Pourquoi cette formation est obligatoire légalement
Conditions d’achèvement
Consulter
⚠️ Pourquoi cette formation est obligatoire et non facultative
La loi DORA (art. 5), la directive NIS2 (art. 20) et la loi européenne sur l'IA exigent explicitement que l'organe de direction reçoive une formation en cybersécurité. Il ne s'agit pas d'une recommandation, mais d'une obligation légale .
Le défaut de documentation de la formation du conseil d'administration constitue en soi une violation réglementaire, indépendamment du fait qu'une infraction ait eu lieu ou non.
L’achèvement de ce cours génère un certificat horodaté et vérifiable, ainsi qu’un dossier de formation pouvant être soumis aux organismes de réglementation, aux auditeurs, aux assureurs et aux tribunaux.
Ce que signifie « formation » en pratique
- La formation doit être documentée — l’organisation doit pouvoir démontrer par écrit que chaque membre du conseil d’administration et chaque cadre dirigeant a suivi un programme de formation reconnu en cybersécurité.
- La formation doit être à jour ; les organismes de réglementation exigent une mise à jour régulière des connaissances. Une formation annuelle est le minimum requis.
- La formation doit être adéquate : une vidéo de sensibilisation de 30 minutes ne suffit pas aux membres du conseil d’administration. Un programme de fond couvrant les obligations de gouvernance, le contexte des menaces et les exigences réglementaires, comme celui-ci, est indispensable.
- Les dossiers de formation constituent une preuve — dans le cadre d'une enquête de contrôle, l'autorité de réglementation demandera les dossiers de formation afin d'évaluer si l'organe de direction remplissait ses obligations.
⚖️ Alerte juridique
Conformément à l'article 5(4) de la DORA, l'organe de direction doit acquérir les connaissances et compétences suffisantes pour comprendre et évaluer les risques liés aux TIC et leur impact sur les activités de l'établissement. Conformément à l'article 20(2) de la NIS2, les membres de l'organe de direction sont tenus de suivre une formation en cybersécurité. Le non-respect de cette obligation est passible de sanctions.
Conformément à l'article 5(4) de la DORA, l'organe de direction doit acquérir les connaissances et compétences suffisantes pour comprendre et évaluer les risques liés aux TIC et leur impact sur les activités de l'établissement. Conformément à l'article 20(2) de la NIS2, les membres de l'organe de direction sont tenus de suivre une formation en cybersécurité. Le non-respect de cette obligation est passible de sanctions.
Modifié le: mardi 24 mars 2026, 14:37