2026 ne marque pas un simple empilement de textes européens, elle marque un basculement avec trois instruments qui structurent désormais le socle de la cybersécurité en Europe :
- Directive (UE) 2022/2555 dite NIS 2
- Règlement (UE) 2022/2554 dit DORA
- Règlement (UE) 2024/2847 dit Cyber Resilience Act (CRA)
Leur articulation révèle une cohérence d’ensemble : la sécurité des systèmes d’information n’est plus une bonne pratique, mais une exigence normative directement rattachée à la responsabilité des organes de direction.
1️ Une convergence normative sans précédent
- La Directive NIS 2 : Elle impose un socle de gestion des risques à une base élargie d’entités “essentielles” et “importantes”. L’obligation de notification des incidents et la sécurisation de la chaîne d’approvisionnement deviennent des exigences normatives contraignantes.
- Le Règlement DORA : Est un que régime sectoriel spécifique applicable au secteur financier. Ici, la gouvernance ne peut plus déléguer le risque : l’organe de direction est directement responsable de la stratégie de continuité.
- Le Cyber Resilience Act (CRA) : Il déplace la responsabilité vers les fabricants en imposant un marquage CE cyber et une gestion des vulnérabilités sur tout le cycle de vie des produits numériques.
2️ Du texte à la sanction
Ceux qui doutaient encore du caractère coercitif de ces textes doivent analyser la délibération de la CNIL du 22 janvier 2026. En sanctionnant la société France Travail à hauteur de 5 millions d’euros pour manquement à l’article 32 du RGPD, l’autorité confirme une doctrine de fermeté.
L’insuffisance des mécanismes d’authentification et les failles de journalisation ne sont plus seulement des faiblesses techniques, mais des violations caractérisées de l’obligation de sécurité. Cette sévérité s’inscrit dans une lignée jurisprudentielle claire, comme nous l’évoquions récemment dans l’analyse des sanctions contre Free et Free Mobile : https://exadvize.fr/24-millions-de-contrats-exposes-42-millions-deuros-damende-la-cnil-sanctionne-free/.
3️ L’exigence d’effectivité
La conclusion qui s’impose est sans appel : le droit de la cybersécurité ne tolère plus la “conformité de papier”.
- Responsabilité accrue : Les sanctions prévues par NIS 2 (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial) et DORA montrent que le législateur européen vise la dissuasion.
- Hiérarchie des normes : L’articulation entre ces textes impose aux juristes d’identifier avec précision le régime prioritaire pour éviter tout conflit de normes, notamment entre le RGPD et les notifications d’incidents majeures.
Nous sortons de l’ère de la cybersécurité “défensive” pour entrer dans celle de la cybersécurité “by design”. La sécurité des systèmes d’information relève désormais du champ de la responsabilité juridique structurée.
Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053408671
