6 min de lecture

NIS2, DORA et le Règlement général sur l’intelligence artificielle de l’UE (2026) entrent en vigueur simultanément pour la première fois. Un seul incident de sécurité impliquant un système d’IA dans le secteur financier peut déclencher trois obligations de déclaration en parallèle. Les directeurs des systèmes d’information (DSI) doivent décider s’ils lancent trois projets de conformité distincts ou adoptent une approche intégrée. Cette décision déterminera si la vague réglementaire se transforme en opportunité ou en piège coûteux.

L’essentiel

Pourquoi tout converge en 2026

Au cours des trois dernières années, l’Union européenne a adopté un paquet réglementaire qui transforme en profondeur la gouvernance informatique des entreprises européennes. Trois textes législatifs, chacun complexe en soi, entrent en application simultanément en 2026 : la loi allemande de transposition de la directive NIS2, dont l’application effective débute en octobre 2026 ; le Règlement sur la résilience opérationnelle numérique (DORA), applicable au secteur financier depuis janvier 2025 ; et le Règlement général sur l’intelligence artificielle de l’UE, dont les obligations relatives aux systèmes à « haut risque » entreront en vigueur en août 2026.

Le problème ne réside pas dans chacune de ces réglementations prises isolément. Il réside dans leur chevauchement. Un prestataire de services financiers utilisant un système d’IA pour l’évaluation des crédits relève simultanément de NIS2 (en tant qu’opérateur de services essentiels), de DORA (en tant qu’entreprise financière) et du Règlement général sur l’intelligence artificielle de l’UE (en tant qu’opérateur d’un système d’IA à haut risque). Un incident de sécurité affectant ce système pourrait potentiellement déclencher trois obligations de déclaration distinctes, avec des délais, des formulaires et des autorités compétentes différents.

Selon une analyse réalisée par ADVISORI, de nombreuses entreprises sous-estiment le chevauchement entre ces trois réglementations. Elles traitent chaque texte comme un projet autonome et construisent ainsi trois silos de conformité. Cela triple la charge de travail et crée des contradictions : NIS2 exige une déclaration initiale dans les 24 heures, tandis que DORA impose un délai de 4 heures pour les incidents graves liés aux technologies de l’information et de la communication (TIC). Deux processus de déclaration distincts ralentissent inévitablement les deux procédures.

« NIS2 est une loi, pas une option. La cybersécurité doit être ancrée comme une obligation fondamentale de la direction générale. »
Ralf Wintergerst, président de Bitkom (2025)

NIS2 : Ce qui attend les 29 500 entreprises concernées

La loi allemande de transposition de la directive NIS2 est entrée en vigueur en décembre 2025. Son application effective débutera en octobre 2026. Le nombre d’entreprises concernées augmente de quelque 4 500 (sous l’ancienne directive NIS) à environ 29 500. Sont concernés 18 secteurs, ainsi que les entreprises comptant au moins 50 employés ou réalisant un chiffre d’affaires annuel d’au moins 10 millions d’euros.

Les obligations principales comprennent des mesures de gestion des risques conformément à l’article 30 de la loi du BSI (Office fédéral de la sécurité informatique), un système de déclaration des incidents de sécurité avec une déclaration initiale dans les 24 heures, des audits réguliers et des justificatifs, ainsi que la sécurisation des chaînes d’approvisionnement. Pour les DSI, un point particulièrement crucial : la direction générale doit superviser la mise en œuvre de ces mesures et engage sa responsabilité personnelle en cas de faute grave. NIS2 fait de la cybersécurité une affaire de direction, et non plus seulement une question informatique.

Heise Online a rapporté que de nombreuses entreprises allemandes ignorent massivement leurs obligations découlant de NIS2. Beaucoup ne savent même pas si elles sont concernées. Bien que le BSI ait publié un outil d’auto-évaluation de la situation, les auto-évaluations des entreprises divergent fortement de la réalité juridique. En particulier, l’obligation relative aux chaînes d’approvisionnement est largement sous-estimée : même les entreprises qui ne relèvent pas directement de NIS2 peuvent être indirectement tenues à l’obligation en tant que fournisseurs d’entreprises concernées. Cette chaîne s’étend jusqu’au prestataire de services informatiques du fournisseur.

Pour les DSI, la question budgétaire est centrale : selon Bitkom, les entreprises concernées estiment le coût initial de mise en conformité avec NIS2 entre 100 000 et 500 000 euros, selon leur taille et leur maturité. Celles qui disposent déjà d’une certification ISO/IEC 27001 auront besoin de moins de ressources. Celles qui partent de zéro devront prévoir le montant supérieur. Des coûts récurrents liés aux audits, à la surveillance et aux ressources humaines s’y ajoutent.

DORA : Le secteur financier soumis à une surveillance renforcée

Le Règlement sur la résilience opérationnelle numérique (DORA) est entré en vigueur le 17 janvier 2025 et concerne l’ensemble du secteur financier européen : banques, compagnies d’assurance, prestataires de services de paiement, sociétés de valeurs mobilières, ainsi que leurs prestataires critiques de technologies de l’information et de la communication (TIC). DORA se concentre sur la stabilité opérationnelle numérique et exige une gestion exhaustive des risques liés aux TIC.

Les obligations sont concrètes : les entreprises doivent identifier, évaluer et traiter les risques liés aux TIC ; déclarer les incidents graves liés aux TIC à l’autorité de surveillance compétente dans les 4 heures ; réaliser régulièrement des tests de résilience, notamment des « tests d’intrusion pilotés par les menaces » (Threat-Led Penetration Tests, TLPT) ; et surveiller leurs prestataires critiques de TIC, tout en vérifiant leur résilience.

Pour les entreprises financières également soumises à NIS2, cela signifie : des obligations de déclaration doubles en cas d’incident, des exigences potentiellement divergentes en matière de gestion des risques, et deux autorités de surveillance différentes demandant des justificatifs. Bien que la Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ait indiqué son intention de garantir la cohérence avec NIS2, les détails ne sont pas encore harmonisés dans la pratique.

S’y ajoute l’obligation de gérer les risques liés aux tiers fournisseurs de TIC. DORA exige que les entreprises financières identifient, évaluent et surveillent leurs prestataires critiques de TIC. Les fournisseurs de services cloud, les éditeurs de logiciels en mode SaaS et les prestataires de services gérés doivent être contractuellement tenus de respecter certains standards de sécurité. Les autorités européennes de surveillance (ESAs) peuvent exercer une surveillance directe sur les tiers fournisseurs particulièrement critiques. Pour les DSI, cela signifie que la gestion des fournisseurs devient une obligation de conformité, et non plus simplement une bonne pratique.

Sources : BSI, BaFin, Journal officiel de l’UE

Règlement général sur l’intelligence artificielle de l’UE : La troisième couche du stack de conformité

Le Règlement général sur l’intelligence artificielle de l’UE repose sur une approche fondée sur le risque, comportant quatre niveaux : pratiques interdites (en vigueur depuis février 2025), systèmes à haut risque (à compter d’août 2026), systèmes à risque limité (obligations de transparence) et systèmes à risque minimal (aucune obligation). Pour les DSI, la catégorie « haut risque » est décisive : les systèmes d’IA utilisés dans des domaines tels que la sélection du personnel, l’évaluation des crédits, les infrastructures critiques ou la justice pénale sont soumis à des obligations strictes en matière de documentation, de tests et de surveillance.

Le défi pour les DSI : de nombreuses entreprises ne savent pas encore quels sont leurs systèmes d’IA classés comme « haut risque ». Un système d’évaluation automatisée basé sur l’IA utilisé dans les ressources humaines pour trier les candidatures constitue un système à haut risque. Un chatbot répondant aux tickets internes IT n’en est probablement pas un. La frontière n’est pas toujours claire, et les conséquences d’une mauvaise classification sont sévères : des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial.

Dans la pratique, cela signifie que les DSI doivent établir un inventaire complet de tous leurs systèmes d’IA, classifier chacun d’eux, et, pour les systèmes à haut risque, produire une documentation technique détaillée. Celle-ci comprend des systèmes de gestion des risques, des prescriptions en matière de gouvernance des données, une documentation technique, des obligations d’enregistrement, des exigences de transparence, des mesures de supervision humaine, ainsi que des exigences de robustesse et de cybersécurité. Le Règlement général sur l’intelligence artificielle de l’UE exige également une évaluation de la conformité avant la mise sur le marché. Pour les modèles d’IA à usage général (« General-Purpose-AI »), tels que GPT ou Claude, des obligations supplémentaires de transparence s’appliquent, indépendamment du niveau de risque de leur utilisation concrète.

L’obligation de « littératie IA » est déjà entrée en vigueur en février 2025 : les entreprises doivent veiller à ce que les employés exploitant des systèmes d’IA possèdent des connaissances suffisantes. Des programmes de formation devraient déjà être en cours. Dans la pratique, ils font encore défaut dans la plupart des entreprises des pays DACH.

Pour les entreprises relevant simultanément de NIS2 et de DORA, le Règlement général sur l’intelligence artificielle de l’UE ajoute une troisième couche de conformité. Un système d’IA de détection de fraude dans une banque touche les trois réglementations : DORA (gestion des risques liés aux TIC), NIS2 (sécurité des services essentiels) et le Règlement général sur l’intelligence artificielle de l’UE (IA à haut risque). Cela nécessite soit un cadre de gouvernance intégré, soit trois équipes distinctes, entraînant d’importantes redondances.

L’approche intégrée : Un cadre unique pour trois textes législatifs

Les experts estiment qu’une gestion intégrée de la conformité permettrait de réaliser d’importantes économies sur les coûts de mise en œuvre comparés à des projets isolés. La clé réside dans une base commune : la norme ISO/IEC 27001 couvre des exigences essentielles de chacune des trois réglementations. La gestion des risques, la réponse aux incidents, la documentation et l’amélioration continue constituent des éléments centraux des trois textes.

Étape 1 : Analyse des risques unifiée. Plutôt que de réaliser trois analyses des risques distinctes pour NIS2, DORA et le Règlement général sur l’intelligence artificielle de l’UE, les DSI devraient élaborer une analyse intégrée couvrant les trois perspectives. Un système d’IA serait ainsi évalué simultanément sur ses risques en matière de sécurité informatique (NIS2), de résilience opérationnelle (DORA) et de risques spécifiques à l’IA (Règlement général sur l’intelligence artificielle de l’UE).

Étape 2 : Système de déclaration consolidé. Une seule équipe chargée de la réponse aux incidents, formée à toutes les obligations de déclaration découlant des trois réglementations. Le délai le plus court (DORA : 4 heures) devient la référence. Celui qui déclare dans les 4 heures satisfait automatiquement aussi le délai de 24 heures imposé par NIS2.

Étape 3 : Documentation commune. Un registre centralisé de conformité couvrant tous les systèmes d’IA, tous les systèmes informatiques et tous les prestataires de TIC. Chaque système est enregistré une seule fois et évalué au regard des trois réglementations. Cela évite les doublons et garantit qu’aucun vide ne subsiste.

Étape 4 : Reporting au conseil d’administration consolidé. Le conseil d’administration n’a pas besoin de trois rapports de conformité distincts. Un rapport intégré, présentant le niveau de maturité de la conformité vis-à-vis des trois réglementations, fournit au conseil la base décisionnelle nécessaire et réduit la charge de reporting pour l’organisation IT.

Ce que les DSI doivent faire au cours des six prochains mois

Les échéances ne sont pas négociables. Les DSI qui optent pour l’approche intégrée doivent avoir achevé, d’ici avril 2026, une cartographie de la conformité : quelles exigences issues de NIS2, de DORA et du Règlement général sur l’intelligence artificielle de l’UE se chevauchent ? Où existent des lacunes ? Quelles mesures existantes peuvent être comptabilisées plusieurs fois ?

D’ici juin 2026, l’inventaire des systèmes d’IA doit être finalisé. Chaque système d’IA doit être classifié : haut risque ou non ? Relevant de DORA ou non ? Critique au sens de NIS2 ou non ? Sans cet inventaire, aucune stratégie de conformité ne peut fonctionner.

D’ici août 2026, les systèmes d’IA à haut risque doivent satisfaire aux exigences du Règlement général sur l’intelligence artificielle de l’UE. Et d’ici octobre 2026, la mise en œuvre de NIS2 doit être démontrable. Celui qui manque ces échéances s’expose non seulement à des amendes, mais aussi à la responsabilité personnelle de la direction générale. La collision réglementaire n’est pas un exercice théorique. Elle constitue le test pratique de la gouvernance numérique des entreprises européennes.

Questions fréquentes

Source de l’image principale : Christian Wasserfallen / Pexels