La directive NIS2 introduit une nouvelle classification des acteurs concernés par les obligations de cybersécurité. 

Elle distingue désormais deux catégories d’organisations : les entités essentielles et les entités importantes. Les premières regroupent les organisations publiques ou privées exerçant une activité hautement critique et comptant plus de 250 salariés ou réalisant un chiffre d’affaires annuel supérieur à 50 millions d’euros. Les secondes concernent les structures de taille intermédiaire (50 à 250 salariés, 10 à 50 millions d’euros de CA annuel) dont l’interruption pourrait néanmoins affecter le fonctionnement de la société.

NIS2 étend également le nombre de secteurs concernés. Alors que la directive NIS1 régissait 7 secteurs, ce sont désormais 18 secteurs qui sont concernés par NIS2. Parmi les nouveaux secteurs d’activité se trouvent :

En France, ce sont entre 10 000 et 15 000 entreprises et organisations supplémentaires qui seront concernées par NIS2. Parmi elles se trouvent des prestataires informatiques, fournisseurs de cloud, éditeurs SaaS, opérateurs d’infrastructures et intégrateurs. 

Même certaines PME, qui dépassent les seuils fixés, vont devoir se mettre en conformité. 

De plus, l’enjeu n’est plus uniquement de protéger son propre périmètre, mais d’assurer la sécurité informatique de toute la chaîne numérique. 

Le projet de loi sur la résilience des infrastructures critiques et la cybersécurité – qui inclut les directives NIS2 et REC (résilience des entités critiques), ainsi que le règlement DORA – a été présenté en Conseil des ministres en octobre 2024, adopté par le Sénat en mars 2025, puis examiné en commission spéciale à l’Assemblée nationale en septembre 2025. Bien que la procédure ait été accélérée, l’examen en séance publique à l’Assemblée, initialement prévu pour octobre 2025, pourrait être reporté à fin 2025, voire début 2026.

L’ANSSI est l’autorité de contrôle française pour NIS2. Elle supervise la conformité, réalise des audits, reçoit les déclarations d’incidents et peut sanctionner jusqu’à 10 M€ ou 2% du CA mondial pour les entités essentielles (7 M€ ou 1,4% pour les entités importantes).

La conformité NIS2 exige une approche globale : identification des actifs, plans de réponse aux incidents, audits réguliers, formation des équipes et implication de la direction. Il s’agit d’une démarche continue de gouvernance du risque intégrée à la stratégie de l’entreprise, et non d’un simple exercice ponctuel.

Le Cyber Resilience Act (CRA) vise tous les produits qui intègrent du code ou des composants connectés : logiciels, équipements, objets connectés, voire systèmes industriels. 

L’idée est simple : plus aucun produit numérique ne doit être mis sur le marché européen sans garantie de sécurité minimale. Seuls certains domaines déjà régulés (santé, défense, aéronautique, etc.) échappent au dispositif. 

Le texte introduit la notion de « sécurité dès la conception » et de « sécurité tout au long du cycle de vie ». Chaque produit devra ainsi être conçu pour limiter les failles et permettre des mises à jour rapides en cas de besoin. Les fabricants seront tenus de notifier toute vulnérabilité majeure aux autorités nationales compétentes dans un délai de 24 heures. 

En France, ces notifications devraient être adressées à l’ANSSI, désignée comme autorité compétente pour centraliser, évaluer et transmettre les signalements de vulnérabilités au niveau européen, selon des modalités qui seront précisées par décret courant 2026.

Le Cyber Resilience Act renforce le marquage CE existant en intégrant des critères de cybersécurité aux exigences de sécurité et de conformité déjà prévues. Cela implique la production d’une documentation technique complète et d’une déclaration officielle de conformité. Les fabricants seront également tenus de garantir la disponibilité des correctifs pendant toute la durée de vie du produit. Cette évolution modifie en profondeur les pratiques industrielles : elle introduit une obligation de suivi long terme, qui s’étend au-delà de la simple vente. 

Le CRA est entré en vigueur en janvier 2025. Les principales obligations deviendront applicables à partir du mois de janvier 2027. Cela laisse une période de préparation active entre 2025 et 2026 pour que les entreprises concernées amorcent leur mise en conformité. 

Un audit des gammes existantes, la révision des processus de développement et la mise à jour des plans de maintenance seront nécessaires pour éviter tout manquement à la conformité réglementaire.

Le Digital Operational Resilience Act (DORA) crée un cadre commun pour la gestion des risques numériques dans le secteur financier européen. 

Banques, assurances, fintechs et sociétés de gestion devront démontrer leur capacité à maintenir leurs opérations, même en cas d’incident majeur. 

L’une des principales nouveautés de DORA réside dans la supervision directe des prestataires tiers critiques (CTPP) : grandes plateformes Cloud, infogéreurs et fournisseurs d’infrastructures numériques. 

Cette supervision a été confiée à trois autorités de référence : 

Ces organismes, qui encadrent respectivement les secteurs bancaire, financier et assurantiel, collaborent désormais au sein d’une entité appelée Joint Oversight Forum. 

Ce dispositif vise à réduire les dépendances excessives à quelques fournisseurs mondiaux et à mieux maîtriser les risques de concentration. Les prestataires devront produire des rapports détaillés sur leurs pratiques de sécurité, leurs tests de pénétration, leurs plans de continuité et leurs audits de résilience.

Les établissements financiers doivent par ailleurs instaurer des dispositifs de reporting détaillés sur leurs incidents IT. En cas de perturbation majeure, ils auront 24 heures pour notifier l’événement, en préciser la cause et exposer les mesures correctives. DORA exige également la tenue régulière de tests de continuité et d’exercices de crise. La gouvernance doit être formalisée : le conseil d’administration est directement responsable du suivi et de la validation des stratégies de résilience. Cette obligation crée un lien direct entre les enjeux technologiques et les décisions de pilotage stratégique.

Le règlement européen sur l’intelligence artificielle (AI Act) établit une classification des systèmes d’IA selon quatre niveaux de risque : inacceptable, élevé, limité et minimal. 

Les pratiques à risque inacceptable, comme la notation sociale, la manipulation comportementale ou certaines formes de surveillance biométrique, sont interdites par principe, sauf dérogations strictement encadrées.

Les solutions classées « à haut risque » doivent faire l’objet d’un processus de conformité complet avant leur mise sur le marché. Cela englobe la rédaction d’une documentation technique, la tenue d’un journal (record-keeping) des données d’apprentissage, l’assurance d’une traçabilité et la mise en place d’une supervision humaine. 

Les secteurs concernés incluent notamment la santé, le transport, l’éducation, la sécurité et les ressources humaines. Par ailleurs, ces systèmes devront être enregistrés dans la base de données de l’Union européenne pour les systèmes d’IA à haut risque, afin d’en garantir le suivi et la supervision tout au long de leur cycle de vie.

Les organisations qui déploient des systèmes d’IA dans des contextes à fort impact devront faire preuve d’une vigilance accrue. Les cas d’usage tels que le recrutement automatisé, l’aide au diagnostic médical ou la surveillance algorithmique sont classés comme à haut risque. Ils requièrent une évaluation de conformité avant mise sur le marché, une supervision humaine continue et une documentation technique détaillée. 

L’objectif est de limiter les biais et discriminations, tout en assurant la fiabilité et la traçabilité des résultats. L’AI Act impose ainsi une rigueur proche de celle appliquée aux réglementations européennes sur la sécurité des produits.

L’AI Act est déjà entré dans sa phase de déploiement. Les interdictions visant les systèmes classés risque inacceptable sont effectives depuis février 2025. Les obligations transversales (gouvernance, gestion des données, transparence, documentation technique, supervision humaine et exigences pour les modèles d’IA à usage général) entrent progressivement en application depuis août 2025. 

Les entreprises concernées disposent encore de quelques mois pour préparer la prochaine échéance : août 2026, date à laquelle les exigences complètes pour les systèmes d’IA à haut risque deviendront obligatoires.

Au-delà de leur périmètre propre, ces textes se répondent et s’enrichissent mutuellement :

Cette convergence crée un effet de maillage réglementaire inédit : chaque niveau du numérique (infrastructure, produit, service, algorithme) est désormais couvert par une exigence européenne de conformité et de responsabilité. 

Cette évolution s’accompagne d’un recentrage sur trois piliers stratégiques : le chiffrement, la souveraineté de la donnée et l’approche Zero Trust. 

Le chiffrement, désormais incontournable pour toute conformité réglementaire, garantit la confidentialité des informations critiques tout au long de leur cycle de vie. La gestion souveraine, quant à elle, vise à assurer le contrôle et la localisation des traitements au sein d’infrastructures conformes aux standards européens. Enfin, le modèle Zero Trust devient un cadre opérationnel de référence pour articuler sécurité, conformité et confiance numérique.

Pour les entreprises, cela signifie la fin d’une approche fragmentée de la cybersécurité et de la conformité. La gestion du risque devient totale : elle englobe la conception technique, la chaîne d’approvisionnement, la gouvernance interne et les impacts sociétaux. Les directions générales doivent désormais penser la sécurité et la conformité comme un même continuum, articulé autour de la confiance, de la transparence et de la résilience.