Le Cyber Resilience Act (CRA), le Digital Operational Resilience Act (DORA) et la nouvelle directive Network and Information Security (NIS 2) entrent conjointement en application, affichant les ambitions de l’Union européenne en matière de cybersécurité : instaurer des standards de sécurité uniformes à l’échelle du marché unique.
Face à une aggravation des risques numériques, DORA est exclusivement dédié à renforcer les normes de sécurité du secteur financier, le CRA impose des exigences de sécurité aux fabricants et distributeurs de produits numériques, et NIS 2 élargit le périmètre de la cybersécurité à de très nombreux acteurs publics et privés.
Leur articulation vise à contraindre les organisations concernées à anticiper, détecter, et juguler les menaces contemporaines.
CRA, DORA, NIS 2 : objectifs et ambitions de l’Union européenne en matière de cybersécurité
Le triptyque CRA, DORA, NIS 2 s’inscrit dans la continuité des efforts européens en matière de cybersécurité. Son ambition première est d’élever le niveau global de sécurité des réseaux et systèmes d’information au sein de l’Union européenne, face à l’accroissement et à la diversité des menaces numériques.
NIS 2 : la directive européenne qui renforce la cybersécurité des organisations publiques et privées
Pour répondre à la multiplication des attaques et à la sophistication croissante des cyberdélinquants, la directive vise à harmoniser les exigences minimales applicables à l’ensemble des États membres.
Pour rappel, la directive poursuit plusieurs objectifs concrets :
- Renforcer la résilience des entités critiques : par de nouveaux standards en matière d’anticipation, de prévention et de réaction face aux incidents ;
- Assurer la continuité des services essentiels : en garantissant que les secteurs dépendant des technologies numériques demeurent opérationnels, notamment en cas de crise majeure ;
- Promouvoir une culture de la cybersécurité : en encourageant la transversalité de la question sécuritaire à tous les niveaux de l’organisation, du conseil d’administration jusqu’aux opérationnels ;
- Favoriser la coopération entre États membres : par l’instauration d’une collaboration via des mécanismes d’alerte, d’échange d’information et d’assistance face aux incidents.
En cas de doublon d’exigences, la directive NIS 2 prévoit des règles d’articulation. Si une entité relève à la fois de la directive NIS 2 et d’un règlement sectoriel comme DORA ou le CRA, ce sont les dispositions issues de ces derniers textes qui s’appliquent en priorité pour éviter la superposition normative et maintenir une cohérence réglementaire.
Reste un léger détail : encore faut‑il que le Législateur français finalise la partition. Dans l’attente des textes de transposition, les organisations ne peuvent qu’anticiper et structurer leur cybersécurité, en espérant une mise en musique juridique lisible et opérationnelle.
DORA : renforcer la résilience opérationnelle numérique du secteur financier européen
Pour répondre à la dépendance croissante du secteur financier aux technologies numériques et aux risques cyber qui menacent la stabilité même du système financier européen, le règlement DORA vise à harmoniser les exigences en matière de résilience opérationnelle numérique ; parce qu’un système bancaire à l’arrêt pour cause de cyberattaque, c’est exactement le type de scénario catastrophe que Bruxelles veut éviter.
Pour rappel, le règlement poursuit plusieurs objectifs concrets :
- Renforcer la résilience opérationnelle numérique des entités financières: en imposant des capacités robustes de gestion des risques liés aux TIC, couvrant l’identification, la protection, la détection, la réponse et la reprise face aux incidents – le package complet ;
- Assurer la continuité des services financiers: en garantissant que les banques, assureurs et autres acteurs du secteur maintiennent leurs activités critiques même quand tout part en vrille côté IT, parce que les clients sont légitimes à exiger de pouvoir accéder à leur argent 24/7 ;
- Encadrer le risque de tiers: en mettant enfin un coup de pression sur les prestataires de services TIC, cloud providers, hébergeurs et autres sous-traitants critiques, pour éviter qu’une panne chez un fournisseur ne fasse s’écrouler la moitié du système bancaire européen ;
- Favoriser la supervision et la coopération entre autorités: en instaurant des mécanismes de partage d’informations sur les incidents, des tests de résilience harmonisés (les fameux TLPT), et une coordination européenne digne de ce nom pour que la cybersécurité ne reste pas le problème du voisin.
En cas de doublon d’exigences, le règlement DORA prévoit des règles d’articulation : si une entité financière relève à la fois de DORA et de NIS 2, c’est DORA qui l’emporte en tant que lex specialis ; afin d’éviter que vos équipes conformité ne finissent en burn-out à jongler entre trois réglementations contradictoires.
Et parce qu’un règlement européen sans RTS ni ITS, c’est comme un café sans caféine… La Commission européenne a publié une batterie de standards techniques réglementaires (RTS) et de standards techniques d’implémentation (ITS) pour donner chair au squelette de DORA. Ces textes détaillent les modalités pratiques : classification des incidents, délais de notification, contenu des registres, critères d’évaluation des prestataires TIC critiques… En somme, tout ce qui transforme un principe noble en checklist opérationnelle. Attention : ces RTS et ITS ne sont pas de simples recommandations, ils ont force obligatoire et viennent compléter le règlement avec un niveau de granularité qui ferait rougir un manuel ITIL.
CRA : quand Bruxelles décide que vos produits connectés doivent enfin grandir
Pour répondre à la prolifération des objets connectés mal sécurisés qui transforment nos infrastructures en passoires numériques, le règlement CRA vise à imposer des exigences de cybersécurité dès la conception des produits numériques et tout au long de leur cycle de vie.
Pour rappel, le règlement poursuit plusieurs objectifs concrets :
- Sécuriser le marché européen des produits connectés: en imposant des standards minimaux de cybersécurité pour tous les produits comportant des éléments numériques, du réfrigérateur intelligent au logiciel de gestion critique ;
- Responsabiliser les fabricants et éditeurs: en les obligeant à intégrer la sécurité dès la phase de conception (security by design) et à assurer un suivi sur toute la durée de vie du produit ;
- Protéger les utilisateurs finaux: en garantissant que les produits mis sur le marché européen respectent des exigences essentielles en matière de cybersécurité, avec une traçabilité des vulnérabilités et des correctifs obligatoires ;
- Harmoniser le cadre réglementaire: en créant un système unifié à l’échelle européenne avec marquage CE cyber, pour en finir avec la mosaïque de réglementations nationales incompatibles.
À noter que le CRA s’articule avec NIS 2 et DORA : si votre produit est utilisé par une entité couverte par ces textes, vous cumulez les exigences, la conformité réglementaire à l’européenne.
NIS 2, DORA et le CRA fixent des ambitions claires en matière de cybersécurité, de résilience opérationnelle et de sécurité des produits. Mais, pour les entités concernées, la véritable bascule se joue au niveau des obligations : ce sont elles qui détermineront quels processus revoir, quelles responsabilités assumer et quels investissements consentir.
NIS 2, DORA, CRA : quelles obligations de cybersécurité pour les entreprises ?
Obligations NIS 2 : gouvernance, gestion des risques et notification des incidents cyber
Pour rappel, la directive NIS 2 s’applique à un vaste ensemble d’acteurs, incluant des secteurs dits essentiels (énergie, transport, santé, eau, etc.), mais aussi de nombreux services numériques (opérateurs cloud, data centers, fournisseurs de services de messagerie, etc.), qui deviennent assujettis à des obligations renforcées.
Parmi les principales obligations figurent :
- La mise en place d’une politique de gestion des risques requérant une évaluation régulière des vulnérabilités et des menaces, la documentation des mesures techniques et organisationnelles prises, et le suivi de leur efficacité ;
- La gouvernance de la sécurité avec la désignation d’un responsable sécurité (ou d’une équipe dédiée) pour piloter l’ensemble des sujets cyber ;
- La notification des incidents à l’autorité compétente nationale (l’ANSSI en France) pour anticiper tout risque systémique ;
- La prise en compte de la chaîne d’approvisionnement afin d’évaluer la sécurité de chaque partenaire, fournisseur, et sous-traitant ;
- La sensibilisation et la formation des collaborateurs pour faire évoluer leurs réflexes et comportements face aux risques cyber.
Lorsque ces obligations ne sont pas respectées, un régime de sanctions homogène et dissuasif est instauré pour inciter à la conformité et corriger les manquements constatés.
Obligations DORA : exigences renforcées de résilience numérique pour les entités financières
Concrètement, DORA impose aux entités financières un véritable parcours du combattant. Au menu : cartographier l’ensemble de vos actifs TIC et identifier vos dépendances critiques, mettre en place un dispositif de gestion des incidents avec notification aux autorités dans des délais inédits (24h pour les incidents majeurs), réaliser des tests de résilience avancés incluant des tests de pénétration basés sur la menace (TLPT), l’expression « stress test » prend tout son sens, et surtout, encadrer contractuellement vos prestataires TIC avec des clauses béton armé.
Pour les entreprises financières, c’est le moment de vérité : fini le temps où la cybersécurité était le problème du RSSI enfermé dans son bureau. Désormais, c’est l’organe de direction qui est aux commandes, les budgets vont devoir suivre (spoiler : ils vont suivre), et toute la gouvernance IT doit être revue de fond en comble. Le message de Bruxelles est limpide : soit l’entreprise prend sa résilience numérique au sérieux, soit les sanctions tombent. Et avec des amendes pouvant grimper jusqu’à 2% du chiffre d’affaires annuel mondial, l’heure n’est plus aux approximations. Bienvenue dans l’ère où la conformité cyber n’est plus une option, mais une condition de survie.
Obligations du Cyber Resilience Act : conformité cybersécurité des produits numériques
Concrètement, le CRA transforme radicalement les règles du jeu pour quiconque fabrique, importe ou distribue un produit avec une connexion réseau. Au programme : effectuer une analyse de risques cyber dès la conception, documenter vos processus de développement sécurisé, gérer activement les vulnérabilités pendant toute la durée de vie du produit (avec notification sous 24h pour les failles critiques), fournir des mises à jour de sécurité gratuites pendant une durée minimale définie, et obtenir la fameuse certification de conformité selon la classe de votre produit. Classe I pour les produits standards, classe II pour les plus sensibles, et produits critiques pour ceux qui nécessitent l’intervention d’organismes notifiés. Concernant le marquage CE, il devient aussi cyber, prouver que votre gadget ne va pas transformer le réseau de votre client en brèche et occasion de piratage.
Pour les entreprises du numérique, le message est sans appel : exit l’époque bénie où on développait vite, on patchait (peut-être) plus tard, et où la sécurité était un « nice to have » pour la version 2.0. Désormais, pas de conformité CRA, pas d’accès au marché européen, c’est aussi simple que ça. Les fabricants doivent repenser leurs cycles de développement, les distributeurs deviennent coresponsables de ce qu’ils vendent, et les importateurs ne peuvent plus se cacher derrière une méconnaissance de la règlementation existante. Avec des sanctions pouvant atteindre 15 millions d’euros ou 2,5% du chiffre d’affaires mondial (le montant le plus élevé étant retenu, évidemment), Bruxelles a clairement décidé que la cybersécurité des produits n’était plus négociable. Bienvenue dans l’ère où votre montre connectée devra être aussi sécurisée que votre banque en ligne.
NIS 2, DORA et le CRA posent un minimum syndical en matière de conformité cyber : gouvernance, gestion des risques, incidents, tests, documentation. La vraie question, désormais, n’est plus seulement « suis‑je conforme ? », mais « comment transformer ces contraintes en réflexe de conception ? ». C’est tout l’enjeu d’une cybersécurité pensée « by design ».
Vers une cybersécurité « by design »
Au-delà de la seule mise en conformité, la dynamique portée par les standards de sécurité anticipe une évolution structurelle : la sécurité ne doit plus être pensée comme une simple couche ajoutée a posteriori, mais intégrée dès la conception des produits, processus et services numériques. Cette exigence de Security By Design s’impose désormais comme une référence commune.
L’objectif de cette convergence normative est d’inciter l’ensemble des acteurs à intégrer la dimension sécuritaire dans leur stratégie d’innovation : architecture logicielle, gestion du cycle de vie des produits, relations contractuelles et gouvernance doivent désormais être structurées autour de la prévention active des risques.
Ce paradigme favorisera, dans la durée, la robustesse, la confiance et la transparence au sein des États membres de l’Union européenne, et conditionne la capacité de résilience collective face aux menaces émergentes.
Encore faut‑il que cette logique s’inscrive dans les faits. Tant que le législateur français n’aura pas pleinement achevé la transposition de NIS 2, que les entités concernées ne disposeront pas toutes des moyens humains et financiers nécessaires, et que les autorités de contrôle n’harmoniseront pas effectivement leurs pratiques, nous évoluerons dans un environnement partiellement incertain. Ce virage stratégique ne pourra donc se concrétiser que si les conditions nécessaires sont effectivement réunies.
L’année 2026 marquera moins l’ère de la conformité défensive que celle d’une conformité assumée, qui sert enfin à quelque chose : créer de la confiance, renforcer la résilience et permettre une innovation qui n’explose pas en plein vol.
***
Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.