← Back to Blog
Briefing réglementaire cyber 5 min read 2026-04-10

Briefing réglementaire cyber, 10 avril 2026 : NIS2, DORA, RGPD et AI Act européen passent de la politique aux opérations

L’humeur du corpus réglementaire cyber européen n’est plus à attendre. Les signaux de la semaine sont opérationnels : NIS2 devient plus concret, DORA devient procédural, les autorités RGPD rendent la conformité plus exploitable, et l’AI Act européen reçoit enfin la pile de guidances que les entreprises réclamaient.


En bref : les règlements européens convergent vers le même message, prouver les contrôles, documenter les dépendances et se préparer à un examen croisé des régulateurs au lieu de traiter chaque texte comme une voie administrative séparée.


1. NIS2 reste une histoire d’exécution, pas de communication

Le signal NIS2 le plus important au 10 avril n’est pas une sanction spectaculaire. C’est le fait que la machine de mise en œuvre continue de se resserrer. Le guide technique d’ENISA reste l’une des références opérationnelles les plus claires pour les infrastructures numériques, la gestion des services ICT et les prestataires numériques. En parallèle, l’avis conjoint EDPB-EDPS de mars 2026 sur les amendements liés à NIS2 et au Cybersecurity Act 2 rappelle que résilience cyber et protection des données sont désormais traitées ensemble.

Cela compte, car beaucoup d’équipes traitent encore NIS2 comme un simple exercice de périmètre. Ce n’est plus suffisant. Le vrai point de pression est la capacité à produire des preuves sur la gestion des risques, la notification d’incident, les contrôles de chaîne d’approvisionnement, la gestion des vulnérabilités et la gouvernance.

Pourquoi c’est important


2. DORA devient procédural, donc les excuses disparaissent

L’EBA et les autres ESA sont désormais dans la mécanique concrète de DORA. Le cadre de supervision des fournisseurs tiers ICT critiques n’est plus théorique, il se matérialise via des désignations annuelles, des Joint Examination Teams et des workflows formels. Côté reporting, le framework 4.2 de l’EBA envoie un message très clair : le reporting DORA appartient désormais au nouveau pipeline opérationnel, et certaines soumissions doivent déjà être traitées en CSV.

Pour les banques, assureurs, entreprises d’investissement et leurs fournisseurs, DORA cesse ici d’être une note de politique pour devenir un problème de pilotage opérationnel. Si votre registre d’information est incomplet ou si votre inventaire tiers est flou, la faiblesse n’est plus abstraite.

Pourquoi c’est important


3. Les régulateurs RGPD veulent une conformité plus exploitable et mieux reliée aux autres lois numériques

Le rapport annuel de l’EDPB publié le 9 avril mérite une lecture attentive, car il dit clairement que l’empilement réglementaire européen devient plus complexe et que les entreprises peinent à cartographier des obligations qui se recoupent. Le Board promet davantage de sécurité juridique, d’appui pratique et de coopération inter-réglementaire. Cela inclut le travail sur l’articulation entre le RGPD et les textes plus récents, ainsi qu’un digest one-stop-shop de mars 2026 sur l’intérêt légitime qui transforme les débats abstraits de l’article 6(1)(f) en exemples réels d’application.

Pour les équipes sécurité, le message est simple. Le RGPD n’est plus seulement un fardeau du service privacy dans un dossier séparé. Il devient une partie de l’explication sur la journalisation, la supervision, la détection de fraude, les systèmes d’identité, l’usage de l’IA et les choix de partage de données.

Pourquoi c’est important


4. L’AI Act européen entre dans la phase de guidance dont les entreprises ont réellement besoin

L’AI Office de la Commission a rendu la direction 2026 assez explicite. Des lignes directrices sont en préparation sur la classification haut risque, les obligations de transparence, le reporting des incidents graves, les responsabilités dans la chaîne de valeur IA, les modifications substantielles, le post-market monitoring, le management qualité simplifié pour les PME et l’articulation entre AI Act et droit européen de la protection des données. En plus, la page politique principale de l’AI Act indique que d’autres outils de soutien à la transparence sont attendus au deuxième trimestre 2026.

C’est la vraie histoire du moment. L’AI Act n’est plus seulement une échéance future. L’architecture de soutien qui l’entoure arrive, ce qui laisse moins d’espace aux entreprises pour invoquer l’ambiguïté lorsque les obligations 2026 et 2027 s’appliqueront.

Pourquoi c’est important


Ce que les équipes sécurité et conformité devraient faire ensuite

  1. Unifier la preuve : ne gardez pas NIS2, DORA, RGPD et AI Act dans des silos séparés si les systèmes sous-jacents sont les mêmes.
  2. Nettoyer la visibilité fournisseur : votre cartographie des dépendances ICT doit nommer services, responsables, contrats et criticité.
  3. Revoir les bases légales : monitoring, lutte contre la fraude, analytique d’identité et flux IA méritent une nouvelle revue RGPD.
  4. Préparer la gouvernance IA dès maintenant : inventorier les modèles, classifier les usages, définir la supervision humaine et l’escalade.
  5. Briefer la direction en langage métier : le fil commun, c’est résilience, responsabilité et contrôle démontrable.

Sources suivies pour ce briefing : pages NIS2 et guide technique d’ENISA, pages DORA et framework 4.2 de l’EBA, rapport annuel et publications de l’EDPB, ainsi que les pages de mise en œuvre de l’AI Act de la Commission européenne, consultés le 10 avril 2026.

Transformer la pression réglementaire en avantage sur la surface d’attaque

KENSAI aide les équipes à cartographier les actifs exposés, les contrôles faibles et les chemins de risque tiers avant que les régulateurs ou les attaquants ne les trouvent.

Lancer un scan gratuit →

Restez affûtés.

🗡️ Équipe sécurité KENSAI