diagnostic positionnement législation cyber-sécurité UE + France : notre service professionnel

diagnostic positionnement législation cyber-sécurité UE + France : pour vous y retrouver dans le maquis législatif actuel et organiser la cyber-sécurité de votre entreprise avec le bon référentiel légal 

—> mise à jour du 10 juin 2026 : notre DIAG CYBER permet à votre entreprise ou à votre groupe de se positionner sur les législations cyber-sécurité suivantes :

(i) la Directive NIS2 et la Directive REC « Résilience des entités critiques » n°2022/2557 du 14 décembre 2022 (infrastructure numériques des entités rendant un service essentiel) inclus Règlement d’exécution « entités et réseaux critiques » n°2024/2690 du 17 octobre 2024

(ii) Le Règlement DORA n°2022/2554 (infrastructure numériques des entités financières) 

(iii) le Règlement Cyber Resilience Act (CRA)2024/2847 du 23 octobre 2024 sur les « produits comportant des éléments numériques »

(iv) la Directive RED « équipements radio-électriques » n°2014/53 du 16 avril 2014

(v) l’IAAct (Règlement UE sur l’Intelligence Artificielle n°2024/1689 du 13 juin 2024)

(vi) Loi de Programmation Militaire (LPM) n°2023-703 du 1er août 2023 (éditeur de logiciel)

Notre DIAG CYBER prend également en compte le projet de l’UE de modifications de NIS2 : https://ledieu-avocats.fr/nis2-actualite-20-janvier-2026-proposition-de-directive-modificative/

votre besoin : le positionnement légal de votre entreprise/groupe de sociétés sur les législations cyber-sécurité UE + France

Directive NIS 2 du 14 décembre 2022 ? entité Essentielle #EE ? entité Importante #EI ? prestataire sur « service essentiel » ?

Règlement d’exécution « REX NIS 2 » pour « entité et réseau critique » du 17 octobre 2024 ? 

Règlement DORA (Digital Operational Resilience Act) pour « entités financières » et prestataires IT sur « Fonctions Critiques ou Importantes » ?

Cyber Resilience Act du 23 octobre 2024 pour les « fabricants » de logiciel connecté avec ou sans matériel ? avec MàJ du Règlement d’Exécution 2025/2392 du 28 novembre 2025

Loi de Programmation Militaire LPM 2023

Vous êtes « entité régulée » ? Vous êtes prestataire sous-traitant d’une « entité régulée » ? Vous êtes « fabricant » d’un [produit CRA] ? Vous êtes client « utilisateur » d’un [produit CRA] IMPORTANT ou CRITIQUE ?

Vous ne savez pas quelle législation cyber-sécurité s’applique à votre entreprise ? 

Nous vous rappelons que les autorités de contrôle (ANSSI, ANFR, CNIL, etc.) :

–  ne sont JAMAIS responsables de vos choix de positionnement juridique au regard de la législation applicable.

– sont libres, en cas de contrôle,  de requalifier d’office vos choix de positionnement, auquel cas votre entreprise est alors « négligente », donc sanctionnable.

L’exemple de la Directive NIS2

Pour savoir si votre entreprise est assujettie à NIS2, l’ANSSI vous propose en ligne un questionnaire indicatif (en version beta) et précise dans sa home page :

« Il est préférable d’associer des compétences juridiques à la démarche d’auto-évaluation du statut de l’entité afin de déterminer si celle-ci entre dans le périmètre des entités régulées par la directive NIS 2.

En tout état de cause, recourir au simulateur, dont le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité.

Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2.« 

diagnostic positionnement législation cyber-sécurité UE + France :
pourquoi vous en soucier ?

Vos clients peuvent vous demander si vous êtes soumis à NIS2, DORA, à la LPM 2023 et – en cas de réponse erronée ou non conforme à la réalité – engager votre responsabilité contractuelle en plus d’être sanctionné pour négligence par une autorité de contrôle. 

Que vous soyez « entité régulée » ou prestataire sous-traitant sur « service essentiel » (NIS2) ou sur « Fonctions Critiques ou Importantes » (DORA), il vous appartient de prouver, de manière documentée, que votre entreprise applique correctement la bonne législation.

Attention, les appels d’offres de nombreuses entreprises imposent aujourd’hui à leurs futurs prestataires soumissionnaires de justifier contractuellement de leur niveau effectif de protection cyber. 


le problème spécifique des filiales

Le diagnostic proposé en ligne par l’ANSSI ne prend pas en compte les groupes de sociétés, alors que cet impératif figure dans la Directive NIS2.

la Directive NIS2 impose aux entreprises de raisonner au niveau groupe et impose de prendre en compte les filiales qui participent à la prestation du « service essentiel », selon des critères de détention de capital/droit de vote.

Selon le critère de contrôle des filiales, le chiffre d’affaire de ces filiales et le nombre de leur salariés s’ajoute à celui de la maison-mère, ce qui impacte nécessairement le positionnement du groupe sur sa régulation par la Directive NIS2.

Notre DIAG cyber de positionnement prend en compte cet aspect déterminant et permet à l’entreprise de prendre des décisions éclairée en droit !

diagnostic positionnement législation cyber-sécurité UE + France : mode d'emploi

– Nous vous adressons notre questionnaire (très) détaillé et auditable par lien sécurisé ;

– Vous le pré-remplissez en collectant les informations relatives à votre entreprise et à votre système d’information ;

– Nous le complétons avec vous en RDV en distanciel [sans limitation de durée] et vous bénéficiez de notre expertise vous permettant de positionner votre entreprise et de déterminer (i) le régime des mesures cyber-sécurité qui s’impose à votre entreprise et (ii) quel type de document contractuel vous devez rédiger pour vos clients et vos prestataires IT.

—> la garantie « Avocat » : nos échanges et nos conclusions sont tous couverts par le secret professionnel des Avocats (article 223-13 Code pénal).

notre DIAG CYBER :
parcourez un extrait de notre sommaire détaillé
et contactez-nous !