L'article 20 de NIS2 rend l'organe de direction personnellement responsable de la gestion des risques cyber. Ce guide détaille les trois devoirs — approuver, superviser, se former — et montre exactement quelles preuves les autorités nationales attendent lors d'une inspection.
L'article 20 de la directive (UE) 2022/2555 (NIS2) est court — deux paragraphes — mais c'est la clause de gouvernance la plus lourde de conséquences du droit cyber européen. Le premier paragraphe oblige les États membres à veiller à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par leur entité, et en supervisent la mise en œuvre. Le second paragraphe impose à ces mêmes membres de l'organe de direction de suivre une formation, et d'encourager leur entité à offrir une formation similaire à l'ensemble du personnel sur une base régulière, afin d'acquérir les connaissances et compétences suffisantes pour identifier les risques et apprécier les pratiques de gestion des risques cyber et leur impact sur les services fournis par l'entité.
« Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités […] et en supervisent la mise en œuvre. […] Les membres des organes de direction des entités essentielles et importantes sont tenus de suivre une formation et encouragent les entités essentielles et importantes à offrir une formation similaire à leur personnel sur une base régulière. »
L'article 20 impose trois obligations distinctes à chaque membre du conseil d'une entité essentielle ou importante. Manquer à l'une d'elles expose l'organisation — et le dirigeant personnellement — à des sanctions.
Le conseil doit formellement approuver les mesures de cybersécurité que l'organisation met en œuvre au titre de l'article 21. Ce n'est pas un acte de pure forme. L'approbation exige une décision documentée — procès-verbal de conseil, résolution signée, ou enregistrement équivalent — qui liste les mesures spécifiques (politique de gestion d'incidents, plan de gestion du risque fournisseur, plan de continuité d'activité, etc.) et confirme que le conseil les a examinées. Les auditeurs demanderont à voir ces procès-verbaux.
L'approbation est ponctuelle ; la supervision est continue. Le conseil doit recevoir des rapports périodiques sur la performance des mesures approuvées, et doit prouver qu'il les a examinés et a agi sur les sujets remontés. Le dispositif type est un tableau de bord cyber trimestriel présenté au conseil (ou à un comité dédié), couvrant incidents ouverts, progression du gap-assessment, risque fournisseur, taux de couverture des formations.
Chaque membre du conseil doit suivre une formation adaptée à son rôle. Connaissances suffisantes signifie être capable de lire un rapport d'évaluation des écarts, de challenger des propositions d'investissement sur le fond technique, et de reconnaître quand un incident exige une escalade. Le conseil doit également encourager la formation du personnel à l'échelle de l'organisation. Ces deux obligations exigent des preuves : attestations datées par membre du conseil, plus un plan crédible de sensibilisation pour l'ensemble des collaborateurs.
Les autorités nationales compétentes — ANSSI en France, BSI en Allemagne, ACN en Italie, APDC au Portugal — commencent à publier leurs critères d'inspection. Sur l'ensemble, la liste de preuves attendues pour l'article 20 converge sur les éléments suivants.
Procès-verbaux datés listant explicitement les mesures de l'article 21(2). Une formulation générique (« le conseil a approuvé la stratégie cyber ») ne passe pas. Les auditeurs cherchent du concret : quel plan de réponse à incident, quelle méthodologie de risque fournisseur, quel plan de continuité d'activité.
Une attestation par membre du conseil indiquant le titre du cours, la date de complétion, le score éventuel et la période de validité. Les recommandations ANSSI suggèrent des attestations de moins de 24 mois. La formation elle-même n'a pas besoin d'être certifiée — mais elle doit être documentée.
Tableaux de bord ou rapports écrits que le conseil a manifestement consommés. « Manifestement consommés » signifie : procès-verbaux référençant le rapport, ou réponses écrites du conseil aux sujets remontés. Les auditeurs prennent un trimestre échantillon et tracent le rapport jusqu'à une réaction du conseil.
Un registre des risques vivant que le conseil valide au moins annuellement. Il doit couvrir les risques spécifiques NIS2 : capacité de réponse à incident, dépendances chaîne d'approvisionnement, disponibilité des actifs critiques, délais de notification réglementaire.
Soit un comité du conseil dédié, soit un administrateur non exécutif nommément désigné, dont la lettre de mission inclut explicitement la supervision cyber. Pour les organisations plus petites, un rattachement hiérarchique du RSSI à un membre nommé du conseil est acceptable, à condition qu'il soit documenté.
L'article 20 exige aussi que le conseil encourage la formation du personnel. Les auditeurs regardent la couverture du registre de formation — quel pourcentage de collaborateurs a suivi une sensibilisation cyber dans les 12 derniers mois — et demandent au conseil d'expliquer les écarts.
L'article 32(6) de NIS2 permet aux États membres d'interdire temporairement à des personnes physiques d'exercer des fonctions de direction dans des entités essentielles lorsque les infractions persistent. L'article 20(2) rend cette mesure exécutoire en exigeant que les membres de l'organe de direction suivent une formation. Si un dirigeant ne peut démontrer qu'il a suivi une formation adaptée au profil de risque de l'entité, le régulateur peut escalader d'amendes corporatives vers des sanctions personnelles. Les transpositions nationales en Allemagne (projet NIS2UmsuCG), France (loi n° 2024-1039 du 21 mai 2024), Italie (D.lgs. 138/2024) et Portugal reprennent cette logique.
Ce qui a changé en 2026 : les régulateurs n'attendent plus un incident majeur pour vérifier les preuves de gouvernance. L'ANSSI a lancé au T1 2026 des inspections documentaires de routine ciblant spécifiquement les preuves article 20 chez les entités essentielles. Les conseils incapables de produire des attestations de formation dans les 48 heures suivant une demande risquent d'être ciblés pour un suivi répressif.
Le BSI a notifié un avertissement formel à un fournisseur d'énergie de taille intermédiaire après qu'une inspection a constaté qu'aucun des sept membres du conseil ne pouvait produire d'attestation de formation. Le conseil avait suivi un brief cyber interne en 2024 mais sans dossier individuel par dirigeant. Le BSI a accordé 90 jours à l'entité pour remédier ou faire face à une sanction formelle.
L'ANSSI a ouvert une revue documentaire de quinze entités essentielles dans les secteurs énergie et infrastructures numériques. Les premiers constats ont identifié les preuves article 20 comme l'écart le plus fréquent : neuf entités sur quinze avaient des procès-verbaux ne référençant les mesures cyber qu'au niveau stratégique, sans lien avec les contrôles spécifiques de l'article 21(2).
Le premier cycle d'inspections de l'ACN au titre du D.lgs. 138/2024 a mis en évidence une faiblesse récurrente : des organes de direction qui avaient entièrement externalisé la cybersécurité à des MSP sans conserver une responsabilité de supervision documentée. Une note d'orientation de l'ACN a clarifié que l'article 20 ne peut pas être délégué, même lorsque la mise en œuvre opérationnelle l'est.
Construire des preuves article 20 défendables va vite quand on part des bons artefacts. L'ensemble minimum viable — ce qu'un client Reglyze prépare typiquement dans son premier mois — ressemble à ceci.
Une résolution datée du conseil approuvant les mesures de gestion des risques cyber (une page, signée par le président).
Des attestations de formation par dirigeant émises par un fournisseur reconnu, datées de moins de 12 mois, indiquant titre du cours et score d'admission.
Un modèle de tableau de bord cyber pour le conseil — à présenter trimestriellement — couvrant incidents ouverts, score gap, top-5 risque fournisseur, couverture formation et tâches en retard.
Une lettre de mission écrite pour le rôle de supervision cyber au conseil (comité ou administrateur nommé), signée et ajoutée au manuel de gouvernance.
Une validation annuelle du registre des risques, avec la signature du président du conseil sur la page de garde et une date.
Un plan de formation du personnel que le conseil a formellement encouragé, avec un objectif de couverture et une date de revue.
Aucune cadence n'est fixée dans le texte de la directive, mais la pratique de supervision converge sur le rythme suivant. Le registre de formation Reglyze utilise ces intervalles par défaut ; vous pouvez les surcharger par organisation.
Chaque nouveau membre du conseil suit un module fondamental couvrant les devoirs de l'article 20, les mesures d'hygiène de l'article 21(2), les délais de notification d'incidents, et le profil de risque propre à l'entité. Un cours auto-rythmé de 60 minutes est typique.
Chaque dirigeant suit un rappel couvrant les évolutions réglementaires (transpositions nationales, lignes directrices ENISA, règles sectorielles) et les mises à jour du registre des risques de l'entité. C'est la cadence que les inspecteurs ANSSI et BSI s'attendent à voir sur les dates d'attestation.
Fusions, acquisitions, restructuration significative de la chaîne d'approvisionnement, incident majeur, ou changement de périmètre déclenchent un brief additionnel. Documentez l'événement déclencheur dans le registre de formation pour que l'auditeur puisse tracer cause et effet.
Le public compte. La formation du conseil doit s'adresser à des décideurs, pas à des ingénieurs. Le contenu doit permettre à un dirigeant de lire un rapport d'évaluation des écarts, de poser les bonnes questions, et d'approuver ou refuser une proposition d'investissement sur le fond.
Structure des amendes, application récente, et là où la responsabilité personnelle des dirigeants s'applique réellement.
Amendes et sanctions NIS2 2026Si vous avez déjà un SMSI, vous êtes à 80 % de NIS2 — voici le delta auquel les auditeurs s'intéressent.
NIS2 vs ISO 27001L'article 20 demande aussi au conseil d'encourager la formation du personnel. Ce guide couvre le socle pour les collaborateurs.
Sensibilisation NIS2 du personnel (article 21(2)(g))Quels enregistrements conserver par participant, durées de rétention, et ce que les auditeurs exportent réellement.
Dossiers de formation NIS2 — rétention et formatLe module de formation Reglyze est livré avec un cours article 20 prêt pour le conseil, des attestations PDF par dirigeant, un registre à l'échelle de l'organisation, et des rapports trimestriels au conseil générés automatiquement à partir de vos données vivantes. Intro 10 min gratuite disponible maintenant ; bundle complet à partir de 149 €/an.