La directive NIS2 est en application depuis octobre 2024. Pour des dizaines de milliers de PME françaises, elle crée une obligation que beaucoup sous-estiment : former les dirigeants et les employés à la cybersécurité, simuler des attaques régulièrement, et documenter tout cela pour l’auditeur.
Ce n’est pas un sujet pour votre responsable informatique seul. C’est un sujet de gouvernance, avec des sanctions personnelles pour les dirigeants qui ne s’en emparent pas.
Cette page détaille ce que NIS2 exige précisément en matière de sensibilisation et de formation, et comment nophi.sh vous permet d’y répondre de manière automatisée et traçable. Pour un guide complet sur l’ensemble des 10 obligations de l’article 21 — analyse de risques, gestion des incidents, continuité d’activité, MFA — consultez notre guide NIS2 pour les PME. Pour comprendre ce qu’est NIS2 dans sa définition réglementaire, voir notre entrée de glossaire NIS2.
Thomas Ferreira (CISSP, GCFA, GCIH, GCFE) accompagne des PME françaises dans leur mise en conformité réglementaire depuis plus de dix ans. Ce qu’il observe systématiquement : la sensibilisation des équipes est l’obligation NIS2 la plus mal préparée, et pourtant celle sur laquelle les auditeurs se concentrent en priorité — parce qu’elle est mesurable.
Ce que NIS2 exige en matière de sensibilisation
NIS2 n’évoque pas la sensibilisation de manière vague. Deux articles du texte officiel sont précis et contraignants.
Article 20 — Responsabilité des organes de direction
Le paragraphe 2 de l’article 20 de la directive (UE) 2022/2555 stipule :
« Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes suivent des formations et encouragent les entités essentielles et importantes à proposer régulièrement des formations similaires à leurs employés, afin qu’ils acquièrent des connaissances et des compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. »
Traduction concrète : le PDG, le DAF, et les membres du conseil d’administration doivent avoir suivi une formation cybersécurité. Pas délégué à leur RSSI — suivi personnellement. Et des formations comparables doivent être proposées à l’ensemble des collaborateurs, régulièrement.
Article 21§2g — Hygiène informatique et formation
L’article 21§2g liste parmi les mesures de gestion des risques obligatoires :
« Des pratiques de base en matière d’hygiène informatique et des formations à la cybersécurité. »
C’est l’article qui rend la formation des employés juridiquement obligatoire, au même titre que le déploiement de la MFA, la gestion des sauvegardes, ou la notification d’incidents. Ces pratiques de base incluent explicitement la capacité à reconnaître un email de phishing, à adopter les bons réflexes face à une tentative de compromission, et à signaler les comportements suspects.
L’ENISA précise dans ses lignes directrices que la sensibilisation doit être continue, mesurable et adaptée au profil de risque de l’organisation. Un PowerPoint diffusé une fois par an ne satisfait pas ces critères.
Article 21§2f — Évaluation de l’efficacité des mesures
Un troisième article est directement lié, souvent oublié : l’article 21§2f impose l’évaluation régulière de l’efficacité des mesures de gestion des risques. Les formations non évaluées sont des formations non conformes. Vous devez prouver que vos employés progressent, pas seulement qu’ils ont assisté à une session.
Qui est concerné
NIS2 couvre 18 secteurs d’activité selon deux catégories, déterminées par la taille et le secteur.
Seuils de taille
| Critère | Seuil d’entrée |
|---|---|
| Effectifs | 50 salariés ou plus |
| Chiffre d’affaires | 10 M€ ou plus |
| Bilan annuel | 10 M€ ou plus |
Un seul critère suffit. Une entreprise de 45 salariés réalisant 12 M€ de CA est dans le périmètre.
Entités essentielles vs entités importantes
Entités essentielles — grandes organisations (250+ salariés ou 50 M€+ de CA) dans les 11 secteurs à haute criticité de l’Annexe I : énergie, transports, banques, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, services TIC managés (MSP/MSSP), administration publique, espace.
Entités importantes — organisations dépassant les seuils de 50 salariés / 10 M€ de CA dans les 18 secteurs couverts, incluant l’Annexe I et les 7 secteurs de l’Annexe II : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (électronique, machines, automobile, dispositifs médicaux), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), et organismes de recherche.
Cas particuliers : certaines entités sont dans le périmètre quelle que soit leur taille — fournisseurs DNS, registres de domaine de premier niveau, fournisseurs de services de confiance qualifiés.
En cas de doute, l’ANSSI propose un portail d’auto-évaluation sur MonEspaceNIS2 et met à jour les critères de désignation au fil de la transposition française.
Le calendrier NIS2
Comprendre les dates vous aide à éviter une mise en conformité dans l’urgence.
14 décembre 2022 — La directive (UE) 2022/2555 est adoptée par le Parlement européen et le Conseil de l’UE. La date de transposition obligatoire pour les États membres est fixée au 17 octobre 2024.
17 octobre 2024 — NIS2 entre en application dans l’ensemble de l’Union européenne. Les États membres devaient avoir transposé la directive dans leur droit national à cette date.
2025 — La France adopte sa loi de transposition nationale. L’ANSSI est confirmée comme autorité compétente. Elle publie ses guides d’accompagnement et ouvre le portail MonEspaceNIS2 pour l’enregistrement des entités concernées. L’approche de l’ANSSI en 2025 : accompagnement prioritaire, sanctions en réserve.
2026 — Les entités concernées doivent être enregistrées auprès de l’ANSSI. Les obligations de notification d’incidents sont pleinement exigibles. Les premiers contrôles formels sont attendus. C’est maintenant que les dossiers se constituent — ou non.
2027 et au-delà — Les sanctions financières sont appliquées sans progressivité. Les audits se systématisent. Les entités qui n’ont pas de documentation de conformité ne peuvent plus improviser.
La mise en conformité sur la sensibilisation prend du temps : définir le programme, déployer l’outil, lancer les premières campagnes, accumuler plusieurs cycles de métriques, former la direction. Compter au minimum 3 à 6 mois pour avoir un dossier présentable à un auditeur.
Sanctions en cas de non-conformité
Les chiffres doivent figurer dans votre analyse décisionnelle.
Plafonds d’amendes
| Catégorie | Amende maximale | Alternative |
|---|---|---|
| Entité essentielle | 10 000 000 € | 2 % du CA mondial annuel (le plus élevé s’applique) |
| Entité importante | 7 000 000 € | 1,4 % du CA mondial annuel (le plus élevé s’applique) |
Pour une PME de 20 M€ de CA classée entité importante, l’exposition maximale est de 280 000 €. Pour une entité essentielle du même CA : 10 millions d’euros. Le programme de sensibilisation le plus complet coûte une fraction de ces montants.
Responsabilité personnelle des dirigeants
C’est la nouveauté que beaucoup de dirigeants de PME découvrent trop tard. L’article 20 de NIS2 permet aux États membres d’engager la responsabilité personnelle des membres des organes de direction qui n’ont pas :
- approuvé les mesures de gestion des risques cybersécurité ;
- supervisé leur mise en œuvre ;
- suivi eux-mêmes la formation cybersécurité requise.
Pour les entités essentielles en cas de manquement grave et persistant, la directive prévoit la possibilité de suspension temporaire des fonctions de direction. Ce n’est pas une sanction symbolique.
Autres pouvoirs de l’ANSSI
Au-delà des amendes, l’ANSSI peut émettre des injonctions de mise en conformité sous astreinte, publier les décisions de sanction (le « name and shame » cause souvent un préjudice réputationnel supérieur à l’amende elle-même), et ordonner la suspension d’activité dans les situations extrêmes pour les entités essentielles.
Comment nophi.sh vous aide à être conforme NIS2
nophi.sh ne couvre pas l’intégralité des 10 obligations de l’article 21. Ce que nophi.sh couvre, c’est le bloc des obligations liées au facteur humain — celles que NIS2 pose en priorité et que les auditeurs examinent en premier, parce qu’elles sont mesurables.
Voici la correspondance directe entre nos fonctionnalités et les articles de la directive.
Checklist de conformité NIS2 avec nophi.sh
| Obligation NIS2 | Article | Ce que nophi.sh apporte |
|---|---|---|
| Formation des dirigeants | Art. 20§2 | Module de formation disponible pour la direction, avec attestation de complétion exportable |
| Formation continue des employés | Art. 20§2 | Parcours de micro-learning automatisés, déclenchés après chaque simulation ou à intervalle planifié |
| Hygiène informatique | Art. 21§2g | Scénarios couvrant reconnaissance du phishing, gestion des mots de passe, signalement — les bonnes pratiques de base |
| Évaluation de l’efficacité | Art. 21§2f | Métriques de campagne (taux de clic, taux de signalement, temps de réaction) tracées dans le temps, visualisées par département |
| Gestion des incidents humains | Art. 21§2b | Bouton de signalement pour les employés, verdict IA en 30 secondes sur les emails transférés |
| Documentation pour l’audit | Art. 21 (global) | Rapports de conformité exportables, consolidant toutes les métriques par période |
Simulations de phishing — Article 21§2f et 21§2g
Chaque campagne de simulation nophi.sh reproduit des scénarios réalistes adaptés au contexte français : faux Chronopost, faux Ameli, usurpation d’adresse interne, fraude au virement. Les scénarios couvrent également le smishing, le quishing et le spear phishing ciblé.
Résultat immédiat pour la conformité NIS2 : chaque campagne génère un rapport horodaté avec taux de clic, taux d’ouverture, taux de signalement, et temps de réaction moyen. Ces rapports constituent votre preuve de mise en œuvre de l’article 21§2f. Un auditeur qui voit des campagnes trimestrielles sur 12 mois avec une progression mesurable des indicateurs est en mesure de valider cette obligation.
Formation automatisée — Article 20§2 et 21§2g
La formation post-simulation de nophi.sh se déclenche automatiquement pour chaque employé qui échoue à une campagne. Le module est court (3 à 5 minutes), adapté au vecteur d’attaque utilisé dans la simulation, et accessible depuis mobile comme desktop.
Pour la direction, nophi.sh propose un parcours de formation spécifique conforme à l’exigence de l’article 20§2. Chaque complétion génère une attestation nominative exportable, directement utilisable comme preuve dans votre dossier de conformité.
L’avantage de la formation déclenchée après un échec de simulation : elle intervient au moment précis où la réceptivité de l’employé est maximale. L’ENISA identifie cette approche comme l’une des plus efficaces pour ancrer les bons réflexes durablement.
Vérification email par IA — Article 21§2g et 21§2b
L’assistant de vérification email de nophi.sh permet à vos collaborateurs de transférer un email suspect et d’obtenir un verdict en moins de 30 secondes : phishing, spear phishing, BEC (fraude au président), ou email légitime. Ce verdict est accompagné d’une explication pédagogique.
Pour NIS2, ce mécanisme remplit deux fonctions : il renforce l’hygiène informatique quotidienne (article 21§2g) en aidant les employés à développer un réflexe de vérification, et il contribue à la gestion des incidents (article 21§2b) en fournissant une première ligne de triage avant qu’un email malveillant ne cause des dommages.
Rapports et tableau de bord — Gouvernance (Article 20)
Le tableau de bord nophi.sh offre une vue temps réel par département : qui a participé aux campagnes, qui a cliqué, qui a signalé, qui a complété la formation. Ces données permettent à la direction d’exercer la supervision exigée par l’article 20 sans s’impliquer dans la gestion opérationnelle quotidienne.
Vous pouvez générer à tout moment un rapport de conformité consolidé couvrant une période définie, exportable en PDF pour votre dossier d’audit.
Preuves et documentation pour l’audit ANSSI
L’ANSSI n’audite pas vos bonnes intentions. Elle audite votre documentation. Voici ce qu’un contrôleur examinera sur la thématique sensibilisation.
Ce que l’auditeur va demander
Preuves de formation des dirigeants — attestations nominatives de complétion des modules, avec dates. Une formation dont il n’existe aucune trace n’a pas eu lieu du point de vue réglementaire.
Historique des campagnes de simulation — liste des campagnes réalisées sur les 12 à 24 derniers mois, dates, périmètre (quels départements), résultats clés. L’absence de campagnes régulières est un signal d’alerte immédiat pour l’auditeur.
Métriques détaillées — taux de clic par campagne, taux de signalement, évolution dans le temps. Un taux de clic de 30 % en début de programme et de 8 % un an plus tard démontre l’efficacité des mesures : c’est exactement ce que l’article 21§2f exige.
Taux de complétion de la formation — par département, idéalement avec distinction des employés les plus exposés (comptabilité, direction, RH). L’ANSSI s’intéresse particulièrement aux populations à haut risque.
Politique de sensibilisation formalisée — un document court, validé par la direction, décrivant le programme : fréquence des campagnes, cibles, processus de formation post-échec, indicateurs de pilotage.
Ce que nophi.sh génère automatiquement
nophi.sh produit chacun de ces éléments sans travail manuel de votre part :
- Rapports de campagne exportables (PDF / CSV) avec l’ensemble des métriques horodatées
- Attestations de formation nominatives pour les dirigeants et les employés, avec date et durée de complétion
- Rapport de progression par département sur une période configurable, montrant l’évolution des indicateurs
- Export de conformité consolidant toutes les données sur la période de votre choix, formaté pour un usage en audit
En cas de contrôle ANSSI, vous produisez votre dossier en quelques clics plutôt qu’en quelques semaines de reconstruction manuelle.
Ce que nophi.sh ne couvre pas
Soyons précis. La conformité NIS2 globale dépasse le seul volet sensibilisation. nophi.sh ne remplace pas :
- l’analyse de risques (article 21§2a) ;
- le plan de continuité d’activité et les sauvegardes (article 21§2c) ;
- la gestion de la chaîne d’approvisionnement (article 21§2d) ;
- le déploiement de la MFA (article 21§2j).
Pour ces obligations, votre plan d’action est dans notre guide NIS2 complet. nophi.sh se concentre sur ce qu’il fait le mieux : automatiser la conformité sur la composante humaine, la plus difficile à documenter et la plus exposée aux contrôles.
FAQ
Les questions fréquentes sont répondues dans la section ci-dessous, rendue par le template de page.
Questions fréquentes
La formation cybersécurité est-elle vraiment obligatoire sous NIS2 ?
Oui, et doublement. L'article 20§2 impose que les membres des organes de direction suivent une formation cybersécurité. L'article 21§2g rend obligatoires les pratiques d'hygiène informatique et la formation à la cybersécurité pour l'ensemble des employés. Ce n'est pas une recommandation — c'est une obligation légale, dont le respect doit être prouvé par la documentation.
Une simulation de phishing annuelle suffit-elle pour NIS2 ?
Non. NIS2 exige des mesures 'appropriées et proportionnées' et une évaluation régulière de leur efficacité (article 21§2f). Une simulation annuelle ne démontre pas une démarche continue. Les auditeurs ANSSI attendent des campagnes régulières (mensuelles ou trimestrielles) avec des métriques traçables dans le temps : taux de clic, taux de signalement, progression par département.
Quels documents faut-il produire pour prouver la conformité NIS2 sur la sensibilisation ?
Vous devez être en mesure de présenter : les rapports de campagnes de simulation (dates, taux de clic, taux de signalement), les preuves de complétion des modules de formation par employé, les indicateurs d'évolution dans le temps, et la validation par la direction de votre politique de sensibilisation. nophi.sh génère ces rapports automatiquement.
Les dirigeants sont-ils personnellement responsables en cas de non-conformité NIS2 ?
Oui. L'article 20 de la directive NIS2 prévoit que les États membres peuvent tenir les membres des organes de direction personnellement responsables s'ils n'ont pas approuvé les mesures de gestion des risques cybersécurité et supervisé leur mise en œuvre. NIS2 prévoit aussi la possibilité d'une suspension temporaire des fonctions de direction pour les entités essentielles en cas de manquement grave.
NIS2 s'applique-t-elle aux sous-traitants des entités concernées ?
Pas directement, mais l'article 21§2d oblige les entités régulées à sécuriser leur chaîne d'approvisionnement. Concrètement, vos clients soumis à NIS2 vous imposeront des exigences de sécurité contractuelles — y compris des preuves de sensibilisation de vos équipes. C'est ce qu'on appelle l'effet cascade : des centaines de milliers de PME françaises hors périmètre direct sont indirectement concernées.
Quelles sont les sanctions NIS2 pour une PME de taille moyenne ?
Pour une entité importante (50-249 employés dans un secteur couvert), l'amende peut atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel. Pour une entité essentielle, jusqu'à 10 millions d'euros ou 2 % du CA. Pour une PME réalisant 20 M€ de CA classée entité importante, l'exposition maximale est de 280 000 €. À comparer au coût d'un programme de sensibilisation.
Quand les premiers contrôles ANSSI sont-ils attendus ?
La directive est en application depuis octobre 2024 et la transposition française a été adoptée en 2025. L'ANSSI a adopté une approche d'accompagnement dans un premier temps. Les premiers contrôles formels sont attendus courant 2026. Attendre les contrôles pour agir revient à préparer votre dossier sous pression — et une mise en conformité dans l'urgence laisse des lacunes visibles.