Plan de Formation Dirigeants NIS 2 : COMEX/CODIR [Word]

Le plan de formation dirigeants NIS 2 pour COMEX et CODIR répond à une obligation légale nouvelle et souvent sous-estimée : l'article 20 de la directive NIS 2 (UE 2022/2555) impose que les membres des organes de direction des entités essentielles et importantes suivent une formation à la cybersécurité permettant d'identifier les risques et d'évaluer les pratiques de gestion du risque cyber. Cette obligation va bien au-delà de la simple sensibilisation : elle vise à doter les dirigeants d'une culture cyber suffisante pour exercer leur rôle de supervision des mesures NIS 2, approuver les politiques de sécurité, arbitrer les budgets cyber, et engager leur responsabilité personnelle en connaissance de cause. Le Référentiel Cyber France (ReCyF ANSSI, mars 2026) précise les exigences minimales de formation dans sa mesure 3 (Formation et sensibilisation) : programme annuel documenté, suivi de présence, évaluation des acquis, et traçabilité permettant de démontrer la réalisation effective des formations lors d'un audit ANSSI. Ce template Word, développé par des formateurs experts en cybersécurité et en gouvernance d'entreprise, fournit l'intégralité du programme de formation dirigeants NIS 2 : module COMEX de 3 heures, module CODIR de 2 heures, exercice de simulation de crise cyber, grilles d'évaluation des acquis, modèle d'attestation de participation, et tableau de suivi de la formation. Il s'adresse aux RSSI, responsables de la formation, et secrétariats généraux chargés de déployer la formation NIS 2 auprès des instances de gouvernance.

L'obligation légale de formation des dirigeants dans NIS 2 : article 20 et ReCyF

L'article 20 de la directive NIS 2 introduit une obligation de formation des dirigeants sans précédent dans le droit cyber européen. Son texte exact mérite d'être lu attentivement : "Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par ces entités [...] et suivent une formation spécifique, et encouragent régulièrement les membres à suivre une formation similaire, afin qu'ils acquièrent des connaissances et des compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité et leur incidence sur les services fournis par l'entité."

Cette formulation est importante : elle ne vise pas une sensibilisation générale de type "awarness", mais une formation permettant d'identifier les risques et d'évaluer les pratiques de gestion du risque. C'est une exigence de compétence, pas de simple bonne volonté.

Le ReCyF ANSSI précise dans sa mesure 3 les exigences minimales pour cette formation :

• Durée minimale de 3 heures par an pour les membres du COMEX ou du Conseil d'administration
• Contenu couvrant : risques cyber pour l'organisation, obligations NIS 2 et responsabilité des dirigeants, indicateurs de pilotage cyber, scénarios d'incident cyber et décisions de crise
• Traçabilité : émargements, attestations de participation, et évaluation des acquis
• Conservation des documents de traçabilité pendant 3 ans minimum

L'absence de traçabilité de la formation dirigeants est un manquement spécifique, distinct de l'absence de formation elle-même. Même si vos dirigeants ont participé à des formations, si vous ne pouvez pas le prouver documentairement lors d'un audit ANSSI, l'obligation n'est pas considérée comme satisfaite.

Ce que les dirigeants doivent apprendre : le contenu obligatoire de la formation NIS 2

Le programme de formation dirigeants NIS 2 doit couvrir cinq domaines de compétences définis par le ReCyF ANSSI. Notre template Word fournit les supports de présentation, les exercices, et les évaluations pour chacun de ces domaines.

Le module COMEX / Conseil d'administration : 3 heures de sensibilisation stratégique

Le module destiné au COMEX (Comité Exécutif) ou au Conseil d'administration est le cœur du plan de formation dirigeants NIS 2. Il est conçu pour un public non technique de haut niveau, qui doit comprendre les enjeux cyber sans nécessairement maîtriser les détails techniques.

Notre template inclut les supports complets de cette session de 3 heures :

1. Ouverture et contexte (10 min) : présentation des enjeux NIS 2 pour l'organisation, rappel des sanctions applicables, présentation du RSSI et de son rôle.
2. Panorama des cybermenaces (45 min) : présentation des principales menaces cyber affectant le secteur de l'organisation, exemples d'incidents réels ayant touché des entreprises comparables (avec impact financier et réputationnel), focus sur les vecteurs d'entrée les plus courants (phishing, compromission de fournisseurs, vulnérabilités non corrigées).
3. Obligations NIS 2 et responsabilité des dirigeants (45 min) : présentation de l'article 20 (formation obligatoire des dirigeants), de l'article 32 (sanctions individuelles), du périmètre NIS 2 de l'organisation, et des 10 mesures de l'article 21. Questions-réponses sur les implications individuelles pour chaque membre du COMEX.
4. Tableau de bord cyber et pilotage (30 min) : présentation du tableau de bord conformité NIS 2 de l'organisation, explication des KPI principaux, présentation du plan de mise en conformité en cours et des jalons suivants.
5. Exercice de crise (30 min) : simulation courte d'un scénario d'incident cyber (type rançongiciel) avec focus sur les décisions de gouvernance : quand activer la cellule de crise ? Faut-il notifier l'ANSSI ? Faut-il communiquer publiquement ? Quel est le rôle de chaque dirigeant ?
6. Évaluation des acquis (10 min) : questionnaire court (10 questions) permettant de mesurer la compréhension des obligations NIS 2 et des risques cyber. Les résultats sont consignés dans le tableau de suivi de formation.
7. Validation et signature (10 min) : signature de la feuille de présence et de l'attestation de participation par chaque membre du COMEX présent.

Le module CODIR : 2 heures pour les directeurs fonctionnels

Les directeurs fonctionnels (DAF, DRH, Directeur commercial, Directeur des opérations, etc.) jouent un rôle spécifique dans la conformité NIS 2 qui justifie un module de formation distinct du module COMEX stratégique.

Le module CODIR de 2 heures se concentre sur les implications opérationnelles de NIS 2 dans chaque fonction :

• DAF : budget cybersécurité, impact financier des incidents, reporting NIS 2 dans les comptes, provisions pour risque cyber.
• DRH : formation obligatoire des salariés (article 20 NIS 2), clauses cyber dans les contrats de travail, gestion RH d'un incident cyber (astreintes, cellule de crise), sanctions en cas de négligence d'un salarié ayant causé un incident.
• Directeur commercial / Direction des partenariats : clauses contractuelles NIS 2 avec les clients EE/EI, obligations de notification si un incident affecte des clients, impact commercial de la non-conformité (perte de marchés dans les secteurs réglementés).
• Directeur des opérations / Production : continuité d'activité, sécurité des systèmes OT/SCADA si applicable, gestion des sous-traitants critiques dans la chaîne de production.
• Directeur juridique / Compliance : articulation NIS 2 / RGPD, responsabilité contractuelle en cas d'incident, gestion des contentieux liés à la cybersécurité.

L'exercice de simulation de crise cyber : indispensable pour les dirigeants

L'exercice de simulation de crise cyber est l'élément le plus impactant de la formation dirigeants NIS 2, et celui que le ReCyF ANSSI recommande en priorité. Il permet aux dirigeants de vivre une crise cyber "en sécurité", avant qu'elle ne survienne pour de vrai, et d'identifier leurs lacunes dans la prise de décision sous pression.

Notre template inclut un scénario complet d'exercice de crise, utilisable en 30 minutes (version courte pour formation COMEX) ou 2 heures (version complète pour exercice annuel). Le scénario type "rançongiciel industriel" est particulièrement recommandé car il est représentatif des incidents les plus courants en France et génère les décisions de gouvernance les plus nombreuses :

• Détection de l'attaque à J+0 à 3h00 du matin (astreinte RSSI)
• Activation de la cellule de crise à 5h00 : qui appelle qui ? Qui prend les décisions ?
• Évaluation de l'impact : systèmes de production arrêtés, données potentiellement exfiltrées
• Décision sur la notification ANSSI : est-ce un incident significatif ? Qui notifie ? Dans quel délai ?
• Décision sur la communication externe : clients, fournisseurs, médias, régulateurs sectoriels
• Arbitrage sur la rançon : payer ou ne pas payer ? (Recommandation ANSSI : ne pas payer)
• Gestion des sous-traitants impactés et notification à la CNIL si des données personnelles sont affectées

Cet exercice complète naturellement la procédure de notification d'incidents ANSSI et le plan de reprise d'activité : la formation permet de s'assurer que les dirigeants savent comment utiliser ces outils en situation de crise.

La traçabilité documentaire : ce que l'ANSSI vérifiera lors d'un audit

La traçabilité de la formation dirigeants NIS 2 est aussi importante que la formation elle-même aux yeux de l'ANSSI. Voici les documents que vous devez constituer et conserver pour démontrer la réalisation effective de la formation.

• Programme de formation : document décrivant le contenu, la durée, et les objectifs pédagogiques de chaque session de formation. Ce document doit être daté et validé par le RSSI ou le responsable de formation.
• Feuilles de présence : liste des participants avec nom, prénom, fonction, et signature. Pour les formations à distance (visioconférence), un export de la liste des participants connectés peut remplacer la feuille de présence.
• Attestations de participation : attestation individuelle par participant, cosignée par le RSSI et le responsable RH ou le secrétariat général. Notre template inclut un modèle d'attestation prêt à l'emploi.
• Résultats de l'évaluation des acquis : résultats du questionnaire post-formation pour chaque participant, avec le score obtenu. Ces données doivent être conservées de manière confidentielle (les dirigeants doivent pouvoir se former sans crainte de divulgation de leurs résultats).
• Rapport de l'exercice de crise : compte-rendu de l'exercice de simulation, avec les points forts et les axes d'amélioration identifiés, et le plan d'action issu de l'exercice.

Notre template inclut un tableau de suivi de la formation NIS 2 permettant de centraliser tous ces éléments et de générer automatiquement les statistiques requises pour le tableau de bord de conformité NIS 2 (KPI "% dirigeants formés NIS 2").

Comment intégrer la formation NIS 2 dans votre plan de formation annuel

Pour les entités soumises à des obligations de plan de développement des compétences (grandes entreprises, ETI), la formation NIS 2 des dirigeants doit être intégrée dans le plan de formation annuel soumis au CSE (Comité Social et Économique). Cela présente plusieurs avantages :

• La prise en charge par les OPCO (Opérateurs de Compétences) est possible si la formation est réalisée par un organisme de formation certifié Qualiopi.
• L'intégration dans le plan de formation garantit que la direction générale valide et finance la démarche au même titre que les autres formations stratégiques.
• La traçabilité dans le SIRH (Système d'Information RH) est automatique, facilitant la démonstration de conformité lors d'un audit ANSSI.

Notre template inclut une fiche descriptive de la formation NIS 2 dirigeants au format compatible avec les OPCO, facilitant les démarches de prise en charge. Pour la formation de l'ensemble des salariés (obligation distincte de la formation dirigeants), consultez notre guide sur la formation et sensibilisation cybersécurité des salariés.

Les erreurs les plus fréquentes dans la formation NIS 2 des dirigeants

• Confondre sensibilisation de masse et formation dirigeants : envoyer les dirigeants participer à la même campagne de phishing simulé que les salariés ne satisfait pas l'obligation de l'article 20. La formation dirigeants doit couvrir des compétences de gouvernance spécifiques, pas seulement l'hygiène numérique individuelle.
• Ne pas impliquer les dirigeants "non-cyber" : le DAF, le DRH, et le Directeur commercial sont aussi concernés par l'article 20 que le DSI. Tous les membres de l'organe de direction doivent être formés, pas seulement ceux en charge du numérique.
• Former une fois et considérer l'obligation satisfaite pour toujours : l'article 20 impose une formation régulière, pas un événement unique. Le ReCyF recommande une session annuelle au minimum, plus une mise à jour lors de changements réglementaires significatifs (publication d'un nouveau ReCyF, incidents sectoriels majeurs).
• Négliger la traçabilité : une formation sans feuille de présence et sans attestation est indémontrable lors d'un audit. La traçabilité documentaire n'est pas optionnelle.
• Externaliser la formation sans vérifier l'alignement avec le ReCyF : tous les prestataires de formation cybersécurité ne sont pas nécessairement à jour sur les exigences du ReCyF ANSSI 2026. Vérifiez que le programme proposé couvre bien les cinq domaines de compétences exigés.

FAQ — Plan de formation dirigeants NIS 2 COMEX/CODIR

Les membres du Conseil d'administration non-exécutifs sont-ils aussi obligés de se former à NIS 2 ?

Oui. L'article 20 de la directive vise les membres des "organes de direction" sans distinguer entre membres exécutifs et non-exécutifs. Le Conseil d'administration, dans son ensemble, est concerné. Cette disposition peut s'avérer particulièrement complexe pour les entités dont le Conseil d'administration comprend des représentants d'actionnaires institutionnels ou des administrateurs indépendants qui ne sont pas impliqués dans le quotidien de l'entreprise. Des formats de formation adaptés (session de sensibilisation accélérée de 2 heures, support de lecture autonome avec questionnaire de validation) sont disponibles dans notre template pour ces profils spécifiques.

Un dirigeant qui a déjà suivi une formation ISO 27001 est-il dispensé de la formation NIS 2 ?

Non. Une formation ISO 27001 (Lead Implementer ou Lead Auditor) répond à des objectifs différents de la formation NIS 2 dirigeants. Elle est généralement plus technique, plus longue, et destinée aux professionnels de la sécurité. La formation NIS 2 dirigeants vise à développer des compétences de gouvernance spécifiques à la directive, notamment sur les obligations de l'article 20 (responsabilité personnelle) et de l'article 32 (sanctions individuelles), ainsi que sur le ReCyF ANSSI 2026 qui est le référentiel français spécifique. Un dirigeant certifié ISO 27001 bénéficiera d'un socle de connaissance solide, mais devra compléter sa formation avec les éléments spécifiques NIS 2 / ReCyF.

Peut-on réaliser la formation NIS 2 des dirigeants en interne (RSSI comme formateur) ou faut-il un organisme externe ?

La formation dirigeants NIS 2 peut être réalisée en interne par le RSSI de l'organisation ou par tout expert interne compétent sur le sujet. Le ReCyF ANSSI n'impose pas de recourir à un organisme de formation externe. Notre template est précisément conçu pour permettre au RSSI d'animer lui-même la session de formation, avec les supports de présentation, les exercices, et les grilles d'évaluation clés en main. Cependant, l'intervention d'un formateur externe certifié peut présenter des avantages : légitimité accrue auprès des dirigeants, prise en charge OPCO possible si l'organisme est certifié Qualiopi, et regard externe permettant de benchmarker le niveau de maturité de l'organisation.

Comment mesurer l'efficacité de la formation NIS 2 des dirigeants ?

Le ReCyF ANSSI recommande une évaluation des acquis post-formation pour vérifier que les objectifs pédagogiques ont été atteints. Notre template inclut un questionnaire de 10 questions couvrant les cinq domaines de compétences de la formation. Les résultats doivent être consignés dans le tableau de suivi. Au-delà de l'évaluation formelle, l'efficacité de la formation se mesure dans la durée à travers les comportements des dirigeants : qualité des questions posées lors des présentations du tableau de bord KPI NIS 2, pertinence des décisions prises lors des exercices de crise, et niveau d'implication dans les arbitrages budgétaires cyber. Ces indicateurs qualitatifs peuvent être intégrés dans le reporting RSSI au COMEX.

Quel budget prévoir pour la formation NIS 2 des dirigeants ?

Le coût de la formation NIS 2 des dirigeants varie selon le mode de réalisation. En interne avec notre template et le RSSI comme formateur : coût quasi nul (quelques heures de préparation du RSSI, impression des supports). Avec un prestataire de formation externe certifié Qualiopi : de 2 000 € à 8 000 € pour une session COMEX de 3 heures, selon le prestataire et le niveau de personnalisation. Avec un cabinet spécialisé NIS 2 (comme Ayi NEDJIMI Consultants) incluant la personnalisation du contenu au contexte de l'organisation, l'exercice de crise sur mesure, et le dossier documentaire de traçabilité complet : de 5 000 € à 15 000 € pour le programme annuel complet (COMEX + CODIR + exercice de crise). La prise en charge OPCO peut couvrir tout ou partie de ces coûts pour les formations réalisées par des organismes certifiés Qualiopi.

Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.

Conclusion — La formation des dirigeants, acte fondateur de la gouvernance NIS 2

La formation des dirigeants NIS 2 n'est pas une contrainte administrative supplémentaire : c'est l'acte fondateur qui permet aux organes de direction d'exercer effectivement leur rôle de supervision de la cybersécurité, tel que l'impose l'article 20 de la directive. Des dirigeants formés prennent de meilleures décisions en matière de budget cyber, d'arbitrage des risques, et de gestion de crise. Ils sont moins susceptibles de commettre les erreurs de gouvernance qui peuvent conduire aux sanctions individuelles de l'article 32. Complétez ce plan de formation avec la politique de gouvernance NIS 2, le tableau de bord KPI NIS 2 pour le reporting COMEX, et notre guide complet NIS 2 pour les entreprises.