L’année 2026 marque un point de bascule réglementaire pour les DSI, RSSI et DAF français. Quatre textes structurants entrent dans leur phase opérationnelle ou voient leurs premières échéances tomber. Ces textes sont la directive NIS 2, le règlement DORA, le Cyber Resilience Act et l’obligation de facturation électronique. La réglementation cyber en 2026 n’est plus un sujet prospectif, c’est un chantier à lancer au plus vite.
Cet article fait le point sur chacune de ces réglementations, explorant les périmètres concernés, les obligations clés, les risques en cas de non-conformité et les premiers chantiers à engager. Cet article vous apporte une vision consolidée pour vous aider à prioriser vos investissements et mettre aux normes votre SI avant la fin de l’année.
Pourquoi 2026 concentre autant d’échéances réglementaires
Les quatre textes traités dans cet article convergent vers un même objectif européen. Avec ces réglementation cyber en 2026, l’idée est de renforcer la résilience numérique des organisations face à des menaces qui se sont intensifiées, qu’il s’agisse de cyberattaques, de défaillances logicielles ou de fraude fiscale. La directive NIS 2 étend la cybersécurité à des milliers d’entreprises supplémentaires. Le règlement DORA harmonise la résilience opérationnelle du secteur financier. Le Cyber Resilience Act régule la sécurité des produits numériques eux-mêmes. La facturation électronique, enfin, modernise la chaîne fiscale tout en imposant une traçabilité des flux comptables.
Trois points communs structurent ces quatre textes. D’abord la traçabilité, il faut pouvoir prouver ce qu’on fait, garder des logs, documenter les incidents. Ensuite la gouvernance, les responsabilités doivent être formalisées et pas implicites. Enfin la sécurité prouvable, il ne suffit plus de dire qu’on est sécurisé, il faut le démontrer par des audits, des registres et des notifications. Une organisation qui structure correctement ces fondamentaux pour un texte gagne du temps sur les trois autres.
Directive NIS 2 : élargir le périmètre cyber à des milliers d’entreprises
La directive NIS 2 (Network and Information Security 2) est le texte structurant de la cybersécurité européenne. L’Union européenne a adopté cette directive en décembre 2022, et la France aurait dû la transposer dans son droit national au 17 octobre 2024. Ayant pris du retard, la transposition est désormais attendue pour l’été 2026 en France via le projet de loi Résilience. En attendant, l’ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF), un document de travail qui liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2. Ce référentiel s’articule autour de 20 objectifs structurés en 4 blocs, et il intègre un principe de proportionnalité selon la maturité et la taille de l’entité.
Qui est concerné
NIS 2 distingue deux catégories d’entités. Les entités essentielles (EE) regroupent les organisations exerçant une activité hautement critique (énergie, santé, transports, infrastructures numériques) employant plus de 250 salariés ou réalisant plus de 50 millions d’euros de chiffre d’affaires. Les entités importantes (EI) couvrent les ETI de secteurs sensibles selon les seuils définis par la directive. Au total, environ 10 000 à 15 000 entités françaises supplémentaires sont concernées par rapport à NIS 1, dont de nombreux prestataires informatiques, éditeurs SaaS, intégrateurs et fournisseurs cloud.
Les obligations clés
Les obligations couvrent la gestion des risques cyber, la déclaration d’incident dans un délai de 24 heures à l’ANSSI, la sécurisation de la chaîne d’approvisionnement (sécurité de la supply chain), la formation des équipes dirigeantes et la mise en place d’une gouvernance de la sécurité numérique. Le ReCyF détaille concrètement les mesures attendues, depuis le recensement des systèmes d’information jusqu’à l’infogérance de votre infrastructure IT.
Les risques en cas de non-conformité
Les sanctions sont substantielles. Pour les entités essentielles, elles peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4% du chiffre d’affaires. Au-delà des amendes, l’ANSSI peut émettre des avertissements publics et des instructions contraignantes. Mais le risque le plus immédiat reste opérationnel. Une entreprise non conforme à la directive NIS 2 sera également plus exposée aux cyberattaques, et la directive engage personnellement la responsabilité des dirigeants en cas de manquement aux obligations de gouvernance.
Par où commencer
Le plus simple est de s’appuyer sur le ReCyF dès maintenant, sans attendre la transposition définitive. Les chantiers prioritaires sont la cartographie des systèmes d’information, la mise en place d’une supervision continue de l’infrastructure et la formalisation des procédures de gestion d’incident. Une organisation qui a déjà un SMSI ou une certification ISO 27001 dispose d’une base solide à compléter. Pour les autres, un diagnostic de maturité préalable permet de structurer la feuille de route. Une mise en conformité NIS 2 prend en moyenne 4 à 8 mois selon le niveau de maturité initial.
📄 Consulter le ReCyF sur le site de l’ANSSI
Réglementation DORA : la résilience opérationnelle imposée au secteur financier
La réglementation DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Contrairement à NIS 2, elle n’a pas besoin d’être transposé en droit national. Elle s’applique directement à toutes les entités financières de l’Union européenne. La réglementation DORA est donc déjà une obligation effective, et l’ACPR (Autorité de contrôle prudentiel et de résolution) en assure la supervision en France.
Qui est concerné
Le périmètre est large dans le secteur financier. On peut citer les banques, organismes d’assurance, sociétés de gestion d’actifs, prestataires de services de paiement, fonds d’investissement et infrastructures de marché. Le règlement concerne également les prestataires tiers TIC critiques (cloud, hébergement, logiciels métiers) qui fournissent des services à ces entités financières. Un éditeur SaaS qui vend ses services à une banque peut donc se retrouver indirectement soumis à la réglementation DORA via ses obligations contractuelles, même s’il n’est pas une entité financière lui-même.
Les obligations clés
DORA s’articule autour de cinq piliers. La gestion du risque TIC impose un cadre de gouvernance robuste avec des responsabilités formalisées et des analyses de risque régulières. Le reporting des incidents majeurs oblige à une déclaration rapide à l’ACPR selon des modalités précises. Les tests de résilience incluent des tests d’intrusion avancés (TLPT) pour les entités les plus critiques. La gestion des risques tiers impose la tenue d’un registre d’information (Register of Information) recensant l’ensemble des prestataires TIC, transmis annuellement à l’ACPR. Enfin, le partage d’informations sur les cybermenaces entre acteurs du secteur est encouragé.
Les risques en cas de non-conformité
Le régime de sanctions DORA distingue deux cas. Pour les prestataires TIC critiques désignés au niveau européen, les astreintes peuvent atteindre 1% du chiffre d’affaires journalier moyen mondial, appliquées quotidiennement jusqu’à la mise en conformité. Pour les entités financières elles-mêmes, les sanctions ne suivent pas un barème uniforme. Elles relèvent des pouvoirs de supervision sectoriels de l’ACPR et de l’AMF. Ainsi, elles peuvent aller de l’avertissement aux restrictions d’activité voire au retrait d’agrément en cas de défaillance grave.
Au-delà des sanctions formelles, le vrai risque pour une entité financière est opérationnel et réputationnel. Une défaillance TIC majeure non maîtrisée peut entraîner une perte de confiance des clients et des contreparties. Pour les prestataires TIC, ne pas être en mesure de répondre aux exigences DORA de leurs clients financiers peut entraîner une exclusion progressive du secteur, car les banques et assurances ne pourront plus contractualiser avec un fournisseur non conforme.
Par où commencer
La priorité absolue, si ce n’est pas déjà fait, est de constituer le registre d’information et de le transmettre à l’ACPR. Vient ensuite la cartographie des dépendances critiques aux tiers, qui révèle souvent des angles morts (un sous-traitant de sous-traitant non documenté, par exemple). Enfin vient la formalisation des procédures de déclaration d’incident dans les délais impartis. La FAQ de l’ACPR mise à jour régulièrement reste la ressource de référence pour les questions opérationnelles.
📄 Page DORA sur le site de l’ACPR
Cyber Resilience Act : la sécurité des produits numériques
Le Cyber Resilience Act (CRA, règlement UE 2024/2847) est entré en vigueur le 10 décembre 2024. Contrairement à NIS 2 qui régule les organisations, le CRA régule les produits numériques eux-mêmes (logiciels sur mesure, objets connectés, équipements industriels, IoT, plugins). C’est le premier règlement horizontal au monde qui impose des exigences de cybersécurité obligatoires à tout produit comportant des éléments numériques mis sur le marché européen.
Qui est concerné
Tous les fabricants, importateurs et distributeurs de produits comportant des éléments numériques sont concernés dès lors qu’ils commercialisent en Europe. Cela couvre un spectre extrêmement large. On y retrouve les éditeurs de logiciels (y compris SaaS dans certains cas), les fabricants d’objets connectés, les intégrateurs proposant des solutions matérielles et les équipementiers industriels avec composants logiciels. Le CRA exempte directement les logiciels open source non commerciaux. Cependant, dès qu’un fabricant intègre un composant open source dans un produit commercial, il assume l’ensemble des obligations réglementaires pour cette brique.
Les obligations clés
Le CRA impose la security by design sur tout le cycle de vie du produit, depuis la conception jusqu’au support post-commercialisation (au moins 5 ans). Les fabricants doivent maintenir un SBOM (Software Bill of Materials), c’est-à-dire un inventaire détaillé des composants logiciels et de leurs versions, disponible pour les autorités sur demande. Une politique de divulgation coordonnée des vulnérabilités doit être publiée. À partir du 11 septembre 2026, les fabricants devront notifier à l’ENISA toute vulnérabilité activement exploitée dans un délai de 24 heures, avec un rapport détaillé sous 72 heures et un suivi à 14 et 30 jours. L’application complète du règlement intervient le 11 décembre 2027, avec un marquage CE étendu au volet cybersécurité.
Les risques en cas de non-conformité
Les sanctions atteignent 15 millions d’euros ou 2,5% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Au-delà des amendes, le risque concret pour un éditeur ou un fabricant est l’impossibilité de commercialiser ses produits en Europe sans marquage CE conforme à partir de fin 2027. Pour les éditeurs SaaS et les ESN, la non-conformité au CRA d’une brique technique peut également déclencher une exigence en cascade chez leurs clients soumis à NIS 2 ou DORA. On peut le traduire par une perte de marché.
Par où commencer
L’urgence opérationnelle est la première. Organisez dès maintenant les processus de notification 24h et la gouvernance de la divulgation des vulnérabilités. Cette obligation tombe en septembre 2026 sans report possible. En parallèle, mettez en place la production automatisée du SBOM dans les pipelines CI/CD. Classifiez ensuite ses produits selon les catégories du CRA (par défaut, classe I important, classe II important, critique). Lancez finalement la mise à jour des dossiers techniques en vue du marquage CE de 2027.
📄 Page CRA sur le site cyber.gouv.fr
Facturation électronique : l’échéance qui concerne toutes les entreprises françaises
La généralisation de la facturation électronique en 2026 est l’obligation qui touche le périmètre le plus large. Toutes les entreprises françaises assujetties à la TVA sont concernées, sans exception. C’est l’aboutissement de plusieurs années de travaux et de reports successifs. Le calendrier est désormais stabilisé et confirmé par la DGFiP.
Qui est concerné et selon quel calendrier
Toutes les entreprises assujetties à la TVA sont concernées, y compris les micro-entreprises et les associations exerçant une activité économique. Le calendrier distingue deux obligations distinctes. L’obligation de réception s’applique à toutes les entreprises au 1er septembre 2026. À cette date, chaque assujetti doit être en capacité de recevoir une facture au format électronique structuré. L’obligation d’émission est échelonnée selon la taille de l’entreprise. Les grandes entreprises et ETI au 1er septembre 2026, les PME et TPE au 1er septembre 2027.
Les obligations clés
Les factures doivent être émises dans un format structuré conforme à la norme européenne (Factur-X, UBL ou CII) et transiter par une Plateforme Agréée (PA). Auparavant, elle était appelée Plateforme de Dématérialisation Partenaire (PDP), immatriculée par la DGFiP. Le PDF envoyé par email ne sera plus reconnu comme une facture légale. En complément, l’e-reporting impose la transmission de certaines données de transaction à l’administration fiscale (ventes B2C, opérations intra-UE, paiements). Le calendrier est le même que l’obligation d’émission.
Les risques en cas de non-conformité
Les sanctions sont modérées en montant unitaire mais peuvent s’accumuler vite. 15 euros par facture non émise au format électronique, plafonné à 15 000 euros par an, et 250 euros par transmission d’e-reporting manquante, plafonné également à 15 000 euros. Cependant, le vrai risque est commercial. Un client de grande entreprise ou ETI peut refuser une facture non conforme dès septembre 2026, ce qui crée immédiatement un problème de trésorerie pour le fournisseur. Le risque fiscal complète ce tableau, puisque l’administration pourra croiser en temps réel les données de facturation pour détecter les anomalies.
Par où commencer
Trois chantiers structurent la préparation. D’abord, le choix d’une Plateforme Agréée (plus de 100 sont immatriculées en 2026) est la décision la plus structurante. Elle détermine la qualité de l’intégration avec votre ERP, votre logiciel comptable et votre CRM. La mise à jour des référentiels clients et fournisseurs est ensuite indispensable (SIREN, identifiant pays, adresses de routage). Enfin, l’intégration technique des flux entre votre SI et la plateforme choisie doit être anticipée. Et ce en particulier si vous utilisez un ERP comme Business Central, qui dispose de connecteurs dédiés à la facturation électronique.
📄 Page facturation électronique sur impots.gouv.fr
Synthèse des quatre réglementations
Voici une vue d’ensemble pour situer chaque texte dans votre calendrier.
| Réglementation | Périmètre principal | Échéance clé 2026 | Risque max |
|---|---|---|---|
| NIS 2 | Entités essentielles et importantes (10-15 000 entreprises en France) | Transposition été 2026, ReCyF déjà applicable | 10 M€ ou 2% du CA mondial |
| DORA | Secteur financier et ses prestataires TIC critiques | Déjà applicable depuis le 17 janvier 2025 | 1% du CA journalier mondial par jour de retard |
| Cyber Resilience Act | Fabricants de produits comportant des éléments numériques | Notification vulnérabilités au 11 septembre 2026 | 15 M€ ou 2,5% du CA mondial |
| Facturation électronique | Toutes les entreprises assujetties à la TVA | Réception obligatoire au 1er septembre 2026 | 15 €/facture, 250 €/e-reporting |
Par où commencer ? La méthode pour structurer sa mise en conformité
Mettre en œuvre quatre réglementations simultanément peut sembler insurmontable, mais la réalité nuance ce constat. Ces textes partagent une infrastructure commune (gouvernance, traçabilité, supervision, gestion des risques). Ainsi, un effort structurant sur l’un bénéficie aux autres. Voici une méthode en quatre étapes pour avancer sans s’éparpiller.
Étape 1 : Cartographier votre exposition
Identifiez précisément les réglementations qui régissent votre organisation, selon votre taille, votre secteur et la nature de vos produits ou services. Les quatre réglementations peuvent d’ailleurs concerner une même entreprise simultanément.
Étape 2 : Réaliser un gap analysis
Pour chaque texte applicable, mesurer l’écart entre vos pratiques actuelles et les obligations. Le ReCyF fournit un cadre directement actionnable pour la directive NIS 2. Ensuite, la FAQ de l’ACPR est disponible pour DORA. Pour le CRA, les 20 exigences essentielles du règlement sont à disposition. Enfin, il y a le calendrier DGFiP pour la facturation électronique.
Étape 3 : Prioriser par criticité
Tous les chantiers ne se valent pas. Les obligations à date butoir 2026 prennent le pas sur celles dont l’échéance est en 2027. De même, les obligations dont la sanction est immédiate (DORA, facturation électronique) prennent le pas sur celles qui suivent une logique progressive (CRA).
Étape 4 : Structurer la gouvernance et les chantiers techniques
La conformité ne tient pas uniquement à des outils. Elle repose aussi sur une gouvernance des données claire, des responsabilités formalisées, un monitoring d’infrastructure capable de détecter les incidents en temps réel, et des sauvegardes testées. Ces fondations techniques servent ainsi les quatre réglementations à la fois.
Conclusion
Finalement, la conformité cyber en 2026 est moins une accumulation de contraintes qu’une opportunité de structurer durablement la gouvernance de votre SI. Les quatre textes traités dans cet article convergent vers une même exigence, pouvoir prouver à un auditeur, à un régulateur ou à un client que vous maîtrisez votre système d’information et que vous êtes capables de réagir en cas d’incident.
Chez Hello Pomelo, nous accompagnons les DSI, RSSI et directions financières sur l’ensemble de ces chantiers techniques, depuis l’infogérance cloud et la supervision continue jusqu’à l’intégration d’ERP conforme à la facturation électronique, en passant par la gouvernance des données. Si vous souhaitez faire un point sur votre exposition réglementaire et structurer votre feuille de route 2026, échangeons sur votre contexte.
