La prochaine étape de Bruxelles : ce qui vient après NIS2 et DORA

NIS2 et DORA n'étaient que la phase 1. AI Act, Data Act, CRA, EUCS et les nouvelles règles de responsabilité sont sur le point de définir la phase 2. Voici la feuille de route concrète que les responsables GRC doivent anticiper.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de lecture
Brussels' Next Move: What Comes After NIS2 and DORA

Bruxelles ne ralentit pas. Si NIS2 et DORA ont semblé lourds, la vague suivante ; déjà publiée, législée ou en négociation finale ; est plus vaste, plus stricte et plus opérationnelle.

L'ère du « un règlement tous les quelques années » est terminée. Nous entrons dans la réglementation numérique continue.

Voici ce qui arrive concrètement ; avec des implications claires et actionnables pour chaque CISO, DPO et Digital Compliance Officer.

1. Mise en application de l'AI Act (2025–2026) : la nouvelle bête de gouvernance

L'AI Act est le règlement le plus ambitieux de l'UE depuis le GDPR. Contrairement à NIS2, il ne se limite pas à la cybersécurité ; il régit la façon dont l'intelligence est construite, testée, déployée, surveillée et documentée.

Ce que les organisations devront mettre en œuvre (pas de théorie, c'est la réalité) :

  • Classification des risques IA (interdit / à haut risque / limité / usage général)
  • Dossiers de documentation des modèles (données d'entraînement, évaluation, architecture)
  • Évaluations des risques obligatoires (alignées sur ISO 42001)
  • Surveillance continue des dérives, biais et hallucinations
  • Red-teaming pour les modèles à haut risque et les modèles de fondation
  • Notification des incidents IA au nouvel EU AI Office
  • Fonctions de supervision humaine
  • Traçabilité complète des décisions
  • Responsabilisation des fournisseurs d'IA et audits

Impact :

Cela nécessitera une nouvelle fonction de gouvernance au sein des organisations ; c'est pourquoi Bruxelles pousse implicitement à l'émergence du Digital Compliance Officer (DCO).

2. Data Act (2025) : accès aux données, portabilité et interopérabilité obligatoires

Le Data Act modifie la façon dont les entreprises gèrent les données à un niveau structurel, notamment les fournisseurs de cloud et les secteurs riches en données.

Obligations clés :

  • Les utilisateurs doivent pouvoir changer de fournisseur cloud rapidement et à moindre coût
  • Portabilité des données obligatoire entre infrastructures cloud
  • Interdiction de certaines pratiques de verrouillage fournisseur
  • Transparence sur le traitement des données et les droits d'utilisation
  • Interopérabilité obligatoire entre les appareils IoT et les systèmes back-end
  • Droits d'accès pour les organismes publics en cas d'urgence

Impact :

Le verrouillage fournisseur deviendra un problème de non-conformité réglementaire. Les architectures cloud doivent être repensées en intégrant la sortie et la portabilité ; ce qui s'aligne directement avec les exigences de résilience ICT de DORA.

3. Cyber Resilience Act (CRA) : secure-by-design pour tout produit numérique

Le CRA impose des exigences de cybersécurité obligatoires pour tout produit comportant des éléments numériques ; matériel, logiciel, systèmes embarqués, IoT, équipements industriels.

  • Exigences de secure-by-design et by-default
  • Processus de gestion des vulnérabilités obligatoires
  • Alerte précoce à ENISA sous 24h pour toute exploitation active
  • Notification d'incident sous 72h
  • 5 à 10 ans de mises à jour de sécurité selon la criticité du produit
  • Exigences de SBOM (software bill of materials)
  • Évaluations de conformité avant la mise sur le marché des produits

Impact :

Cela touchera les éditeurs de logiciels, les entreprises SaaS, les producteurs industriels et même les startups. Les équipes produit vont intégrer l'écosystème de conformité pour la première fois.

4. EUCS (EU Cloud Certification Scheme) : le futur référentiel de sécurité cloud

EUCS va redéfinir l'usage du cloud dans toute l'UE. C'est plus qu'une certification ; c'est une stratégie de souveraineté.

Ce qu'EUCS imposera :

  • Trois niveaux d'assurance (Basic, Substantial, High)
  • Exigences de résidence des données
  • Transparence obligatoire sur les sous-traitants
  • Restrictions sur les influences juridictionnelles non-UE au niveau « High » (conflits avec le CLOUD Act)
  • Auditabilité renforcée pour les fournisseurs cloud
  • Obligations de notification d'incidents alignées sur NIS2/DORA
  • Contrôles de sécurité obligatoires au-delà de ISO 27001

Impact :

  • AWS/Azure/GCP pourraient ne pas qualifier pour le niveau « High » sans adapter leurs modèles de gouvernance
  • Les secteurs critiques devront utiliser des services certifiés EUCS
  • Les stratégies multi-cloud ne seront plus optionnelles ; elles deviendront une assurance réglementaire

C'est le règlement qui va remodeler les stratégies cloud à travers l'Europe.

5. Sanctions renforcées et responsabilité personnelle des dirigeants

NIS2 a déjà introduit la responsabilité personnelle des dirigeants. Attendez-vous à ce que Bruxelles aille plus loin et harmonise la responsabilité personnelle à travers les réglementations numériques.

Ce qui arrive :

  • Responsabilité des C-levels pour les violations de l'AI Act (notamment en cas de mauvais usage d'une IA à haut risque)
  • Amendes calculées sur le chiffre d'affaires mondial, comme pour le GDPR
  • Discussions sur la responsabilité pénale en cas de négligence grave (en débat dans plusieurs commissions)
  • Exigences de compétences en cybersécurité obligatoires au niveau du Conseil d'administration
  • Attestation de type SOX pour la cybersécurité et la résilience opérationnelle

Impact :

Les Conseils d'administration vont commencer à exiger :

  • Des rapports de conformité en continu
  • Des KPIs fondés sur les risques
  • Une ownership claire des décisions cyber et IA
  • La preuve que la conformité est intégrée, pas seulement documentée

Les dirigeants ne seront plus à l'abri des défaillances de gouvernance numérique.

6. Formalisation du rôle de Digital Compliance Officer (DCO)

Ce n'est plus théorique. Bruxelles signale déjà ; à travers l'AI Act, NIS2, le CRA, DORA et les documents d'orientation à venir ; que les organisations auront besoin d'un rôle de gouvernance multi-réglementaire.

Pourquoi le DCO devient obligatoire (implicitement d'abord, explicitement ensuite) :

  • La gouvernance IA nécessite un point de responsabilité unique
  • DORA impose la supervision des risques ICT et la gouvernance des fournisseurs
  • NIS2 exige la responsabilité des dirigeants et une coordination transversale
  • Le GDPR impose déjà un DPO ; le DCO en est l'évolution pour des risques numériques plus larges
  • Le CRA requiert la coordination produit, cyber et fournisseurs

Responsabilités attendues :

  • Superviser la conformité à l'AI Act
  • Coordonner NIS2 + DORA + GDPR + CRA
  • Gérer la supervision cloud sous EUCS
  • Piloter les référentiels de risques et de contrôles unifiés
  • Construire des modèles de gouvernance numérique alignés sur la réglementation
  • Garantir la disponibilité des preuves pour les régulateurs
  • Rendre compte directement au Conseil d'administration et aux comités exécutifs

Impact :

D'ici 2026–2027, le DCO sera aussi courant que le DPO l'est devenu après le GDPR. Ce sera le rôle GRC le plus stratégique de la prochaine décennie.

7. La prochaine étape : unification de la réglementation numérique européenne (2027–2030)

Plusieurs documents internes de l'UE et groupes de travail poussent vers un cadre de gouvernance numérique unique et intégré pour réduire la fragmentation.

Cela pourrait consolider :

  • GDPR
  • NIS2
  • DORA
  • AI Act
  • Data Act
  • CRA
  • Digital Services Act
  • Digital Markets Act
  • eIDAS 2.0

Ce que le modèle unifié introduira :

  • Une taxonomie unique pour le risque numérique
  • Un modèle harmonisé de notification d'incidents
  • Un référentiel de contrôles pour plusieurs textes législatifs
  • Des audits multi-réglementaires
  • Une coopération entre autorités de supervision
  • Une structure paneuropéenne de supervision numérique

Impact :

La conformité évoluera de « documents pour les auditeurs »vers une gouvernance numérique continue pour les régulateurs.

C'est là où Bruxelles se dirige.

Pour conclure

Bruxelles construit le premier écosystème de gouvernance numérique complet au monde ; couvrant les données, l'IA, le cloud, la cybersécurité, la résilience et la sécurité des produits.

La vague suivante n'est pas abstraite. Elle est concrète, législée et applicable d'ici 2025–2027.

Les organisations qui survivront (et prospéreront) sont celles qui :

  • adoptent une gouvernance unifiée dès maintenant
  • comprennent l'impact opérationnel de chaque réglementation
  • repensent leurs stratégies cloud sans attendre
  • préparent des structures de responsabilisation en matière d'IA
  • nomment un Digital Compliance Officer
  • construisent une conformité continue, et non des audits annuels

L'avenir numérique de l'Europe est réglementé ; de façon intelligente, agressive et permanente.

La question n'est plus « D'autres textes arrivent-ils ? » C'est « Vous y préparez-vous avant qu'ils n'entrent en vigueur ? »

Si vous souhaitez une feuille de route pratique et alignée sur la réglementation pour l'AI Act, le Data Act, le CRA, NIS2, DORA, EUCS et l'essor du Digital Compliance Officer, c'est exactement ce que nous enseignons dans le Cyber Academy European Digital Governance Program. Rejoignez la prochaine session et gardez une longueur d'avance sur la prochaine vague de Bruxelles.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.