Conformite cyber en Europe : NIS2, DORA, AI Act
Le paysage reglementaire europeen en 2026
L’Union europeenne a deploye un arsenal reglementaire sans precedent pour la cybersecurite. Trois textes majeurs convergent en 2026, creant des obligations croisees pour la plupart des organisations.
Cette vague reglementaire est une reponse directe a l’augmentation des cyberattaques contre les infrastructures critiques, les services financiers et les organismes publics. Les incidents ransomware paralysant des hopitaux, les attaques etatiques contre des systemes energetiques, et les violations de donnees massives ont convaincu les legislateurs europeens qu’une reglementation contraignante etait necessaire.
L’approche europeenne est differente de l’approche americaine : plutot que de laisser chaque secteur s’autoguider, l’UE impose des exigences minimales contraignantes avec des sanctions significatives. L’objectif est d’elever le niveau de securite de l’ensemble de l’ecosysteme numerique europeen, pas seulement des acteurs les plus avances.
Les 3 piliers de la conformite cyber europeenne
NIS2 (Network and Information Systems Directive 2)
- Echeance : transposition nationale avant octobre 2026
- Perimetre : 18 secteurs, entites essentielles et importantes
- Sanctions : 10 M EUR ou 2 % du CA mondial
- Nouveaute vs NIS1 : perimetre elargi (PME incluses), responsabilite des dirigeants, exigences de supply chain
DORA (Digital Operational Resilience Act)
- En vigueur : depuis janvier 2025
- Perimetre : secteur financier exclusivement (banques, assurances, fintechs, prestataires TIC)
- Specificite : Register of Information (RoI) obligatoire, tests de penetration TLPT
- Surveillance des tiers : les prestataires TIC critiques sont directement supervises par les autorites
EU AI Act
- Application complete : aout 2026
- Perimetre : tout systeme IA a haut risque utilise ou commercialise dans l’UE
- Sanctions : 35 M EUR ou 7 % du CA mondial pour les violations les plus graves
- Specificite : interdiction de certains usages IA, conformite obligatoire pour les systemes a haut risque
Le RGPD : socle permanent
Ne pas oublier le RGPD, qui constitue le socle sur lequel les nouveaux textes s’appuient. En 2026, le RGPD continue d’etre activement applique :
- Sanctions cumulees depuis 2018 : plus de 4 milliards d’euros
- Tendance 2025-2026 : amendes plus importantes, ciblage des infractions repetees
- Lien avec NIS2 : une breche declaree sous NIS2 implique souvent une notification RGPD parallele
Convergences et synergies
Ces trois reglements partagent des exigences communes : gestion des risques, signalement d’incidents, documentation technique, responsabilite de la direction, et securite de la supply chain. Une approche unifiee permet de se conformer aux trois cadres simultanement.
Matrice de convergence :
| Exigence | RGPD | NIS2 | DORA | AI Act |
|---|---|---|---|---|
| Gestion des risques | Partielle | Oui | Oui | Oui |
| Notification d’incidents | 72h CNIL | 24h/72h/1 mois | 4h/24h/1 mois | Selon risque |
| Documentation technique | DPA | Politique SSI | ICT Risk Framework | Technical documentation |
| Responsabilite direction | Non | Oui | Oui | Oui |
| Supply chain | Sous-traitants | Fournisseurs | Tiers TIC | Chaine de valeur IA |
Responsabilite des dirigeants : une nouveaute majeure
NIS2 et DORA introduisent une responsabilite personnelle des dirigeants pour la conformite. Les membres de la direction doivent :
- Approuver les mesures de gestion des risques cyber
- Superviser leur mise en oeuvre
- Suivre une formation en cybersecurite
- Pouvoir etre tenus responsables personnellement en cas de manquement grave
Cette evolution transforme la cybersecurite d’une question purement technique a une responsabilite de gouvernance. Les RSSI (Responsables de la Securite des Systemes d’Information) ont desormais un levier pour obtenir les ressources necessaires, mais aussi une obligation de reporting clair vers la direction.
Calendrier et priorites
Priorite immediate (organisation dans le perimetre NIS2) :
- Determiner si vous etes entite essentielle ou importante (auto-evaluation sur les criteres sectoriels et de taille)
- Completer l’enregistrement aupres de l’ANSSI (obligatoire pour les entites essentielles)
- Realiser un gap analysis par rapport aux 10 exigences NIS2
- Definir un plan de remediation avec budget et responsables
Priorite immediate (organisation dans le perimetre DORA) :
- Finaliser le Register of Information (RoI) des contrats TIC
- Classifier les prestataires TIC par criticite
- Mettre en conformite les contrats avec les prestataires critiques
- Planifier les TLPT (Threat-Led Penetration Testing)
Dans ce guide
- NIS2 en detail : qui est concerne, quoi faire, quand
- Notification de breche : procedures RGPD et NIS2