Panorama conformité cyber UE : RGPD, NIS2, DORA, CRA + les normes ISO qui “font la preuve”

3 février 2026

Panorama conformité cyber UE : RGPD, NIS2, DORA, CRA + les normes ISO qui “font la preuve”

Lecture opérationnelle des textes cyber UE : périmètres, déclencheurs et priorités. Approche robuste : obligations → ISO 27001 → normes d’appui
Panorama conformité cyber UE : RGPD, NIS2, DORA, CRA + les normes ISO qui “font la preuve”
  • Blog

Panorama conformité cyber UE : RGPD, NIS2, DORA, CRA + les normes ISO qui “font la preuve”

Lecture opérationnelle des textes cyber UE : périmètres, déclencheurs et priorités. Approche robuste : obligations → ISO 27001 → normes d’appui

Introduction

Les organisations opérant en France doivent composer avec un paysage normatif et réglementaire dense : textes européens applicables selon le périmètre (RGPD, NIS2, DORA, CRA, AI Act) et normes ISO largement adoptées pour structurer la gouvernance et produire des preuves auditables.

L’objectif de cet article est de proposer une lecture opérationnelle : qui est concerné, par quoi, à quel moment, et par où commencer.

Cadre de lecture : réglementation, standards de management et normes d’appui

1.1. Cadre réglementaire européen : exigences applicables selon périmètre (règlements / directives)

 

  • RGPD : protection des données personnelles (sécurité du traitement, gestion des violations, accountability).

     

  • NIS2 : obligations de sécurité et de gouvernance pour un large ensemble d’entités “essentielles” / “importantes” dans des secteurs critiques. Les autorités européennes rappellent l’échéance de transposition au 17 octobre 2024 (niveau UE).

     

  • DORA : résilience opérationnelle numérique pour le secteur financier (risque TIC, incidents/notification, prestataires TIC, tests). Le règlement s’applique à partir du 17 janvier 2025.

     

  • CRA (Cyber Resilience Act) : exigences de sécurité pour les produits avec éléments numériques (cycle de vie, vulnérabilités, obligations de notification). Les obligations principales s’appliquent à partir du 11 décembre 2027, avec des obligations de reporting à partir du 11 septembre 2026.

 

1.2. Norme de management (architecture de pilotage + preuves)

  • ISO/IEC 27001 : système de management de la sécurité de l’information (SMSI) = gouvernance, risques, contrôles, audits, amélioration continue.

 

1.3. Normes “d’appui” (le mode d’emploi)

 

  • ISO/IEC 27002 : catalogue de contrôles (mise en œuvre).
  • ISO/IEC 27005 : méthode de management des risques SSI.
  • ISO/IEC 27035-1 : gestion des incidents (préparer/détecter/répondre/REX).
  • ISO/IEC 27701 : extension “privacy management” autour d’un système de management (utile pour industrialiser RGPD).
  •  

👉 La logique la plus robuste est : obligations (RGPD/NIS2/DORA/CRA) → structurées et prouvées via ISO 27001 → opérées avec 27002/27005/27035/27701.

Pourquoi ISO 27001 devient le “socle” pragmatique

Deux raisons très concrètes :

 

1.La preuve est devenue le cœur du jeu.

En France, la CNIL indique avoir été notifiée de 5 629 violations de données personnelles en 2024 (+20% vs 2023) et souligne une hausse préoccupante des violations de très grande ampleur : le nombre d’incidents touchant plus d’un million de personnes a doublé en un an. En 2025, les données ouvertes de la CNIL recensent déjà 6 929 notifications enregistrées (extraction disponible, non exhaustive)
Quand la pression augmente, ce ne sont pas les intentions qui protègent : ce sont des dispositifs démontrables (politiques, journaux, revues, contrôles, tests, REX).

 

2.ISO 27001 convertit des exigences en système pilotable.
 La norme est conçue pour transformer “il faut” en “voici comment c’est gouverné, mesuré, audité et amélioré”. À l’échelle mondiale, le volume de certifications progresse fortement (≈ 96 000 certificats valides en 2024 selon l’ISO Survey relayé par AFNOR International).
Cette dynamique reflète une standardisation des pratiques : ISO/IEC 27001 s’impose comme un référentiel commun de gouvernance, de contrôle et de preuve entre clients, partenaires, auditeurs et autorités.

Les textes applicables : périmètre, exigences clés et déclencheurs

3.1)RGPD : sécurité du traitement et conformité “démontrable”

 

Le RGPD encadre la protection des données personnelles et impose une logique d’accountability : être capable de démontrer, à tout moment, que des mesures appropriées sont en place (gouvernance, maîtrise des risques, contrôles, documentation et preuves). Il couvre notamment la sécurité du traitement, la gestion des violations (détection, qualification, documentation, notification si applicable) et la gestion des relations avec les sous-traitants (clauses, exigences, suivi). En pratique, la conformité RGPD devient beaucoup plus robuste quand elle est adossée à un dispositif structuré de gouvernance et de preuves (ex. SMSI ISO/IEC 27001) et, si pertinent, à une extension “privacy” (ex. ISO/IEC 27701).

 

Déclencheurs typiques :

  • Tu collectes/traites des données personnelles (clients, prospects, salariés) à une échelle significative.
  • Tu externalises des traitements (SaaS, cloud, sous-traitants) et tu dois sécuriser la chaîne contractuelle et opérationnelle.
  • Tu as des enjeux de violations de données (incidents, rançongiciel, exfiltration) et tu veux être prêt sur la détection, la qualification et la notification.
  • Tes clients (notamment B2B) demandent des garanties de conformité et des preuves (registre, procédures, mesures, audits).

 

3.2) NIS2 : qualification des entités et implications opérationnelles

 

NIS2 élargit le périmètre à de nombreux secteurs et structures. Côté France, l’ANSSI (autorité nationale) communique sur l’ampleur : “Plus de 10 000 entités concernées, réparties sur 18 secteurs.” (support de sensibilisation NIS2).

 

Déclencheurs typiques :

  • Tu opères un service critique/essentiel ou tu es dans un secteur listé (énergie, transport, santé, numérique, eau, administration, etc. – voir la liste complète).
  • Tu fournis des services numériques/IT à des acteurs régulés et tes clients te “tirent” vers des exigences de sécurité et de preuve.
  • Tu es fortement dépendant de prestataires et la supply chain devient un risque majeur.

 

Objectif : une conformité démontrable, structurée par la gouvernance, la gestion des risques, les mesures, la gestion d’incidents, la sécurité des tiers et un evidence pack prêt évaluation.

 

3.3) DORA : champ d’application et exigences clés pour le secteur financier

 

DORA s’applique depuis le 17 janvier 2025. Il vise la résilience opérationnelle numérique, avec quatre piliers opérationnels :

  • gouvernance et gestion du risque TIC,
  • incidents TIC et mécanismes de notification,
  • gestion des prestataires TIC (third-party risk),
  • programme de tests de résilience.

Au niveau européen, des lignes directrices précisent les modalités de coopération entre autorités compétentes et d’échange d’informations dans le cadre de DORA.

 

Déclencheurs typiques :

  • Tu es établissement financier / assurance / acteur régulé.
  • Tu es prestataire TIC fortement exposé à des exigences DORA de tes clients (contrats, due diligence, reporting, tests).

 

3.4) CRA : champ d’application et exigences de sécurité pour les produits avec éléments numériques

 

Le CRA impose des exigences sur le cycle de vie de sécurité des produits avec éléments numériques (gestion des vulnérabilités, sécurité dès la conception, obligations de reporting). La Commission européenne indique :

  • entrée en vigueur : 10 décembre 2024,
  • obligations principales : 11 décembre 2027,
  • obligations de reporting : à partir du 11 septembre 2026.

 

Déclencheurs typiques :

  • Tu édites un logiciel “packagé”, un produit connecté, une solution embarquée, ou tu mets sur le marché UE un produit numérique.
  • Tu as un modèle SaaS + composants clients / agents / appliances (selon qualification produit).

Le guide de décision : quel référentiel pour quel enjeu ?

Enjeu A — Données personnelles et confiance client

  • Priorité : RGPD
  • Socle de déploiement : ISO 27001 + 27002 (contrôles) + 27035 (incidents)
  • Industrialisation privacy : ISO 27701

 

Enjeu B — Entité critique / secteurs concernés / exigences régulateur

  • Priorité : NIS2
  • Socle de preuve : ISO 27001 (gouvernance/risques/audits) + 27005 (risques) + 27035 (incidents)
  • Axes prioritaires : tiers/supply chain + evidence pack 

 

Enjeu C — Finance : résilience opérationnelle numérique

  • Priorité : DORA (applicable)
  • Socle : ISO 27001 pour structurer management + preuves
  • Axes prioritaires: prestataires TIC + tests + reporting

 

Enjeu D — Produits numériques mis sur le marché UE

  • Priorité : CRA (avec reporting dès 11/09/2026)
  • Socle : ISO 27001 + Secure SDLC + vulnérabilités + supply chain logicielle

Axes prioritaires : vuln management + obligations de notification + traçabilité

FAQ - Questions fréquentes

  • Règlement UE : s’applique directement et de manière uniforme dans tous les États membres dès son entrée en vigueur, sans “loi de transposition” nationale.

  • Directive UE : fixe un objectif obligatoire, mais chaque État membre choisit comment l’intégrer dans son droit national via une transposition (donc des variations possibles selon les pays).

Non. ISO/IEC 27001 n’est pas légalement obligatoire en soi pour ces textes.
En revanche, c’est souvent le socle pragmatique car elle fournit :

  • un système de management (gouvernance, risques, contrôles, audits, amélioration continue),

  • et surtout des preuves auditables (politiques, revues, enregistrements, résultats de tests, REX).

👉 Donc : pas obligatoire, mais très utile pour rendre la conformité démontrable et industrialiser l’exécution.

Un evidence pack (dossier de preuves) = l’ensemble des éléments vérifiables qui démontrent que ton dispositif est réellement en place et piloté.

Typiquement, on y trouve :

  • gouvernance : politiques, rôles, comités, décisions, KPI/KRI ;

  • risques : méthode, registre des risques, traitements, acceptations ;

  • contrôles : procédures, configurations, inventaires, revues d’accès ;

  • incidents : playbooks, journaux, rapports d’incidents, retours d’expérience ;

  • tiers : due diligence, clauses, évaluations, suivi fournisseurs ;

  • tests : résultats de tests, exercices, plans d’actions, preuves de correction.

👉 C’est ce qui te permet de passer de “on est conforme” à “voici nos preuves”.

DORA vise d’abord les entités financières. Mais, dans les faits, il “embarque” fortement leurs prestataires TIC (cloud, infogérance, services IT), parce que la conformité DORA impose des exigences sur la gestion des prestataires, les contrats, le suivi, les incidents et certains tests.

👉 Donc : même si tu n’es pas une entité financière, tu peux être impacté contractuellement et opérationnellement si tu fournis des services TIC au financier.

Périmètre : le CRA vise les produits avec éléments numériques, en pratique des produits logiciels ou matériels (et leurs solutions de traitement à distance) dont l’usage implique une connexion logique ou physique à un appareil ou un réseau.

Reporting : la European Commission indique que les obligations de reporting démarrent le 11 septembre 2026, et le régime s’applique pleinement le 11 décembre 2027.

Conclusion

RGPD, NIS2, DORA et CRA ne sont pas des textes “à cocher” séparément. Ils décrivent, chacun à sa manière, une même exigence de fond : réduire le risque et prouver que la sécurité est pilotée, maîtrisée et améliorable.

La lecture la plus efficace est donc opérationnelle :

  1. Qualifier ton périmètre et identifier les déclencheurs applicables.

  2. Structurer la preuve avec un socle de gouvernance type ISO/IEC 27001.

  3. Exécuter avec les normes d’appui : 27002 pour les contrôles, 27005 pour le risque, 27035-1 pour les incidents, 27701 pour industrialiser la privacy.

  4. Constituer un evidence pack prêt pour les audits, les clients et les autorités.

L’objectif n’est pas d’empiler des obligations, mais de construire une trajectoire conforme et démontrable, qui tient dans la durée et résiste à l’évaluation.

Nos autres articles