Réglementation de la cybersécurité en Europe : NIS2, DORA, CRA et AI Act en bref

L’UE a adopté plus de réglementations en matière de cybersécurité en trois ans que durant les vingt années précédentes. NIS2, DORA, Cyber Resilience Act et AI Act forment un réseau réglementaire qui concerne pratiquement chaque entreprise numérique en Europe. Voici l’aperçu dont les décideurs ont besoin – sans langage juridique.

L’essentiel

• NIS2 : Obligations de cybersécurité transversales pour 18 secteurs
• DORA : Exigences spécifiques de résilience informatique pour le secteur financier
• CRA : Sécurité des produits pour tous les produits numériques (matériel et logiciel)
• AI Act : Réglementation basée sur les risques des systèmes d’IA – avec des implications en matière de sécurité

NIS2 : La réglementation de base

NIS2 est le fondement : 18 secteurs, environ 30 000+ entreprises en Allemagne. Obligations principales : gestion des risques, réponse aux incidents, sécurité de la chaîne d’approvisionnement, responsabilité des dirigeants. Pour la plupart des entreprises, NIS2 est le premier contact avec des obligations de cybersécurité contraignantes.

Qui est concerné : Les entreprises moyennes et grandes des secteurs de l’énergie, des transports, de la santé, de l’eau, du numérique, de la fabrication, de la chimie, de l’alimentation, de la poste, des déchets, de l’aérospatiale et de l’administration publique. Les entreprises en dessous des seuils peuvent également être concernées via la clause de chaîne d’approvisionnement.

DORA : Le secteur financier sous les projecteurs

DORA s’applique depuis janvier 2025 et vise spécifiquement le secteur financier : banques, assurances, entreprises d’investissement, prestataires de services de paiement et – pour la première fois – leurs fournisseurs de services informatiques et de communication (ICT) critiques. DORA va au-delà de NIS2 : tests de pénétration obligatoires (TLPT), supervision directe des fournisseurs de cloud et obligations détaillées de signalement des incidents.

Pour les entreprises financières : DORA est une loi spéciale par rapport à NIS2 – elle ne remplace pas NIS2, mais l’enrichit d’exigences spécifiques au secteur. Les deux doivent être remplies en parallèle.

Cyber Resilience Act : Sécurité des produits

Le CRA impose aux fabricants de produits numériques – des appareils IoT aux logiciels en passant par les services cloud – la sécurité par conception, la fourniture de SBOM, la gestion des vulnérabilités sur l’ensemble du cycle de vie du produit et l’obligation de signalement des vulnérabilités activement exploitées à partir de 2027.

Le CRA concerne toute entreprise qui vend des logiciels ou des produits numériques dans l’UE. Les logiciels open-source sont exclus, sauf s’ils sont commercialisés. Pour les PME allemandes du secteur logiciel et les fabricants d’appareils IoT, le CRA est la réglementation la plus importante.

AI Act et sécurité

L’AI Act réglemente principalement les risques liés à l’IA (discrimination, manipulation), mais a des implications en matière de sécurité : les systèmes d’IA à haut risque doivent être résilients contre les attaques (IA adverse), les données d’entraînement doivent être protégées contre la manipulation et les systèmes de sécurité basés sur l’IA (détection d’anomalies, détection de fraude) relèvent des obligations de transparence.

Pour les équipes de sécurité : les outils d’IA dans le SOC (Security Copilot, Charlotte AI) peuvent être classés comme systèmes d’IA. Les obligations de documentation de l’AI Act peuvent s’appliquer aux opérations de sécurité.

Key Facts

NIS2 : 18 secteurs, 30 000+ entreprises en Allemagne, amendes jusqu’à 10 millions d’euros

DORA : 22 000+ entreprises financières, obligation de TLPT, supervision directe des fournisseurs tiers

CRA : Tous les produits numériques à partir de 2027, obligation de SBOM, marquage CE pour la cybersécurité

Questions fréquentes

Quelle réglementation me concerne-t-elle ?

Règles générales : secteur financier = DORA + NIS2. Fabricants de produits/logiciels = CRA. Fournisseurs d’IA = AI Act. Tous les autres secteurs de la liste NIS2 = NIS2. De nombreuses entreprises relèvent de plusieurs réglementations simultanément.

Puis-je regrouper la conformité ?

En partie. NIS2, DORA et CRA ont des exigences chevauchantes (gestion des risques, réponse aux incidents, chaîne d’approvisionnement). Un système de gestion de la sécurité de l’information intégré (ISO 27001) répond à de nombreuses exigences des trois réglementations. Les exigences supplémentaires spécifiques au secteur (DORA : TLPT, CRA : SBOM) doivent être traitées séparément.

Combien coûte la mise en œuvre ?

Très variable selon le niveau de maturité. Entreprises disposant d’un ISMS existant : 50 000 à 150 000 euros pour l’analyse des écarts et les améliorations. Sans structures existantes : 200 000 à 500 000+ euros pour la mise en place d’un cadre de conformité complet. L’alternative – les amendes – est plus coûteuse.

Articles connexes

• Loi-cadre KRITIS : Ce qui attend les exploitants d’infrastructures critiques en plus de NIS2
• DORA : Pourquoi le Digital Operational Resilience Act bouleverse le secteur financier
• Tendances de la cybersécurité 2026 : Les 7 évolutions que les décideurs en matière de sécurité doivent connaître

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & IT-Infrastruktur
• myBusinessFuture – Digitalisierung, KI & Business
• Digital Chiefs – C-Level Thought Leadership

Source de l’image : Pexels / Artur Roman

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow