Depuis le 17 octobre 2024, la directive NIS2 oblige des dizaines de milliers d'entreprises européennes à renforcer leur cybersécurité. Moins de 30% des entreprises européennes concernées par NIS2 étaient conformes à la date d'entrée en vigueur. Le 17 janvier 2025, DORA est venu encadrer la résilience numérique des services financiers. Entre février 2025 et août 2026, le règlement européen sur l'AI Act déploie ses obligations par vagues successives. Trois cadres, trois calendriers, une seule question pour les RSSI : votre IA est-elle juridiquement défendable ?
La conformité en cybersécurité IA n'est plus une option, ni un sujet purement juridique. Elle est devenue un chantier opérationnel qui touche directement vos modèles, vos pipelines de données, vos systèmes de supervision et vos processus de réponse à incident. Les amendes potentielles donnent le ton : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour NIS2, et jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires pour l'AI Act.
Ce guide pose le panorama complet, pour les RSSI et les DSI, des trois cadres qui structurent désormais leur travail. Il met en regard les obligations qui se chevauchent, identifie les capacités IA indispensables pour s'y conformer sans exploser les budgets, et propose une roadmap pratique 2026-2027 qui transforme la contrainte en avantage compétitif.
NIS2, DORA et AI Act : pourquoi trois cadres convergent en 2026
L'Europe a fait un choix politique fort : multiplier les textes verticaux plutôt que de tout faire tenir dans un seul. La conséquence opérationnelle est qu'un même RSSI peut désormais relever simultanément des trois régulations. Comprendre comment elles s'articulent est la première étape vers une conformité efficace.
NIS2 : 10 obligations qui touchent toute votre IA
NIS2 s'applique à 18 secteurs critiques : santé, énergie, finance, transports, télécoms, eau, infrastructures numériques, administration publique, espace, agroalimentaire, chimie, industrie manufacturière, entre autres. L'article 21 fixe 10 obligations cyber : du management des risques à la formation continue, en passant par la divulgation des incidents sous 24 heures.
Pour les responsables informatiques, le point essentiel est le suivant : chacune de ces obligations s'applique également à vos systèmes d'IA. Les modèles de détection comportementale, les assistants LLM internes, les moteurs de recommandation client : tous relèvent de ce champ d'application, même si le texte ne les mentionne pas explicitement.
DORA : la résilience numérique des services financiers
En vigueur depuis le 17 janvier 2025, la DORA s'adresse aux banques, aux assureurs, aux gestionnaires d'actifs, aux fintechs et à leurs prestataires tiers. Ses cinq piliers – gestion des risques liés aux TIC, notification des incidents, tests de résilience, surveillance des tiers et partage d'informations – recoupent largement ceux de la directive NIS2, mais placent la barre plus haut.
Un point souvent négligé : DORA encadre aussi les fournisseurs cloud et IA des institutions financières. Si vous opérez une plateforme d'IA destinée à une banque européenne, vous êtes désormais soumis à ses obligations de continuité et d'auditabilité, même si vos bureaux sont sur le continent Européen.
AI Act : la classification par niveau de risque
La loi sur l'IA adopte une approche différente. Elle classe les systèmes d'IA en quatre catégories : interdits, à haut risque, à risque limité et à risque minimal, et leur impose des obligations proportionnées. Les interdictions sont entrées en vigueur le 2 février 2025. Les obligations relatives aux IA à haut risque deviendront exécutoires le 2 août 2026.
L'article 15 du texte intéresse directement les RSSI : il impose un niveau de cybersécurité et de robustesse approprié pour tout système d'IA à haut risque. En clair, vos modèles doivent résister à l'empoisonnement de données, à l'inversion de modèle et aux attaques adversariales. C'est exactement le terrain de la cybersécurité IA.
Les 4 capacités IA indispensables pour s'y conformer
S'attaquer aux trois cadres avec des outils traditionnels conduit à la noyade documentaire. Les RSSI qui réussissent leur conformité construisent quatre capacités structurantes, qui s'appuient toutes sur l'IA elle-même.
Inventaire et cartographie continue Aucune conformité n'est possible sans un inventaire exhaustif des systèmes d'IA en production, de leurs flux de données et de leurs dépendances. Les approches manuelles, par questionnaire, vieillissent en quelques semaines. Un inventaire piloté par IA, intégré au SI, met à jour la cartographie en temps réel.
Détection comportementale et anomalies Les approches signature-based des SIEM traditionnels passent à côté des attaques sur l'IA elles-mêmes, adversariales, prompt injection, model extraction Une couche cybersécurité augmentée par IA détecte les déviations comportementales et fournit la preuve d'application des contrôles attendue par les régulateurs
Reporting automatisé d'incidents. La directive NIS2 impose une notification dans les 24 heures ; la directive DORA prévoit un délai de 4 heures pour les incidents majeurs qualifiés, avec un rapport intermédiaire au bout de 72 heures. Sans automatisation, ces délais sont impossibles à respecter. Les flux d'incidents doivent être structurés, qualifiés et acheminés vers l'autorité compétente en temps quasi réel, ce qui correspond exactement au type de flux de travail qu'un SOC piloté par l'IA orchestre de manière native.
Audit continu des modèles. L'AI Act exige une documentation technique vivante, registre des modèles, datasheets, model cards et un monitoring post-déploiement de la dérive. Les capacités d'explainable AI (SHAP, LIME, contrefactuels) deviennent un prérequis, pas un confort.
Mapping des trois cadres : où ils se rencontrent, où ils divergent
Au-delà du calendrier, ce qui structure le travail d'un RSSI, c'est l'articulation concrète entre les obligations. Le tableau ci-dessous fournit la grille de lecture.
| Dimension | NIS2 | DORA | AI Act |
| Périmètre | 18 secteurs critiques | 18 secteurs critiques Services financiers + fournisseurs ICT | Tout système d'IA mis sur le marché EU |
| Entrée en vigueur | 17/10/2024 | 17/01/2025 | 02/02/2025 → 02/08/2026 |
| Obligations cyber | 10 (Article 21) | 5 pilliers | Article 15 (Haut risque) |
| Notification d'incident | 24 h (alerte précoce) | 4 h (incidents majeurs) | Variable selon catégorie |
| Sanction maximale | 10 M€ ou 2 % du CA mondial | Des sanctions significatives pouvant atteindre 1% du chiffre d'affaires journalier moyen | 35 M€ ou 7 % du CA mondial |
| Approche | Sectorielle | Sectorielle financier | Transversale par niveau de risque |
Trois constats opérationnels en sortent. D'abord, une institution financière régulée DORA, déployant de l'IA à haut risque et opérant dans un secteur critique au sens de NIS2 doit construire un dispositif unique qui satisfait les trois cadres. C'est la majorité des grandes banques européennes.
Deuxièmement, les obligations en matière de cybersécurité s'articulent autour de la gouvernance, de la gestion des risques, de la surveillance continue et du signalement des incidents, mais les délais et les autorités compétentes varient. Le véritable risque opérationnel ne réside pas dans la non-conformité en soi, mais dans la multiplicité des rapports, qui finit par déclencher des inspections.
Enfin, l'AI Act ajoute une couche que NIS2 et DORA n'avaient pas : la robustesse adversariale, la traçabilité des décisions et la documentation des biais. Un sujet purement IA qui devient cyber dès qu'on l'intègre dans un système opérationnel.
Roadmap pratique 2026-2027 pour les RSSI
L'AI Act, c'est 8 obligations clés. La plupart des entreprises européennes n'en ont pas franchi la première : l'inventaire. Avant de bâtir une roadmap ambitieuse, il faut prendre 90 jours pour atterrir.
1er trimestre (90 jours) : état des lieux et priorités. Inventaire complet des systèmes d'IA et de leurs flux de données. Classification AI Act (interdit / haut / limité / faible). Identification des écarts par rapport à l'article 21 de NIS2. Mise en place du registre de modèles. Désignation d'un référent IA-cyber au comité de direction. Ce trimestre ne nécessite pas de gros investissements outillage, mais une mobilisation transversale IT, métier et juridique.
2e et 3e trimestres (6 mois) : mise en place. Déploiement d'une couche de supervision IA continue. Mise à niveau du dispositif de détection comportementale. Industrialisation du reporting incidents. Lancement d'un audit de robustesse adversariale sur les modèles à haut risque. Première session de formations dédiées à NIS2 et ISO 27001 pour les équipes IT et métiers.
Trimestres 4 à 6 (12 à 18 mois) : industrialisation. Couverture exhaustive des modèles en production. Tests adversariaux trimestriels. Intégration des KPI de conformité au reporting C-level. Préparation aux contrôles ANSSI, ACPR ou autorité notifiée IA. C'est à ce stade que la conformité devient un atout commercial, particulièrement face aux clients du secteur public et de la finance.
Pourquoi la conformité cybersécurité IA est désormais un avantage compétitif
Trop d'entreprises considèrent encore la conformité comme un coût. C'est une erreur de perspective. Les responsables de la sécurité des systèmes d'information (RSSI) qui ont pris les devants sur la directive NIS 2 et la loi sur l'IA remportent aujourd'hui les appels d'offres, car ils sont en mesure de prouver, audits à l'appui, ce que leurs concurrents se contentent d'affirmer sur une diapositive.
L'IA souveraine, explicable et résiliente n'est plus un slogan : c'est devenu une exigence d'achat dans la banque, l'assurance, l'industrie automobile, le secteur de l’aviation, le secteur ferroviaire mais également le secteur public. Chez Neo Coeur Intelligence (NCI), nous voyons des appels d'offres où les acheteurs demandent désormais le mapping NIS2 × ISO 27001 × AI Act dès le cahier des charges. Ne pas avoir la carte coûte des contrats.
La bonne nouvelle, c'est que les fondations sont en grande partie communes. Une cartographie IA propre, une supervision continue, un reporting automatisé et un audit de robustesse couvrent l'essentiel des trois cadres. C'est exactement ce qu'apportent un CSI – Centre de Supervision Intelligent et une approche cybersécurité augmentée par IA.
Conclusion : transformer la contrainte en élan stratégique
La conformité en matière de cybersécurité de l'IA en 2026 se résume à une équation simple : trois cadres réglementaires européens – NIS2, DORA et la loi sur l'IA – qui, ensemble, imposent une discipline opérationnelle à laquelle personne n'était habitué. La bonne nouvelle, c'est que ces obligations s'articulent autour de quatre capacités structurelles liées à l'IA : l'inventaire continu, la détection comportementale, le reporting automatisé et l'audit explicable. La mauvaise nouvelle, c'est que les délais sont déjà serrés et que les sanctions dépassent ce qu'une organisation sérieuse peut supporter.
Le bon réflexe n'est pas d'attendre le premier contrôle pour se mettre en mouvement. Cartographiez dès maintenant ce que votre organisation déploie en IA, identifiez les écarts, priorisez un plan d'action 90 jours qui débloque les fondations. Cet exercice ne demande pas de gros budgets : il demande de la rigueur et la bonne méthode.
Évaluez votre exposition aux risques IA en 5 minutes
Obtenez un score actionnable face à NIS2, DORA et l'AI Act, et une roadmap claire pour les 90 prochains jours.
