NIS2 — Directive sur la sécurité des réseaux
La directive NIS2 renforce significativement les obligations de cybersécurité pour les opérateurs essentiels et importants. Transposée en droit français, elle concerne des milliers d'entités qui n'avaient pas d'obligations formelles sous NIS1.
Qui est concerné ?
Opérateurs de secteurs essentiels (énergie, eau, santé, transports, finance, infrastructure numérique) et importants (nombreux secteurs industriels et de services).
→ Seuils : 50 salariés / 10M€ CA pour les entités importantes.
Principales obligations
Mesures de gestion des risques (10 exigences ANSSI), notification des incidents sous 24h/72h, sécurisation de la chaîne d'approvisionnement, gouvernance.
Notre approche
Cartographie du périmètre, gap analysis des 10 exigences, feuille de route COMEX, préparation aux contrôles ANSSI.
CRA — Sécurité des produits connectés
Le Cyber Resilience Act impose des exigences de cybersécurité à tout fabricant de produits comportant des éléments numériques mis sur le marché européen. Entrée en application progressive jusqu'en décembre 2027.
Qui est concerné ?
Tout fabricant (ou importateur/distributeur) de produits avec éléments numériques : équipements IoT, logiciels, firmware, OT/IT... Les exceptions sont limitées.
Principales obligations
Security by design, gestion des vulnérabilités sur toute la durée de vie (minimum 5 ans), documentation technique, déclaration de conformité ENISA, mise à jour de sécurité.
Notre approche
Analyse d'applicabilité, gap analysis, accompagnement R&D, documentation réglementaire, préparation déclaration ENISA.
RGPD — Protection des données personnelles
Le RGPD s'applique à toute organisation traitant des données personnelles de résidents européens. Après 8 ans d'application, la CNIL renforce ses contrôles — notamment sur les nouvelles technologies (IA, cookies, données de santé).
Champ d'application
Tout traitement de données personnelles de résidents UE, quelle que soit la localisation de l'organisation. Sanctions : jusqu'à 4% du CA mondial ou 20M€.
Points de vigilance 2026
IA générative et RGPD, cookies et consentement, données de santé (Art. 9), sous-traitants et transferts hors UE, droits des personnes.
Notre approche
Registre des traitements, AIPD, droits des personnes, sécurité (Art. 32), articulation NIS2/CRA. DPO externalisé disponible.
AI Act — Conformité des systèmes d'IA
Le règlement européen sur l'intelligence artificielle est entré en vigueur en 2024. Il classe les systèmes d'IA par niveau de risque et impose des obligations croissantes — jusqu'à l'interdiction pour les systèmes à risque inacceptable.
Classification par risque
Risque inacceptable (interdit) / Risque élevé (obligations strictes) / Risque limité (transparence) / Risque minimal (libre). La classification détermine l'ensemble des obligations applicables.
Notre approche
Inventaire des systèmes d'IA, classification par niveau de risque, analyse des obligations applicables, plan de mise en conformité.