D’un sujet réglementaire à un sujet de gouvernance stratégique
En 2025, la conformité réglementaire en matière de cybersécurité et de résilience numérique n’est plus un sujet réservé aux directions IT ou juridiques. Avec l’entrée en application progressive de NIS2 et DORA, la responsabilité directe des dirigeants et des organes de gouvernance est désormais explicitement engagée.
Ces deux cadres européens marquent un tournant :
ils ne visent plus uniquement la protection des systèmes, mais la continuité des activités économiques critiques, dans un contexte de tensions géopolitiques, d’attaques cyber industrialisées et de dépendance massive au numérique.
1. NIS2 et DORA : deux textes, une même logique stratégique
1.1 NIS2 : sécuriser les secteurs vitaux européens
La directive NIS2 (Directive (EU) 2022/2555) remplace NIS1 avec un périmètre élargi, des exigences renforcées et des sanctions significativement accrues.
Elle concerne désormais :
-
énergie, transports, santé, eau, télécoms
-
services numériques, data centers, cloud
-
fournisseurs IT critiques
-
grandes et moyennes entreprises de secteurs jugés essentiels ou importants
Texte officiel de la directive NIS2 (EUR-Lex)
https://eur-lex.europa.eu/eli/dir/2022/2555/oj
NIS2 introduit notamment :
-
une obligation de gestion des risques cyber
-
une obligation de déclaration rapide des incidents
-
une responsabilité explicite du top management
1.2 DORA : la résilience numérique du secteur financier
Le règlement DORA (Digital Operational Resilience Act – Règlement (UE) 2022/2554) s’applique directement, sans transposition nationale, à partir de 2025.
Il concerne :
-
banques, assurances, sociétés de gestion
-
prestataires de services financiers
-
fournisseurs IT critiques du secteur financier (cloud, data, services numériques)
Texte officiel DORA (EUR-Lex)
https://eur-lex.europa.eu/eli/reg/2022/2554/oj
DORA impose :
-
une gestion continue des risques ICT
-
des tests de résilience avancés
-
une surveillance des prestataires tiers critiques
-
une gouvernance documentée et démontrable
2. Ce qui change fondamentalement pour les dirigeants en 2025-2026
2.1 Responsabilité directe des organes de direction
NIS2 est explicite :
les dirigeants doivent valider, superviser et assumer les mesures de cybersécurité mises en place.
La directive prévoit :
-
des sanctions financières
-
des mesures administratives
-
la possibilité de responsabilité individuelle en cas de manquement grave
Cette évolution est confirmée par l’Agence européenne pour la cybersécurité (ENISA), qui insiste sur le rôle clé du leadership exécutif.
ENISA – NIS2 explained
https://www.enisa.europa.eu/topics/nis2-directive
2.2 Passage d’une logique de conformité à une logique de résilience
Les textes ne demandent plus seulement :
-
des politiques écrites
-
des contrôles techniques
Ils exigent :
-
une capacité réelle à absorber une crise
-
une continuité mesurable des opérations
-
une prise de décision rapide en situation dégradée
Selon l’ENISA Threat Landscape 2024, les attaques ciblant les infrastructures critiques européennes ont continué d’augmenter, tant en volume qu’en sophistication.
ENISA Threat Landscape (rapport public)
https://www.enisa.europa.eu/publications/enisa-threat-landscape
3. Les erreurs les plus fréquentes observées en 2024-2025
3.1 Réduire NIS2 et DORA à un exercice de conformité documentaire
De nombreuses organisations ont abordé NIS2/DORA comme :
-
un projet juridique
-
une checklist IT
Résultat :
-
dispositifs formels mais non opérationnels
-
incapacité à réagir efficacement lors d’un incident réel
3.2 Sous-estimer la dépendance aux prestataires tiers
DORA met fortement l’accent sur les tiers critiques :
-
fournisseurs cloud
-
MSSP
-
éditeurs logiciels stratégiques
Les dirigeants doivent désormais :
-
identifier les dépendances critiques
-
évaluer la résilience des fournisseurs
-
être capables de démontrer un contrôle effectif
La Commission européenne insiste sur ce point dans ses communications sur la résilience financière.
Commission européenne – Digital finance & DORA
https://finance.ec.europa.eu/digital-finance/digital-operational-resilience-act-dora_en
4. Ce que font les organisations les plus matures
4.1 Gouvernance cyber au niveau COMEX
Les entreprises les plus avancées ont mis en place :
-
un pilotage cyber au niveau COMEX ou Board
-
des tableaux de bord orientés risque business
-
une articulation claire entre IT, cyber, juridique et opérations
4.2 Exercices de crise et tests de résilience
NIS2 et DORA convergent sur un point clé :
tester régulièrement la capacité de réaction de l’organisation.
Cela inclut :
-
des exercices de gestion de crise
-
des scénarios d’attaque réalistes
-
des tests de communication interne et externe
Ces pratiques sont explicitement recommandées par l’ENISA et les autorités européennes.
5. Lien direct avec les opérations M&A et les transformations
Un point souvent sous-estimé :
NIS2 et DORA impactent directement les opérations de fusion, acquisition et carve-out.
Lors d’un M&A :
-
l’acquéreur hérite des risques cyber
-
la non-conformité peut retarder une intégration
-
les sanctions potentielles deviennent un risque financier réel
C’est pourquoi les dirigeants intègrent désormais la conformité NIS2/DORA dans la due diligence IT et cyber, dès la phase pré-deal.
NIS2 et DORA sont des leviers de crédibilité stratégique
En 2025-2026, NIS2 et DORA ne doivent pas être perçus comme des contraintes réglementaires supplémentaires, mais comme :
-
un cadre structurant pour la gouvernance numérique
-
un outil de renforcement de la résilience organisationnelle
-
un signal fort envoyé aux investisseurs, partenaires et autorités
Les dirigeants qui abordent ces textes avec une vision stratégique, et non défensive, transforment la conformité en avantage compétitif durable.
