L'article 21(2)(g) inscrit la cyber-hygiène et la formation sur la liste obligatoire. Ce guide vous dit qui doit être formé, quels sujets le socle doit couvrir, à quelle cadence rafraîchir, et quelles preuves votre autorité compétente attend.
L'article 21(2) de NIS2 liste dix mesures minimales de gestion des risques cyber que toute entité essentielle ou importante doit mettre en œuvre. La lettre (g) est courte — « pratiques de cyber-hygiène de base et formation à la cybersécurité » — mais c'est la mesure la plus large de la liste. Elle s'applique à chaque employé, prestataire et tiers ayant accès aux réseaux ou données de l'entité. Les lignes directrices d'application de l'ENISA et le règlement d'exécution (UE) 2024/2690 précisent ce que signifie « cyber-hygiène de base » en pratique : un programme documenté couvrant les comportements quotidiens qui préviennent la majorité des incidents — phishing, mots de passe faibles, appareils non managés, données sensibles mal manipulées, ingénierie sociale. Ce n'est pas un contenu optionnel ; c'est ce que les auditeurs vérifient en premier parce que c'est le plus facile à prouver et le signal le plus fort de maturité organisationnelle.
« Les membres des organes de direction des entités essentielles et importantes sont tenus de suivre une formation et encouragent les entités essentielles et importantes à offrir une formation similaire à leur personnel sur une base régulière, afin d'acquérir les connaissances et compétences suffisantes […] Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées […] ces mesures sont fondées sur une approche tous risques et incluent […] (g) les pratiques de cyber-hygiène de base et la formation à la cybersécurité. »
Le socle de l'article 21(2)(g) est délibérément large. Toute personne dont les actions pourraient affecter la sécurité des systèmes d'information de l'organisation entre dans le périmètre. Concrètement :
Personnel de bureau, opérationnels terrain, dirigeants, temps partiels, stagiaires, apprentis. Le test est la création de compte, pas l'intitulé du poste — s'ils ont un identifiant, ils ont besoin de la sensibilisation.
Toute personne qui se connecte au réseau de l'organisation ou traite ses données régulièrement. La formation n'a pas besoin d'être délivrée par vous — vous pouvez exiger une preuve de leur employeur — mais vous devez la vérifier et l'enregistrer.
Équipes de nettoyage avec accès en dehors des heures à des locaux qui hébergent des postes de travail, mainteneurs en environnements OT, personnel fournisseur sur site. Les guidances nationales convergent sur le principe : l'accès physique compte.
Le socle doit être délivré avant, ou dans les 30 jours suivant, l'attribution d'un accès aux systèmes. Plusieurs autorités nationales — dont l'ANSSI et le BSI — pointent les écarts à l'intégration comme le constat d'audit le plus fréquent.
Le règlement d'exécution n'énumère pas les sujets, mais le syllabus de sensibilisation de l'ENISA et la doctrine de supervision émergente convergent sur un socle à sept thèmes. Le module de sensibilisation Reglyze s'aligne sur cet ensemble ; vous pouvez l'enrichir de contenu sectoriel.
Reconnaître phishing, smishing, vishing et fraudes au président. Exemples concrets — pas que des slides — avec captures d'écran de campagnes récentes. Les apprenants doivent finir capables de repérer un domaine homoglyphe et une instruction de paiement hors canal.
Longueur plutôt que complexité, gestionnaires de mots de passe, pas de réutilisation, pas de partage. La formation doit expliquer pourquoi chaque règle existe, pas juste la poser — les adultes appliquent les règles qu'ils comprennent. À coupler avec le déploiement du gestionnaire de mots de passe de l'organisation.
Comment fonctionne le MFA, pourquoi le SMS est le facteur le plus faible et les apps d'authentification ou clés matérielles plus solides. Que faire quand une notification push apparaît de manière inattendue (ne pas approuver). Couvert aussi par l'article 21(2)(j) — le socle le renforce.
Verrouiller les écrans, appareils chiffrés, pas de données pro sur appareils personnels, pas de clés USB non managées. Plus les bases de la politique de support amovible et du bureau propre pour les documents sensibles imprimés.
Comment signaler un incident suspecté, à qui, et pourquoi les premières 24 heures comptent pour les obligations réglementaires de l'entité. Les apprenants doivent connaître le chemin d'escalade interne par son nom. Une slide avec les coordonnées de l'équipe sécurité est non-négociable.
Usage du VPN, risques du Wi-Fi public, visioconférence sécurisée, manipulation de documents hors bureau. Particulièrement pertinent depuis 2020 ; les superviseurs s'attendent à le voir au programme.
Scénarios en langage clair : rançongiciel, exfiltration de données par un interne, compromission de la chaîne d'approvisionnement. Aide les apprenants à relier l'abstraction réglementaire aux comportements à signaler.
Aucune cadence n'est fixée dans la directive, mais la pratique de supervision converge sur le rythme ci-dessous. Le registre de formation Reglyze utilise ces intervalles par défaut ; vous pouvez les surcharger par organisation ou par rôle.
Les sept sujets couverts avant — ou au plus tard 30 jours après — la remise des identifiants au nouvel arrivant. Suivez la complétion dans le registre. Les retards au-delà de 30 jours sont le constat d'audit le plus fréquent pour l'article 21(2)(g).
Chaque employé suit un rappel couvrant l'évolution des menaces, les changements de politique et les enseignements tirés des éventuels incidents de l'année. Les fenêtres de validité dans le registre sont typiquement à 365 jours après complétion.
Changement majeur de politique, incident grave, déploiement d'un nouvel outil, évolution réglementaire déclenchent un micro-module ciblé. Une vidéo de deux minutes plus un quiz de cinq questions suffit — l'objectif est de prouver que le personnel a été informé.
Non strictement exigées par la directive, mais attendues par les superviseurs matures. Les simulations trimestrielles produisent des données de tendance que le conseil peut exploiter, et permettent de cibler les rappels sur les personnes qui cliquent à répétition.
L'article 21(2)(g) est léger en contenu mais lourd en preuves. Le volume d'enregistrements piège les organisations — chaque employé, chaque année, plus l'intégration et les ajouts sur changement. L'ensemble prêt pour l'audit ressemble à ceci.
À travers les premières inspections NIS2 en Allemagne, France, Italie et Portugal, un petit nombre d'erreurs concentre la plupart des constats sur l'article 21(2)(g). Les éviter coûte peu.
Réunion plénière d'une heure comptée comme formation
Une session live en plénière ne produit pas de preuve par participant. Si elle doit rester dans le programme, faites-la suivre d'un quiz le lendemain avec attestation pour chaque présent.
Cours générique d'un fournisseur sans cadrage NIS2
Une sensibilisation prête-à-l'emploi est acceptable, mais elle doit référencer les obligations NIS2 ou le chemin de signalement d'incident propre à l'entité. Les auditeurs cherchent ces termes spécifiques dans le syllabus.
Pas de relance pour les non-complétants
Une couverture à 88 % est acceptable ; une couverture à 88 % sans action documentée pour les 12 % manquants ne l'est pas. Soit complétez-les, soit escaladez vers la révocation d'accès, soit documentez une exception bornée dans le temps.
Formation à l'intégration retardée au-delà de 30 jours
Le constat unique le plus fréquent. Câblez l'inscription à la formation dans le workflow d'arrivée pour que le manager ne puisse marquer l'intégration comme terminée tant que la sensibilisation n'est pas enregistrée.
Fenêtre de validité expirée sans renouvellement
Une validité à 12 mois ne sert à rien sans workflow de rappel. Reglyze et la plupart des plateformes de sensibilisation envoient des rappels à 30 / 14 / 7 jours avant expiration — utilisez-les.
Organe de direction exclu de la formation du personnel
L'article 20 oblige le conseil à se former, et à encourager la formation du personnel. Les deux sont distincts — mais le conseil doit aussi apparaître dans le registre de sensibilisation du personnel, ou avoir un dossier spécifique équivalent.
Ce que l'organe de direction doit approuver, superviser et apprendre — distinct du socle pour le personnel.
Formation NIS2 article 20 (devoirs du conseil)Quels enregistrements conserver par participant, durées de rétention, et attentes en matière d'export pour audit.
Dossiers de formation NIS2 — rétention et formatL'annexe A.6.3 d'ISO 27001 (sensibilisation) recoupe étroitement l'article 21(2)(g) — voici le delta.
NIS2 vs ISO 27001Manquer le socle de sensibilisation est une des infractions les plus faciles à repérer pour un inspecteur — et à sanctionner.
Amendes et sanctions NIS2 2026Le bundle Foundations de Reglyze couvre l'intégralité du syllabus article 21(2)(g) — phishing, mots de passe, MFA, manipulation des appareils, signalement d'incident, travail à distance, scénarios d'incidents NIS2 — en EN et FR, avec attestations PDF par participant et registre auto-agrégé. À partir de 149 €/an pour 25 apprenants.