond aux exigences des Articles 20 et 21 et est prêt pour l'audit ou le reporting de direction.

Book a demo NIS2 awareness platform

This checklist is based on NIS2 Directive Articles 20 (management training and awareness) and 21 (risk management measures, including employee training). Use it as an internal assessment tool, not legal advice.

A. Responsabilité au niveau du conseil (art. 20)

Le conseil est démonstrablement conscient des obligations de sensibilisation NIS2.
Les membres du conseil ont suivi ou sont inscrits à une formation en cybersécurité conformément à l'Article 20.
Il existe une propriété désignée du programme de sensibilisation au niveau du conseil.
Les rapports du conseil sur la sensibilisation sont préparés et conservés au moins trimestriellement.
L'organisation peut démontrer que la direction est activement impliquée dans l'évaluation des risques.

B. Formation et sensibilisation des employés (art. 21)

Tous les employés dans le périmètre reçoivent au moins une formation de sensibilisation par an.
Les formations couvrent les thèmes pertinents pour NIS2 : phishing, ransomware, contrôle d'accès, signalement d'incidents, tiers.
L'achèvement par employé et par département est traçable et exportable.
L'intégration comprend une composante de sensibilisation pour les nouveaux employés.
Il y a une différenciation démontrée dans la formation par groupe de risque ou rôle (segmentation).
Il y a une structure de répétition : la sensibilisation est proposée périodiquement, pas seulement une fois.

C. Simulation de phishing comme mesure de risque (art. 21 f)

L'organisation réalise des simulations de phishing dans le cadre de la gestion des risques.
Les résultats sont suivis : taux de clic, taux de signalement, comportement post-simulation.
Les employés qui cliquent sont guidés, pas pénalisés (culture sans reproche).
Le suivi du phishing est lié à une formation ou des explications ciblées.
Une fréquence minimale de simulation de 4 à 6 fois par an est maintenue.

D. Reporting et preuves d'audit

Les rapports sont disponibles par période, département, entité ou audience.
Des aperçus exportables de la participation, de la progression et du développement comportemental sont disponibles.
Le programme dispose d'un plan annuel documenté avec des thèmes et des moments programmés.
Les KPIs pour la sensibilisation sont définis (achèvement, taux de clic, taux de signalement).
Les preuves d'audit sont disponibles pour les revues externes ou les évaluations internes.

E. Intégration des processus

La gestion des utilisateurs est connectée aux RH ou à Active Directory (pas de listes manuelles).
Les départs de collaborateurs révoquent automatiquement les licences ou bloquent l'accès.
Il y a des moments de communication interne autour des thèmes de sensibilisation (newsletter, intranet, vidéo des dirigeants).
Le programme est examiné pour son efficacité et ajusté au moins annuellement.
Il existe un chemin d'escalade lorsque les audiences sont en retard sur l'achèvement ou le comportement.

Download as PDF

Save this checklist as a PDF for internal use, your audit file or board reporting. Enter your email and receive a personalized NIS2 recommendations report.

Please enter a valid email address.

What next?

Vous voulez voir comment 2LRN4 supporte chaque étape de cette checklist ? Réservez une démo et nous la parcourons ensemble en fonction de la situation de votre organisation.

Book a demo Take the NIS2 readiness check

NIS2 awareness platform How to build a security awareness program Board reporting for awareness Phishing simulation as a risk measure