12 textes fondamentaux structurent l’espace numérique européen — et leurs implications concrètes pour votre organisation.
L’APPROCHE RADICAL SSI
Nous commençons toujours par qualifier vos obligations réglementaires réelles avant de construire la
feuille de route. Inutile de traiter DORA si vous n’êtes pas dans le secteur financier. Nous identifions
les recoupements entre textes pour optimiser vos efforts — un programme bien structuré peut adresser
plusieurs réglementations simultanément.
Synthèse : un écosystème numérique sûr, résilient et harmonisé
L’Union européenne a engagé depuis 2016 une transformation profonde de son cadre réglementaire numérique. Face à la multiplication des cyberattaques, à la montée en puissance de l’intelligence artificielle et à la dépendance croissante des économies aux systèmes d’information, l’Europe a choisi une approche ambitieuse : harmoniser les règles, responsabiliser les acteurs et construire un espace numérique sûr, résilient et souverain.
Ces textes ne sont pas une contrainte administrative de plus. Ils traduisent une conviction fondamentale : la sécurité et la confiance numériques sont des conditions de la souveraineté et de la compétitivité européenne.
Derrière la diversité des textes, trois ambitions sont partagées par l’ensemble du cadre :
- Élever le niveau de sécurité des organisations à travers toute l’Union, en définissant des exigences minimales communes ;
- Renforcer la résilience des infrastructures critiques et des services essentiels, dont la perturbation aurait des conséquences graves pour la société ;
- Créer un espace de confiance numérique, dans lequel citoyens, entreprises et institutions peuvent interagir avec des garanties de sécurité suffisantes.
Comment s’y retrouver — et par où commencer ?
La réponse dépend de votre secteur, de votre taille et de votre niveau de maturité actuel. Pour vous aider à vous repérer :
- Secteur financier (banque, assurance, gestion) → DORA est votre priorité absolue ;
- Secteur critique (énergie, santé, transport, eau, numérique) → NIS2 s’applique très probablement ;
- Développeur de logiciels ou fabricant de produits connectés → CRA et AI Act vous concernent directement ;
- Opérateur de plateforme numérique → DSA et DMA s’appliquent selon votre taille ;
- Collectivité ou administration publique → 3CF et NIS2 sont vos références ;
- Toute organisation traitant des données personnelles → le RGPD reste la base, complémentaire à tous les textes.
Dans tous les cas, les exigences se recoupent largement : gouvernance de la sécurité, gestion des risques, sécurité des fournisseurs, notification des incidents, continuité d’activité. Un programme bien structuré peut adresser plusieurs réglementations simultanément.
NIS2 — Sécurité des réseaux et des systèmes d’information
NIVEAU 1 — Les textes incontournables : NIS2 · DORA · AI Act · EUDI · Data Act · RGPD
NIS2 élargit considérablement le champ d’application de sa version initiale. Elle concerne désormais des milliers d’entités dans 18 secteurs d’activité — des opérateurs d’infrastructures critiques aux fournisseurs de services numériques, en passant par les administrations publiques et les collectivités.
Les dirigeants des entités concernées sont personnellement responsables du respect des obligations. NIS2 impose une approche structurée de la gestion des risques, incluant la sécurité de la chaîne d’approvisionnement — vos fournisseurs deviennent une surface d’attaque que vous devez maîtriser. Les sanctions en cas de non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
DORA — Digital Operational Resilience Act
DORA va au-delà de la simple cybersécurité : il encadre l’ensemble de la gestion des risques liés aux technologies de l’information dans le secteur financier. Il impose des tests de résilience avancés (TLPT — Threat-Led Penetration Tests) et, surtout, une surveillance renforcée des prestataires technologiques tiers.
La nouveauté majeure de DORA : les autorités de supervision peuvent désormais auditer directement les fournisseurs TIC critiques des entités financières. Une révolution pour un secteur qui dépend massivement de quelques grands prestataires cloud et technologiques. Applicable depuis janvier 2025.
AI Act — Règlement européen sur l’intelligence artificielle
L’AI Act adopte une approche par les risques : les systèmes d’IA présentant un risque inacceptable sont interdits (manipulation comportementale, notation sociale…), ceux à risque élevé sont soumis à des obligations strictes (santé, emploi, infrastructures critiques, justice…), et les autres à des exigences de transparence.
Pour les RSSI, l’AI Act soulève des questions concrètes : comment sécuriser les systèmes d’IA déployés dans l’organisation ? Comment gérer les risques liés aux modèles de langage utilisés par les collaborateurs ? Comment documenter et auditer les décisions algorithmiques à risque élevé ? Ces questions s’ajoutent aux obligations de cybersécurité existantes. Les sanctions peuvent atteindre 35 M€ ou 7 % du CA mondial.
EUDI — European Digital Identity (eIDAS 2.0)
Le règlement eIDAS 2.0 crée un portefeuille d’identité numérique européen (EU Digital Identity Wallet) que chaque État membre devra proposer à ses citoyens d’ici 2026. Ce portefeuille permettra de s’authentifier, de signer des documents et de partager des attributs d’identité vérifiés (diplômes, permis, prescriptions médicales…) de façon sécurisée et sous contrôle de l’utilisateur.
Pour les organisations, cela implique d’intégrer ces nouveaux modes d’authentification dans leurs services numériques — avec des exigences de sécurité et d’interopérabilité associées, et des opportunités de simplification des parcours client.
Data Act — Règlement européen sur les données
Le Data Act régit qui peut accéder aux données générées par les objets connectés (IoT) et à quelles conditions. Il donne aux utilisateurs le droit d’accéder aux données produites par leurs équipements et de les partager avec des tiers — créant de nouveaux flux de données et de nouvelles obligations de sécurité.
Pour les organisations, le Data Act impose une réflexion sur la gouvernance des données : quelles données sont collectées, par qui, dans quel but, et avec quelles garanties de sécurité et de confidentialité. Une question au croisement du RGPD, de la cybersécurité et de la stratégie numérique. Application prévue en septembre 2025.
RGPD — Règlement Général sur la Protection des Données
Socle fondateur de la réglementation numérique européenne, le RGPD est entré en application en mai 2018. Il encadre la collecte, le traitement et la conservation des données personnelles des résidents européens — quelle que soit la localisation de l’organisation qui les traite.
Le RGPD n’est pas un texte purement cyber, mais il est indissociable de la cybersécurité : l’article 32 impose des mesures de sécurité techniques et organisationnelles appropriées, et l’article 33 exige la notification des violations de données à l’autorité de contrôle (en France, la CNIL) dans les 72 heures. Les sanctions peuvent atteindre 20 M€ ou 4 % du CA mondial annuel.
NIVEAU 2 — Les textes complémentaires importants : DSA · DGA · 3CF
DSA — Digital Services Act
Le DSA réforme en profondeur la responsabilité des intermédiaires numériques. Il impose aux très grandes plateformes (VLOP) et très grands moteurs de recherche (VLOSE) des obligations renforcées : audits annuels, évaluation des risques systémiques, transparence des algorithmes de recommandation et accès aux données pour les chercheurs.
Pour les organisations qui opèrent des plateformes ou des marketplaces, le DSA implique une révision profonde des processus de modération, de signalement et de traitement des données utilisateurs — avec des implications directes sur la sécurité et la gouvernance. Applicable depuis février 2024.
DGA — Data Governance Act
Le DGA crée le cadre juridique pour le partage de données à l’échelle européenne. Il régule les intermédiaires de données (data brokers de confiance), encourage l’altruisme des données (partage volontaire à des fins d’intérêt général) et facilite la réutilisation des données détenues par les organismes publics.
Pour les RSSI, le DGA soulève des questions de sécurité autour du partage de données : comment partager des données sensibles de façon sécurisée avec des tiers de confiance ? Quelles garanties exiger des intermédiaires de données ? Comment concilier ouverture des données et protection de la confidentialité ? Applicable depuis septembre 2023.
3CF — Cadre Commun de Cybersécurité des Collectivités françaises
Porté par l’ANSSI en coordination avec les associations d’élus, le 3CF propose un cadre structuré et progressif pour aider les collectivités à améliorer leur niveau de cybersécurité. Il s’articule autour de mesures organisées par niveau de maturité, permettant à chaque entité de progresser à son rythme.
Le 3CF est conçu en cohérence avec NIS2 — les collectivités soumises à la directive peuvent utiliser le 3CF comme feuille de route de mise en conformité. Il s’inspire également des standards internationaux (ISO 27001, NIST CSF), facilitant les démarches de certification.
NIVEAU 3 — À ne pas négliger : CRA · REC · DMA
CRA — Cyber Resilience Act
Le CRA introduit des exigences de cybersécurité obligatoires pour tous les produits comportant des éléments numériques — logiciels, objets connectés, équipements industriels. Les fabricants et éditeurs devront intégrer la sécurité dès la conception, maintenir des mises à jour pendant toute la durée de vie du produit et notifier les vulnérabilités activement exploitées à l’ENISA dans les 24 heures.
Le CRA représente un changement de paradigme pour les éditeurs et fabricants : la sécurité cesse d’être optionnelle pour devenir une exigence légale assortie de sanctions significatives (jusqu’à 15 M€ ou 2,5 % du CA mondial). Le marquage CE des produits numériques sera conditionné au respect de ces exigences. Application progressive jusqu’en 2027.
REC — Règlement européen sur la Cybersolidarité
Le REC crée le Bouclier européen de cybersécurité — un réseau de centres opérationnels de sécurité (SOC) nationaux et transfrontaliers capables de détecter et partager les informations sur les menaces à l’échelle européenne. Il établit également une Réserve de cybersécurité de l’UE, mobilisable en cas d’incident majeur affectant plusieurs États membres.
Pour les organisations, le REC améliore indirectement leur protection en renforçant les capacités collectives de détection et de réponse aux incidents à l’échelle européenne. Il facilite également le partage d’informations sur les menaces entre États — une ressource précieuse pour les équipes de threat intelligence.
DMA — Digital Markets Act
Le DMA régule les comportements des très grandes plateformes numériques désignées comme gatekeepers. Il leur impose des obligations d’interopérabilité, d’ouverture de leurs écosystèmes et de non-discrimination — avec pour objectif de rééquilibrer les rapports de force dans l’économie numérique.
Pour les RSSI, le DMA a des implications indirectes mais réelles : les obligations d’interopérabilité peuvent créer de nouvelles surfaces d’attaque, et les exigences d’accès aux données soulèvent des questions de sécurité et de confidentialité qu’il convient d’anticiper. Sanctions jusqu’à 10 % du CA mondial, voire 20 % en cas de récidive.
État de ces initiatives juridiques
Tableau de synthèse — statut et références officielles au Journal officiel de l’Union européenne.
| Texte | Référence officielle | Publi. | Mise en œuvre | Portée | Prochaines étapes |
|---|---|---|---|---|---|
| NIS2 | Directive (UE) 2022/2555 | Jan. 2023 | Transposition FR 2024-2025 | 18 secteurs — entités essentielles & importantes | Contrôles ANSSI, sanctions effectives |
| DORA | Règlement (UE) 2022/2554 | Jan. 2023 | Applicable jan. 2025 | Secteur financier UE + fournisseurs TIC critiques | 1ers rapports incidents, audits fournisseurs TIC |
| AI Act | Règlement (UE) 2024/1689 | Août 2024 | Application progressive 2025-2027 | Fournisseurs & déployeurs de systèmes d’IA en UE | Désignation autorités nationales, normes harmonisées |
| EUDI / eIDAS 2.0 | Règlement (UE) 2024/1183 | Mai 2024 | Portefeuilles disponibles 2026 | États membres + secteurs privés (acceptation obligatoire) | Déploiement EUDIW par État membre |
| Data Act | Règlement (UE) 2023/2854 | Jan. 2024 | Application sept. 2025 | Fabricants IoT, fournisseurs services associés | Mise en conformité accès & portabilité données |
| RGPD | Règlement (UE) 2016/679 | Mai 2016 | Applicable mai 2018 | Toute organisation traitant des données personnelles de résidents UE | Renforcement contrôles CNIL, articulation avec NIS2/DORA |
| DSA | Règlement (UE) 2022/2065 | Oct. 2022 | Applicable fév. 2024 | Plateformes & moteurs de recherche (gradué par taille) | Audits VLOP, procédures Commission |
| DGA | Règlement (UE) 2022/868 | Mai 2022 | Applicable sept. 2023 | Organismes publics, intermédiaires de données | Espaces européens de données sectoriels |
| 3CF | Référentiel ANSSI | 2023 | Déploiement progressif | Collectivités territoriales & administrations FR | Extension périmètre, lien NIS2 |
| CRA | Règlement (UE) 2024/2847 | Oct. 2024 | Application progressive 2027 | Fabricants & éditeurs produits numériques | Normes harmonisées, marquage CE numérique |
| REC | Règlement (UE) 2024/1228 | Avr. 2024 | Mise en œuvre 2024-2025 | États membres UE & infrastructures critiques | Déploiement SOC transfrontaliers, Cyber Reserve |
| DMA | Règlement (UE) 2022/1925 | Oct. 2022 | Applicable mai 2023 | Contrôleurs d’accès (gatekeepers) désignés | Procédures Commission vs gatekeepers |
Sources : Journal officiel de l’Union européenne (EUR-Lex) — eur-lex.europa.eu
Référentiel 3CF : Agence nationale de la sécurité des systèmes d’information — ssi.gouv.fr