NIS2 n'écrit jamais « conservez les dossiers de formation ». Il vous dit de suivre une formation, d'encourager la formation du personnel, et de démontrer l'hygiène cyber — et le dossier est la seule chose que l'auditeur peut vérifier. Ce guide détaille les exigences au niveau du champ, les durées de rétention et les attentes d'export d'audit telles qu'elles émergent de la mise en application.
NIS2 lui-même ne contient pas de clause disant « l'entité doit tenir des dossiers de formation ». L'obligation découle inéluctablement de trois exigences explicites. L'article 20(2) impose aux membres de l'organe de direction de suivre une formation : la seule façon pour un inspecteur de vérifier cette exigence est un dossier par dirigeant. L'article 21(2)(g) impose des pratiques d'hygiène cyber de base et une formation à la cybersécurité : la seule façon pour un inspecteur de vérifier que le programme atteint tous les employés est un dossier par participant. L'article 21(4) impose aux organisations de démontrer la proportionnalité et l'efficacité de leurs mesures : les enregistrements agrégés — couverture, taux de complétion, statut de validité — sont la démonstration. Ensemble, ces trois exigences impliquent que sans registre, l'entité ne peut pas prouver la conformité aux mesures qu'elle a manifestement mises en œuvre. Plusieurs autorités nationales l'ont rendu explicite dans leurs guidances : la note d'application NIS2 de l'ANSSI, la référence BSI-CS 134 du BSI, et les notes d'application du D.lgs. 138/2024 de l'ACN listent toutes les dossiers de formation comme un artefact obligatoire pour inspection.
Conséquence pratique : au moment où vous répondez à une demande d'audit, les dossiers doivent exister. Les reconstruire à partir de fils d'email ou de partages de fichiers après-coup est le mode d'échec pointé par plusieurs cas récents d'application.
Un dossier défendable en audit est court — typiquement huit champs — et lisible par machine. Le registre de formation Reglyze stocke exactement ces champs par ligne, indépendamment de la source de la formation. Si vous construisez votre propre registre, calquez-vous sur cette forme pour qu'un auditeur puisse lire votre export sans briefing préalable.
Nom complet plus un identifiant employé interne ou une adresse email organisationnelle. La formation anonyme ne compte pas pour la conformité ; le dossier doit pouvoir être rattaché à une personne précise dont l'accès aux systèmes est vérifiable.
Titre dans la langue de diffusion, plus un identifiant de version ou de révision. Le versioning compte parce qu'un cours mis à jour en cours de cycle (par exemple après une nouvelle tendance d'attaque) est un cours différent ; le dossier doit refléter quelle version le participant a complétée.
Nom de l'entité qui a délivré la formation — équipe interne, prestataire externe, organisme certifié. Si la formation est en auto-rythme via un LMS, le fournisseur est le propriétaire de la plateforme. Enregistrez le fournisseur pour qu'un auditeur puisse valider l'authenticité si nécessaire.
ISO 8601 (AAAA-MM-JJ) est le format sûr. La date de complétion est le point de départ de la fenêtre de validité. Évitez les dates en texte libre comme « avril 2026 » — elles cassent la lisibilité machine et ralentissent l'inspection.
Pourcentage numérique et seuil. « Réussite 84 % sur seuil 60 % » est sans ambiguïté. Si la formation n'a pas de quiz, enregistrez la durée complétée (par exemple 60 minutes sur 60). Certains auditeurs critiquent les formations sans évaluation ; un quiz est donc recommandé même pour les modules de rappel.
La plupart des organisations utilisent une validité de 365 jours pour la sensibilisation du personnel, plus longue pour les cours fondamentaux, plus courte pour les modules très techniques. Enregistrez à la fois la période de validité et la date d'expiration explicite pour que le registre puisse piloter les rappels de renouvellement.
Un pointeur vers l'artefact sous-jacent : fichier PDF d'attestation, URL d'enregistrement LMS, certificat signé. La référence doit rester valide pendant toute la durée de rétention — un lien cassé est un constat d'audit.
Quand le dossier a été ajouté au registre, distinct de la date de complétion. Cet horodatage est l'ancre d'intégrité : il permet à un inspecteur de vérifier que le dossier a été créé à proximité de l'événement de complétion et n'a pas été antidaté.
NIS2 lui-même ne fixe pas de durée de rétention. Les transpositions des États membres et la pratique de supervision émergente convergent sur les fenêtres ci-dessous. Dans le doute, conservez plus longtemps — le coût est négligeable comparé à celui d'un dossier manquant pendant une inspection.
Cinq ans à compter de la date de la dernière complétion est le standard de fait en France, Allemagne et Italie. Logique : un cycle d'audit est typiquement de 3 ans, et le régulateur peut demander l'historique complet de deux cycles consécutifs.
Une rétention plus longue pour les dossiers du conseil reflète la dimension de responsabilité personnelle de l'article 20. Certaines autorités nationales recommandent une conservation pour toute la durée du mandat du dirigeant plus une période additionnelle — en pratique, 10 ans couvre la plupart des cas.
Rapports trimestriels agrégés pendant au moins trois ans. Les données individuelles de taux de clic sont plus sensibles — beaucoup d'organisations anonymisent après le cycle de relance immédiat pour limiter l'exposition côté protection des données.
Pour des rôles comme RSSI, DPO, architecte sécurité, ingénieur OT en infrastructure critique : rétention plus longue alignée sur la durée du rôle. Documentez la justification de la rétention dans la description du programme de sensibilisation pour qu'un auditeur voie une décision délibérée.
Les auditeurs ne sont pas impressionnés par des formats de dossier soignés. Ils sont impressionnés par des dossiers difficiles à modifier et faciles à exporter. Trois propriétés comptent.
Les dossiers ne devraient pas être modifiables silencieusement. Un tableur est acceptable seulement si l'historique des versions est conservé. La plupart des plateformes de conformité modernes — y compris Reglyze — stockent les dossiers en tables append-only : les corrections créent une nouvelle révision ; l'original est conservé pour la traçabilité d'audit.
CSV ou JSON, idéalement les deux. Les auditeurs préfèrent le CSV pour l'échantillonnage et le PDF pour l'attestation par participant. Un registre qui force l'auditeur à naviguer dans une interface pour lire les dossiers est une friction ; un export qu'il peut emporter gagne.
À la fois l'événement de complétion et l'événement de création du dossier doivent porter un horodatage côté serveur. Les dates côté client sont une preuve faible. Reglyze appose les deux avec un identifiant de dossier croissant de manière monotone, ce qui rend l'antidatage détectable.
Conservez une copie du registre en dehors de la plateforme source — un export hebdomadaire automatisé vers un coffre fichiers sécurisé est typique. Plusieurs auditeurs testent spécifiquement ce qui se passe quand le LMS ou la plateforme de formation est décommissionné : les dossiers doivent survivre.
Sur les dix-huit premiers mois d'inspections NIS2 dans l'UE, une poignée d'erreurs au niveau du dossier concentre l'essentiel des constats. Elles sont peu coûteuses à corriger une fois identifiées.
Des noms mais pas d'identifiants
Les dossiers de formation montrent « Jean Dupont » mais le SI RH a deux Jean Dupont. L'auditeur ne peut pas réconcilier vers un compte précis. Couplez toujours le nom avec un ID interne ou un email organisationnel unique.
Listes par équipe sans complétions individuelles
Un tableur listant les personnes qui ont assisté à une session ne prouve pas que chacune s'est engagée avec le contenu — et l'a appris. Couplez la liste de présence avec des scores de quiz individuels ou des accusés signés.
Dossiers expirés sans renouvellement
Une attestation datée d'avril 2024 n'est plus une preuve de formation à jour en mai 2026. Le registre doit piloter le renouvellement : rappels programmés 30 / 14 / 7 jours avant expiration, plus une escalade au manager si le renouvellement traîne.
Dossiers fournisseur que l'entité ne peut pas accéder seule
Si votre sensibilisation est délivrée via un LMS tiers et que vous ne conservez qu'une capture d'écran de couverture, vous dépendez du fournisseur pour répondre à un audit. Exportez les dossiers sous-jacents dans votre propre registre selon une cadence récurrente.
Procès-verbaux qui mentionnent « formation » sans lien au registre
Les preuves article 20 exigent une chaîne traçable de l'approbation du conseil à l'attestation par dirigeant. Des procès-verbaux qui évoquent la formation au passage, sans entrée dans le registre, ne ferment pas la boucle.
Dossiers sans protection d'intégrité
Une feuille Google modifiable par tous est le dossier le plus faible possible. Migrez les dossiers dans un système avec sémantique append-only, contrôle d'accès basé sur le rôle, et journalisation d'audit avec preuve d'altération.
Le module de formation Reglyze est livré avec un registre qui capture les huit champs ci-dessus par défaut. Les attestations par participant sont générées en PDF au moment de la réussite du quiz, signées avec le nom de l'organisation, et rattachées au dossier du participant. Les fenêtres de validité sont à 365 jours par défaut pour la sensibilisation du personnel et 12 mois pour la formation de l'organe de direction, avec des workflows de rappel déjà câblés à 30 / 14 / 7 jours avant expiration. La couverture est calculée en continu et présentée au conseil dans le tableau de bord cyber trimestriel. Les exports sont un CSV en un clic plus un bundle PDF par dossier — exactement la forme demandée par les premiers auditeurs NIS2.
Ce que l'organe de direction doit approuver, superviser et apprendre — la source de l'exigence de dossier par dirigeant.
Formation NIS2 article 20 (devoirs du conseil)Le socle pour le personnel qui pilote l'exigence de dossier par employé.
Sensibilisation NIS2 du personnel (article 21(2)(g))ISO 27001 impose déjà une exigence d'information documentée (clause 7.5) — vos contrôles existants se transposent directement.
NIS2 vs ISO 27001Manquer des dossiers est une des infractions les moins coûteuses à trouver — et à sanctionner.
Amendes et sanctions NIS2 2026Arrêtez de suivre la formation dans des tableurs. Reglyze capture complétion, validité, rappels, attestations, rétention et couverture pour le conseil dans un registre unique attaché à votre organisation. Intro 10 min gratuite disponible maintenant ; bundle complet à partir de 149 €/an.