Le cadre cyber européen

Mise à jour – mai 2026 : Le Digital Omnibus Package, publié le 19 novembre 2025 et partiellement en accord provisoire depuis le 7 mai 2026, vient modifier plusieurs textes présentés ci-dessous (RGPD, NIS2, DORA, AI Act, eIDAS, Data Act). Il ne crée pas de nouvelles obligations : il amende le cadre existant pour supprimer les redondances, harmoniser les procédures de signalement et réduire la charge administrative. Une page de fond détaille ses implications concrètes pour votre organisation.

13 textes fondamentaux structurent l’espace numérique européen : nous vous présentons leurs implications concrètes pour votre organisation.

L’approche Radical SSI
Nous commençons toujours par qualifier vos obligations réglementaires réelles avant de construire la feuille de route. Inutile de traiter DORA si vous n’êtes pas dans le secteur financier. Nous identifions les recoupements entre textes pour optimiser vos efforts – un programme bien structuré peut adresser plusieurs réglementations simultanément.

Synthèse : un écosystème numérique sûr, résilient et harmonisé

L’Union européenne a engagé depuis 2016 une transformation profonde de son cadre réglementaire numérique. Face à la multiplication des cyberattaques, à la montée en puissance de l’intelligence artificielle et à la dépendance croissante des économies aux systèmes d’information, l’Europe a choisi une approche ambitieuse : harmoniser les règles, responsabiliser les acteurs et construire un espace numérique sûr, résilient et souverain.

Ces textes ne sont pas une contrainte administrative de plus. Ils traduisent une conviction fondamentale : la sécurité et la confiance numériques sont des conditions de la souveraineté et de la compétitivité européenne.

Derrière la diversité des textes, trois ambitions sont partagées par l’ensemble du cadre :

• Élever le niveau de sécurité des organisations à travers toute l’Union, en définissant des exigences minimales communes ;
• Renforcer la résilience des infrastructures critiques et des services essentiels, dont la perturbation aurait des conséquences graves pour la société ;
• Créer un espace de confiance numérique, dans lequel citoyens, entreprises et institutions peuvent interagir avec des garanties de sécurité suffisantes.

Comment s’y retrouver – et par où commencer ?

La réponse dépend de votre secteur, de votre taille et de votre niveau de maturité actuel. Pour vous aider à vous repérer :

• Secteur financier (banque, assurance, gestion) → DORA est votre priorité absolue
• Secteur critique (énergie, santé, transport, eau, numérique) → NIS2 s’applique très probablement
• Développeur de logiciels ou fabricant de produits connectés → CRA et AI Act vous concernent directement
• Opérateur de plateforme numérique → DSA et DMA s’appliquent selon votre taille
• Collectivité ou administration publique → 3CF et NIS2 sont vos références
• Toute organisation traitant des données personnelles → le RGPD reste la base, complémentaire à tous les textes
• Déjà soumis à l’un de ces textes → le Digital Omnibus Package modifie vos obligations existantes, notamment les délais de notification et les bases légales pour l’IA

Dans tous les cas, les exigences se recoupent largement : gouvernance de la sécurité, gestion des risques, sécurité des fournisseurs, notification des incidents, continuité d’activité. Un programme bien structuré peut adresser plusieurs réglementations simultanément.

NIVEAU 1 – Les textes incontournables (NIS2, DORA, AI Act, EUDI, Data Act, RGPD)

NIS2 : Sécurité des réseaux et des systèmes d’information

NIS2 élargit considérablement le champ d’application de sa version initiale. Elle concerne désormais des milliers d’entités dans 18 secteurs d’activité – des opérateurs d’infrastructures critiques aux fournisseurs de services numériques, en passant par les administrations publiques et les collectivités.

Les dirigeants des entités concernées sont personnellement responsables du respect des obligations. NIS2 impose une approche structurée de la gestion des risques, incluant la sécurité de la chaîne d’approvisionnement – vos fournisseurs deviennent une surface d’attaque que vous devez maîtriser. Les sanctions en cas de non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

À noter : le Digital Omnibus Package prévoit d’harmoniser les procédures de signalement d’incidents NIS2 avec celles de DORA et du RGPD via un guichet unique (SEP), avec un délai unifié à 96 heures.

DORA : Digital Operational Resilience Act

DORA va au-delà de la simple cybersécurité : il encadre l’ensemble de la gestion des risques liés aux technologies de l’information dans le secteur financier. Il impose des tests de résilience avancés (TLPT – Threat-Led Penetration Tests) et, surtout, une surveillance renforcée des prestataires technologiques tiers.

La nouveauté majeure de DORA : les autorités de supervision peuvent désormais auditer directement les fournisseurs TIC critiques des entités financières. Une révolution pour un secteur qui dépend massivement de quelques grands prestataires cloud et technologiques. Applicable depuis janvier 2025.

À noter : le Digital Omnibus Package prévoit d’intégrer le reporting d’incidents DORA dans le guichet unique de signalement commun avec NIS2 et le RGPD.

AI Act : Règlement européen sur l’intelligence artificielle

L’AI Act adopte une approche par les risques : les systèmes d’IA présentant un risque inacceptable sont interdits (manipulation comportementale, notation sociale…), ceux à risque élevé sont soumis à des obligations strictes (santé, emploi, infrastructures critiques, justice…), et les autres à des exigences de transparence.

Pour les RSSI, l’AI Act soulève des questions concrètes : comment sécuriser les systèmes d’IA déployés dans l’organisation ? Comment gérer les risques liés aux modèles de langage utilisés par les collaborateurs ? Comment documenter et auditer les décisions algorithmiques à risque élevé ? Ces questions s’ajoutent aux obligations de cybersécurité existantes. Les sanctions peuvent atteindre 35 M€ ou 7 % du CA mondial.

À noter : le Digital Omnibus on AI (accord provisoire du 7 mai 2026, adoption formelle visée avant le 2 août 2026) reporte les obligations haut risque au 2 décembre 2027 pour les systèmes autonomes (Annexe III) et au 2 août 2028 pour l’IA embarquée dans des produits réglementés (Annexe I). Les obligations de transparence de l’Article 50 restent maintenues au 2 août 2026.

EUDI : European Digital Identity (eIDAS 2.0)

Le règlement eIDAS 2.0 crée un portefeuille d’identité numérique européen (EU Digital Identity Wallet) que chaque État membre devra proposer à ses citoyens d’ici 2026. Ce portefeuille permettra de s’authentifier, de signer des documents et de partager des attributs d’identité vérifiés (diplômes, permis, prescriptions médicales…) de façon sécurisée et sous contrôle de l’utilisateur.

Pour les organisations, cela implique d’intégrer ces nouveaux modes d’authentification dans leurs services numériques – avec des exigences de sécurité et d’interopérabilité associées, et des opportunités de simplification des parcours client.

Data Act : Règlement européen sur les données

Le Data Act régit qui peut accéder aux données générées par les objets connectés (IoT) et à quelles conditions. Il donne aux utilisateurs le droit d’accéder aux données produites par leurs équipements et de les partager avec des tiers – créant de nouveaux flux de données et de nouvelles obligations de sécurité.

Pour les organisations, le Data Act impose une réflexion sur la gouvernance des données : quelles données sont collectées, par qui, dans quel but, et avec quelles garanties de sécurité et de confidentialité. Une question au croisement du RGPD, de la cybersécurité et de la stratégie numérique. Application prévue en septembre 2025.

À noter : le Digital Omnibus Regulation prévoit d’absorber certaines dispositions du Data Act dans un cadre consolidé.

RGPD : Règlement Général sur la Protection des Données

Socle fondateur de la réglementation numérique européenne, le RGPD est entré en application en mai 2018. Il encadre la collecte, le traitement et la conservation des données personnelles des résidents européens – quelle que soit la localisation de l’organisation qui les traite.

Le RGPD n’est pas un texte purement cyber, mais il est indissociable de la cybersécurité : l’article 32 impose des mesures de sécurité techniques et organisationnelles appropriées, et l’article 33 exige la notification des violations de données à l’autorité de contrôle (en France, la CNIL) dans les 72 heures. Les sanctions peuvent atteindre 20 M€ ou 4 % du CA mondial annuel.

À noter : le Digital Omnibus Regulation propose trois évolutions du RGPD : clarification de la notion de données personnelles pour les données pseudonymisées, harmonisation des AIPD (modèle CEPD commun), et extension du délai de notification à 96 heures avec portail unique.

NIVEAU 2 – Les textes complémentaires importants (DSA, DGA, 3CF, Digital Omnibus Package)

DSA : Digital Services Act

Le DSA réforme en profondeur la responsabilité des intermédiaires numériques. Il impose aux très grandes plateformes (VLOP) et très grands moteurs de recherche (VLOSE) des obligations renforcées : audits annuels, évaluation des risques systémiques, transparence des algorithmes de recommandation et accès aux données pour les chercheurs.

Pour les organisations qui opèrent des plateformes ou des marketplaces, le DSA implique une révision profonde des processus de modération, de signalement et de traitement des données utilisateurs – avec des implications directes sur la sécurité et la gouvernance. Applicable depuis février 2024.

DGA : Data Governance Act

Le DGA crée le cadre juridique pour le partage de données à l’échelle européenne. Il régule les intermédiaires de données (data brokers de confiance), encourage l’altruisme des données (partage volontaire à des fins d’intérêt général) et facilite la réutilisation des données détenues par les organismes publics.

Pour les RSSI, le DGA soulève des questions de sécurité autour du partage de données : comment partager des données sensibles de façon sécurisée avec des tiers de confiance ? Quelles garanties exiger des intermédiaires de données ? Comment concilier ouverture des données et protection de la confidentialité ? Applicable depuis septembre 2023.

À noter : le Digital Omnibus Regulation prévoit d’absorber le DGA dans un Data Act recentré, réduisant de quatre à deux le nombre de textes structurants sur les données.

3CF : Cadre Commun de Cybersécurité des Collectivités françaises

Porté par l’ANSSI en coordination avec les associations d’élus, le 3CF propose un cadre structuré et progressif pour aider les collectivités à améliorer leur niveau de cybersécurité. Il s’articule autour de mesures organisées par niveau de maturité, permettant à chaque entité de progresser à son rythme.

Le 3CF est conçu en cohérence avec NIS2 – les collectivités soumises à la directive peuvent utiliser le 3CF comme feuille de route de mise en conformité. Il s’inspire également des standards internationaux (ISO 27001, NIST CSF), facilitant les démarches de certification.

Digital Omnibus Package : la mise en cohérence du cadre

Publié le 19 novembre 2025, le Digital Omnibus Package n’est pas un texte de fond supplémentaire : c’est un acte correctif transversal. Son objet est d’amender plusieurs textes existants (RGPD, NIS2, DORA, AI Act, eIDAS, Data Act) pour en supprimer les redondances, harmoniser les procédures et réduire la charge administrative, en particulier pour les PME.

Il se compose de deux règlements en cours d’adoption :

• Le Digital Omnibus on AI (COM(2025) 836), centré sur l’AI Act : il reporte les obligations haut risque aux 2 décembre 2027 et 2 août 2028 selon les cas. Accord provisoire obtenu le 7 mai 2026 ; adoption formelle visée avant le 2 août 2026.
• Le Digital Omnibus Regulation (COM(2025) 837), qui amende le RGPD, NIS2, DORA, eIDAS, le Data Act et abroge plusieurs textes devenus redondants (DGA, directive Open Data, règlement Free Flow of Non-Personal Data). Pas encore en accord provisoire au printemps 2026 ; adoption attendue entre fin 2026 et 2027.

Ses trois apports principaux pour les organisations :

• Un guichet unique de signalement des incidents (SEP), géré par l’ENISA : une seule notification à 96 heures satisfait les obligations de NIS2, DORA, RGPD et eIDAS simultanément. Ce dispositif n’existe pas encore : il sera opérationnel 18 à 24 mois après l’adoption du Digital Omnibus Regulation, mais il doit déjà orienter la conception de vos procédures de gestion de crise. Ne figez pas des playbooks que vous devrez réécrire dans deux ans.
• Une base légale explicite pour le traitement de données personnelles à des fins d’IA : le RGPD sera amendé pour reconnaître l’intérêt légitime comme fondement juridique pour le développement et l’exploitation de modèles d’IA, sous réserve des garanties habituelles. Ce point n’est pas encore adopté : documentez vos analyses d’intérêt légitime maintenant pour pouvoir basculer rapidement le moment venu.
• Une clarification de la notion de données personnelles : une information n’est pas une donnée personnelle pour une entité donnée si cette entité n’a pas les moyens raisonnablement susceptibles d’être utilisés pour identifier la personne concernée. Cette clarification, issue de la jurisprudence récente de la CJUE, a des effets pratiques sur la portée du RGPD pour les jeux de données pseudonymisés ou agrégés.

Pour en savoir plus : page de fond avec calendrier et références EUR-Lex

NIVEAU 3 – À ne pas négliger (CRA, REC, DMA)

CRA : Cyber Resilience Act

Le CRA introduit des exigences de cybersécurité obligatoires pour tous les produits comportant des éléments numériques – logiciels, objets connectés, équipements industriels. Les fabricants et éditeurs devront intégrer la sécurité dès la conception, maintenir des mises à jour pendant toute la durée de vie du produit et notifier les vulnérabilités activement exploitées à l’ENISA dans les 24 heures.

Le CRA représente un changement de paradigme pour les éditeurs et fabricants : la sécurité cesse d’être optionnelle pour devenir une exigence légale assortie de sanctions significatives (jusqu’à 15 M€ ou 2,5 % du CA mondial). Le marquage CE des produits numériques sera conditionné au respect de ces exigences. Application progressive jusqu’en 2027.

REC : Règlement européen sur la Cybersécurité

Le REC crée le Bouclier européen de cybersécurité – un réseau de centres opérationnels de sécurité (SOC) nationaux et transfrontaliers capables de détecter et partager les informations sur les menaces à l’échelle européenne. Il établit également une Réserve de cybersécurité de l’UE, mobilisable en cas d’incident majeur affectant plusieurs États membres.

Pour les organisations, le REC améliore indirectement leur protection en renforçant les capacités collectives de détection et de réponse aux incidents à l’échelle européenne. Il facilite également le partage d’informations sur les menaces entre États – une ressource précieuse pour les équipes de threat intelligence.

DMA : Digital Markets Act

Le DMA régule les comportements des très grandes plateformes numériques désignées comme gatekeepers. Il leur impose des obligations d’interopérabilité, d’ouverture de leurs écosystèmes et de non-discrimination – avec pour objectif de rééquilibrer les rapports de force dans l’économie numérique.

Pour les RSSI, le DMA a des implications indirectes mais réelles : les obligations d’interopérabilité peuvent créer de nouvelles surfaces d’attaque, et les exigences d’accès aux données soulèvent des questions de sécurité et de confidentialité qu’il convient d’anticiper. Sanctions jusqu’à 10 % du CA mondial, voire 20 % en cas de récidive.

État de ces initiatives juridiques

Tableau de synthèse : statut et références officielles au Journal officiel de l’Union européenne.

Texte	Référence officielle	Publi.	Mise en œuvre	Portée	Prochaines étapes
NIS2	Directive (UE) 2022/2555	Jan. 2023	Transposition FR 2024-2025	18 secteurs – entités essentielles & importantes	Contrôles ANSSI, sanctions effectives
DORA	Règlement (UE) 2022/2554	Jan. 2023	Applicable jan. 2025	Secteur financier UE + fournisseurs TIC critiques	1ers rapports incidents, audits fournisseurs TIC
AI Act	Règlement (UE) 2024/1689	Août 2024	Application progressive 2025-2027	Fournisseurs & déployeurs de systèmes d’IA en UE	Désignation autorités nationales, normes harmonisées
EUDI / eIDAS 2.0	Règlement (UE) 2024/1183	Mai 2024	Portefeuilles disponibles 2026	États membres + secteurs privés (acceptation obligatoire)	Déploiement EUDIW par État membre
Data Act	Règlement (UE) 2023/2854	Jan. 2024	Application sept. 2025	Fabricants IoT, fournisseurs services associés	Mise en conformité accès & portabilité données
RGPD	Règlement (UE) 2016/679	Mai 2016	Applicable mai 2018	Toute organisation traitant des données personnelles de résidents UE	Renforcement contrôles CNIL, articulation avec NIS2/DORA
DSA	Règlement (UE) 2022/2065	Oct. 2022	Applicable fév. 2024	Plateformes & moteurs de recherche (gradué par taille)	Audits VLOP, procédures Commission
DGA	Règlement (UE) 2022/868	Mai 2022	Applicable sept. 2023	Organismes publics, intermédiaires de données	Espaces européens de données sectoriels
3CF	Référentiel ANSSI	2023	Déploiement progressif	Collectivités territoriales & administrations FR	Extension périmètre, lien NIS2
CRA	Règlement (UE) 2024/2847	Oct. 2024	Application progressive 2027	Fabricants & éditeurs produits numériques	Normes harmonisées, marquage CE numérique
REC	Règlement (UE) 2024/1228	Avr. 2024	Mise en œuvre 2024-2025	États membres UE & infrastructures critiques	Déploiement SOC transfrontaliers, Cyber Reserve
DMA	Règlement (UE) 2022/1925	Oct. 2022	Applicable mai 2023	Contrôleurs d’accès (gatekeepers) désignés	Procédures Commission vs gatekeepers
Digital Omnibus on AI	COM(2025) 836 final	Nov. 2025	Adoption formelle visée avant août 2026	Fournisseurs & déployeurs de systèmes d’IA haut risque	Accord provisoire 7 mai 2026, report échéances AI Act
Digital Omnibus Regulation	COM(2025) 837 final	Nov. 2025	Adoption prévue fin 2026 ou 2027	Toute org. soumise au RGPD, NIS2, DORA, eIDAS	Trilogues en cours : guichet unique incidents (SEP), base légale IA

Sources :

• Journal officiel de l’Union européenne (EUR-Lex) – eur-lex.europa.eu
• Référentiel 3CF : Agence nationale de la sécurité des systèmes d’information – ssi.gouv.fr
• Suivi législatif Digital Omnibus : europarl.europa.eu/legislative-train

Plus d’infos ?

Vous souhaitez avoir un éclairage sur ce calendrier et les impacts pour votre entreprise ? Etudier les textes qui s’appliquent à votre entreprise ?

Prenez rendez-vous avec nos experts pour une consultation de sécurité sans engagement.

Plus d’infos ? Des questions ? Contactez-nous !