L'application de la directive NIS2 s'accélère dans les États membres de l'UE avec les premières sanctions émises. L'échéance de conformité DORA approche—il ne reste que 9 mois. L'application du RGPD atteint des niveaux records avec 2,1 milliards d'euros d'amendes pour 2025. L'AI Act de l'UE entre en phase d'application.
L'échéance de transposition de la directive NIS2 est passée en octobre 2024. Les États membres de l'UE appliquent désormais activement les exigences de cybersécurité, les premières sanctions administratives ayant été émises au T1 2026. Les organisations non conformes risquent des amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
Allemagne a émis sa première sanction NIS2 en février 2026 à un fournisseur de services cloud de taille moyenne pour défaut de mise en œuvre de mesures de gestion des risques. Amende: 850 000 €.
France a ouvert des enquêtes sur 14 entités dans les secteurs de la santé et de l'infrastructure numérique pour gouvernance de cybersécurité inadéquate.
Le Digital Operational Resilience Act (DORA) entre en vigueur le 17 janvier 2025. Les entités financières ont moins de 9 mois pour atteindre la conformité complète.
| Pilier | Exigences Clés |
|---|---|
| Gestion des Risques TIC | Cadre complet couvrant l'identification, la protection, la détection, la réponse et la récupération |
| Signalement des Incidents | Les incidents TIC majeurs signalés aux autorités de surveillance dans des délais stricts |
| Tests de Résilience | Tests réguliers incluant des tests de pénétration guidés par les menaces (TLPT) |
| Risque Tiers | Gestion des fournisseurs TIC tiers avec arrangements contractuels |
L'application du RGPD a atteint des niveaux sans précédent en 2025, les autorités de protection des données de l'UE ayant émis 2,1 milliards d'euros d'amendes administratives — une augmentation de 40% par rapport à 2024.
650 M€ — Grande plateforme de médias sociaux (DPC Irlande): Traitement illégal de données personnelles pour la publicité comportementale
425 M€ — Entreprise mondiale de technologie publicitaire (CNIL France): Partage de données d'enchères en temps réel sans consentement valide
Le EU Artificial Intelligence Act est entré en vigueur en août 2024. Les dispositions clés s'appliquent progressivement de 2026 à 2027.
| Date | Dispositions Applicables |
|---|---|
| Février 2026 | Pratiques d'IA interdites (Article 5) |
| Mai 2026 | Exigences pour les modèles d'IA à usage général (Chapitre V) |
| Août 2026 | Exigences pour les systèmes d'IA à haut risque (Chapitre III) |
🗡️ Équipe Conformité KENSAI | 6 mars 2026