Vous les connaissez désormais. NIS2. GDPR. DORA. Cyber Resilience Act. AI Act. La loi suédoise sur la cybersécurité (Cybersäkerhetslagen). Six réglementations, chacune avec ses exigences, ses délais et ses autorités de surveillance.
Prises isolément, elles sont gérables. La plupart des organisations ont entamé quelque chose : une cartographie GDPR ici, une analyse NIS2 là, peut-être une politique IA que quelqu’un a été chargé de rédiger.
Mais voici ce que personne ne dit ouvertement : elles se recoupent toutes dans exactement les mêmes exigences.
Six réglementations, cinq exigences communes
Gestion des risques. Implication de la direction. Documentation. Signalement. Contrôle des fournisseurs.
Cinq attentes qui reviennent dans chaque réglementation. La plupart des organisations les gèrent dans des filières séparées. Des responsables séparés. Des calendriers séparés. Des collections de documents dont personne n’a la vue d’ensemble.
Cinq exigences que les six réglementations partagent :
- Gestion systématique des risques. NIS2, GDPR, DORA, CRA et AI Act exigent tous que les risques soient identifiés, évalués et traités de manière continue.
- Responsabilité documentée de la direction. La direction et le conseil d’administration doivent approuver, superviser et pouvoir justifier leurs priorités.
- Signalement des incidents. Délais serrés, voies d’escalade claires, processus documentés.
- Contrôle des fournisseurs. Évaluation des tiers lors des achats et suivi continu.
- Documentation traçable. Qui a décidé quoi, quand et pourquoi. C’est le fil conducteur que les auditeurs cherchent toujours.
Le résultat lorsque ces éléments sont gérés dans des filières séparées ? Des initiatives de conformité parallèles dont personne n’a la vision d’ensemble. Du travail en double. Des priorités contradictoires. Une équipe de direction qui croit que tout est sous contrôle, parce que chaque filière individuelle affiche le vert.
Une étude SAFEict/HarmonyQ de février 2026 montre le même schéma pour les Pays-Bas et la Belgique. Un système de management intégré réduit le travail en double : les mêmes contrôles peuvent être démontrés pour plusieurs réglementations simultanément. Notre guide sur le mapping des contrôles pour la multi-framework compliance décrit la démarche étape par étape.
Pourquoi ce n’est pas un problème informatique
Il est tentant de déléguer la gestion réglementaire au service informatique. Ce sont des réglementations “techniques”, après tout.
Le cadre des exigences pointe dans une autre direction. NIS2 et le Cybersäkerhetslagen établissent explicitement la responsabilité de la direction. La direction et le conseil d’administration doivent documenter leur implication. Les évaluations des risques doivent être ancrées au niveau de la direction. L’allocation des ressources doit pouvoir être justifiée.
Un directeur informatique ne peut pas résoudre cela seul. Cela exige que la structure de gouvernance de l’organisation soit claire et éprouvée. Qui décide quoi, quand et sur quelle base ?
Beata Kaminski, experte en cybersécurité spécialisée dans la stratégie NIS2 pour les petites et moyennes entreprises, le résume dans son analyse du mouvement réglementaire danois. Le changement le plus significatif n’est pas la complexité technique. C’est la complexité de la governance.
Cette observation vaut pour toute la Scandinavie. Nous avons écrit davantage sur la responsabilité spécifique de la direction sous NIS2.
La situation spécifique de la Suède
En Suède, le Cybersäkerhetslagen (SFS 2025:1506) est entré en vigueur le 15 janvier 2026. Il transpose la directive NIS2 et représente un durcissement par rapport à la législation précédente.
Le Cybersäkerhetslagen exige notamment :
- Une gestion systématique des risques fondée sur une approche tous risques
- Le signalement des incidents dans des délais serrés
- Le contrôle des fournisseurs dans le cadre de la gestion des risques
- Une responsabilité documentée de la direction, où le conseil d’administration et la direction doivent pouvoir démontrer leur implication
En savoir plus dans notre présentation des cinq choses à savoir sur le Cybersäkerhetslagen.
En parallèle, les échéances de l’AI Act approchent. Les organisations qui utilisent des systèmes d’IA dans des catégories à haut risque doivent avoir mis en place des structures de governance. La pratique GDPR se durcit en continu. Et pour le secteur financier, DORA ajoute des exigences supplémentaires en matière de résilience opérationnelle numérique.
Votre organisation est concernée. La question est de savoir si votre réponse est suffisamment structurée.
Cinq signes que votre gouvernance ne tient pas
Ces schémas apparaissent dans organisation après organisation. Si vous en reconnaissez trois ou plus, il est temps d’agir.
Vous avez un responsable GDPR, un responsable NIS2 et quelqu'un qui "s'occupe de l'IA". Mais personne qui voit comment les exigences s'articulent et peut coordonner les efforts.
Au lieu de par processus métier. Le même risque est documenté trois fois dans trois systèmes, avec trois évaluations différentes.
Les politiques sont approuvées en comité de direction. Mais personne dans la salle ne peut décrire quels risques ont motivé les décisions.
Les fournisseurs sont évalués à la signature du contrat. Le suivi systématique pendant la durée du contrat fait défaut.
Votre gestion des incidents est un plan dans un classeur, pas un processus éprouvé. Personne ne sait si les délais de signalement seront tenus avant qu'un incident réel ne survienne.
Chaque point pris isolément peut être corrigé. Mais ensemble, ils révèlent quelque chose de plus profond : l’absence d’une structure de gouvernance commune. Exactement ce que la vague réglementaire de 2026 met à l’épreuve.
La solution : une structure de gouvernance, pas plus de checklists
La solution à la surcharge réglementaire n’est pas plus d’outils ou plus de consultants. C’est de construire un socle commun qui porte toutes les réglementations.
- Regrouper les exigences dans une seule structure NIS2, GDPR, DORA, CRA et AI Act se recoupent dans les processus clés : gestion des risques, contrôle des fournisseurs, gestion des incidents, journalisation et collecte de preuves. Au lieu de projets de conformité séparés, ceux-ci devraient être mappés sur les mêmes processus, actifs et flux d'information. Notre [guide de mapping des contrôles](/blogg/multi-framework-compliance/) montre comment procéder.
- Ancrer les évaluations des risques au niveau de la direction La direction doit comprendre quelles décisions métier les risques sous-tendent. Elle doit pouvoir expliquer ses priorités. Approuver une matrice de risques et déléguer vers le bas ne suffit pas.
- Documenter les décisions de manière systématique Qui a décidé quoi, quand et pourquoi ? C'est le fil d'or que les auditeurs et les autorités de surveillance recherchent : une traçabilité ininterrompue des processus métier aux risques, puis aux contrôles. Sans cela, la documentation de conformité n'est que du théâtre.
- Cartographier les flux d'information On ne peut pas piloter ce qu'on ne voit pas. Quels systèmes traitent quelles informations ? Où les données circulent-elles entre processus métier, systèmes informatiques et sources de données ? Cette cartographie est le fondement de l'évaluation des risques et de la conformité réglementaire. Commencez par une [analyse GAP](/blogg/gap-analys-nis2-guide/) pour identifier où vous en êtes.
- Tester la préparation avant que l'autorité de surveillance ne le fasse Gestion des incidents, suivi des fournisseurs, processus de signalement. Tout doit être testé, pas décrit dans un document que personne n'a ouvert depuis le dernier audit. Les organisations capables de démontrer une maturité documentée sont mieux positionnées lors des contrôles. Elles remportent aussi plus facilement les appels d'offres et construisent de meilleures relations clients.
Du coût à l’avantage concurrentiel
Il est facile de voir la vague réglementaire comme un fardeau. Plus de paperasse. Des coûts plus élevés.
Mais ce point de vue ne tient plus. La cybersécurité et la gouvernance qui la porte sont un paramètre concurrentiel. Les marchés publics l’exigent. Les clients s’y attendent.
Les organisations qui construisent une structure de gouvernance cohérente dès maintenant répondent aux exigences réglementaires et réduisent le travail en double en même temps. La maturité en matière de governance que cela procure est visible de l’extérieur.
Celles qui ne le font pas construisent des façades. Les façades ne résistent pas à la tempête.
Trois questions à poser à la direction
Commencez ici. Si vous ne pouvez pas répondre oui aux trois, c’est le signe que la structure de gouvernance doit être revue.
Le cyberrisque est-il traité systématiquement au niveau de la direction, ou est-il délégué à l’informatique ?
Pouvez-vous documenter vos priorités, vos décisions et leurs justifications ?
Les responsabilités et les circuits de décision sont-ils testés, ou n’existent-ils que sur le papier ?
La vague réglementaire de 2026 arrive de manière groupée. La réponse doit l’être aussi.
Nous avons précédemment écrit sur pourquoi la conformité ne réduit pas le risque sans gouvernance et sur l’intégration GDPR et NIS2. Cet article s’appuie sur ces réflexions.
Comment Securapilot peut vous aider
- Conformité intégrée : NIS2, GDPR, ISO 27001 et DORA dans un seul système avec mapping des contrôles
- Registre des risques commun : Une vue des risques couvrant toutes les réglementations, avec des responsables clairement identifiés par risque
- Signalement des incidents : Adaptation automatique du processus de signalement par réglementation et par délai
- Vue d’ensemble pour la direction : Vision consolidée des risques pour le conseil d’administration et la direction, en langage clair
- Traçabilité : Historique complet des décisions et des mesures pour les contrôles et les audits
Réservez une démo et découvrez à quoi ressemble une structure de gouvernance unifiée en pratique.
Vous souhaitez commencer par une vue d’ensemble ? Essayez notre outil de conformité gratuit pour voir où vous en êtes.
Questions fréquentes
Avons-nous besoin de processus distincts pour chaque réglementation ?
Non. NIS2, GDPR, DORA, CRA et AI Act se recoupent dans cinq processus clés : gestion des risques, gestion des incidents, responsabilité de la direction, contrôle des fournisseurs et documentation. Une structure de gouvernance unifiée avec mapping des contrôles couvre les six réglementations sans travail en double.
Par quelle réglementation commencer si nous n'en respectons aucune ?
Commencez par le Cybersäkerhetslagen et NIS2, qui sont déjà en vigueur depuis janvier 2026 avec des sanctions claires. Le GDPR s'applique depuis 2018. Ces trois textes forment un socle qui couvre la majeure partie des exigences de DORA, CRA et AI Act.
Qu'ont en commun les six réglementations ?
Cinq exigences clés reviennent dans toutes : gestion systématique des risques, responsabilité documentée de la direction, signalement des incidents, contrôle des fournisseurs et documentation traçable des décisions et des mesures prises.
Comment savoir si notre structure de gouvernance tient la route ?
Posez trois questions : Le cyberrisque est-il traité systématiquement au niveau de la direction ? Pouvez-vous documenter vos décisions et leurs justifications ? Les responsabilités et les circuits de décision sont-ils testés, et non simplement décrits ? Si la réponse à l'une de ces questions est non, il y a une lacune.
