L’EDPB et le CEPD viennent de publier un avis conjoint sur la révision du Cybersecurity Act et les amendements NIS2. Depuis janvier 2026, les managers sont personnellement responsables en cas de défaut de gouvernance cyber dans les entités soumises à NIS2. Pendant ce temps, le RGPD impose ses propres exigences de sécurité, souvent traitées par des équipes différentes. Le résultat, dans beaucoup d’organisations : deux chantiers qui avancent en parallèle sans se parler. Voici comment les articuler sans dupliquer les efforts.
Pourquoi NIS2 et RGPD se recoupent sans se confondre
NIS2 et le RGPD ont des objectifs partiellement communs : tous deux imposent des mesures de sécurité adaptées aux risques, une capacité de détection et de réponse aux incidents, et une obligation de notification en cas de violation. Mais leurs périmètres, leurs destinataires et leurs logiques diffèrent.
Le RGPD s’applique à tout responsable de traitement ou sous-traitant qui traite des données à caractère personnel, quelle que soit la taille ou le secteur.
NIS2 s’applique aux entités essentielles et importantes dans des secteurs définis (énergie, transports, eau, santé, infrastructures numériques, services financiers, administrations, etc.).
En pratique, une organisation soumise à NIS2 est presque toujours aussi soumise au RGPD. Mais une organisation soumise au RGPD n’est pas nécessairement soumise à NIS2. C’est dans la zone de recouvrement que la coordination est à la fois possible et nécessaire.
Les points de convergence à exploiter
La gestion des risques.
NIS2 exige une analyse de risques et des politiques de sécurité des systèmes d’information. Le RGPD exige une analyse de risques pour les traitements de données personnelles (AIPD). Ces deux analyses partagent une méthodologie commune : identifier les actifs, évaluer les menaces et vulnérabilités, estimer l’impact et la vraisemblance, choisir des mesures proportionnées.
La notification des incidents.
NIS2 impose de notifier les incidents significatifs à l’ANSSI dans un délai de 24 heures pour un premier signalement, et 72 heures pour un rapport initial détaillé. Le RGPD impose de notifier les violations de données à la CNIL dans un délai de 72 heures. Si un incident de sécurité entraîne une violation de données personnelles, les deux obligations se déclenchent en même temps.
La chaîne de sous-traitance.
NIS2 impose de gérer les risques liés aux fournisseurs et prestataires. Le RGPD impose des contrats de sous-traitance avec des garanties de sécurité. Ces deux exigences visent les mêmes tiers dans la plupart des cas. Un registre des fournisseurs avec une évaluation sécurité commune simplifie considérablement la gestion.
Les différences à ne pas effacer
Le périmètre des actifs diffère : NIS2 couvre les systèmes d’information dans leur ensemble, le RGPD uniquement les traitements de données personnelles.
La responsabilité personnelle des dirigeants est une nouveauté NIS2 : les organes de direction des entités essentielles et importantes peuvent être personnellement tenus responsables en cas de défaut de gouvernance cyber. Les délais de notification sont également différents dans leur séquence complète.
Un modèle de coordination en quatre étapes
Étape 1 : cartographier les recoupements.
Lister les systèmes d’information soumis à NIS2 qui traitent aussi des données personnelles. Ce sont ces systèmes qui nécessitent une double gouvernance.
Étape 2 : unifier le référentiel de risques.
Adopter une méthode d’analyse de risques qui couvre à la fois les actifs SI (pour NIS2) et les traitements de données (pour le RGPD). La méthode EBIOS Risk Manager, développée par l’ANSSI, est adaptée aux deux périmètres.
Étape 3 : fusionner les processus de gestion des incidents.
Créer un processus unique avec un point d’entrée commun et des branches de qualification : incident NIS2 seul, violation RGPD seule, ou les deux. Les notifications ANSSI et CNIL partent de la même cellule de crise, avec des modèles de message adaptés à chaque destinataire.
Étape 4 : aligner la gouvernance fournisseurs.
Construire un registre fournisseurs unique qui intègre les critères NIS2 (gestion des risques tiers, clauses contractuelles de sécurité) et les critères RGPD (contrats de sous-traitance, garanties de protection des données).
Ce que l’avis conjoint EDPB-EDPS change
L’avis conjoint EDPB-EDPS 4/2026 précise les articulations entre les deux textes sur plusieurs points techniques : la définition des incidents « significatifs » au sens NIS2, les conditions dans lesquelles une notification NIS2 entraîne automatiquement une notification RGPD, et les garanties à intégrer dans les mesures de sécurité NIS2 pour couvrir aussi l’article 32 RGPD.
NIS2 et RGPD ne sont pas des adversaires. Bien coordonnés, ils renforcent mutuellement la posture de sécurité de l’organisation et simplifient la démonstration de conformité auprès des deux autorités.
Vous souhaitez un accompagnement pour coordonner vos chantiers NIS2 et RGPD sans dupliquer les efforts ? Prenez rendez-vous avec nous !
En résumé :
NIS2 et le RGPD imposent des obligations de sécurité complémentaires aux organisations traitant des données personnelles et des systèmes d’information sensibles. Cet article explique comment coordonner les analyses de risques, la gestion des incidents, les obligations de notification et la gouvernance des fournisseurs afin d’éviter les doublons de conformité. Il détaille également les différences entre les deux réglementations, notamment sur la responsabilité des dirigeants et le périmètre des actifs concernés. Une approche unifiée permet de renforcer la cybersécurité, de simplifier les démarches réglementaires et d’améliorer la résilience globale de l’organisation.
FAQ – NIS2 et RGPD
Une organisation soumise à NIS2 est-elle automatiquement concernée par le RGPD ?
Dans la majorité des cas, oui. Les entités soumises à NIS2 traitent généralement des données personnelles et doivent également respecter le RGPD.
NIS2 et RGPD imposent-ils les mêmes obligations de sécurité ?
Non. Les deux textes partagent des exigences communes de gestion des risques et de notification des incidents, mais leurs périmètres et leurs objectifs restent différents.
Une violation de données peut-elle déclencher une double notification ?
Oui. Un incident de cybersécurité impactant des données personnelles peut nécessiter une notification à l’ANSSI au titre de NIS2 et à la CNIL au titre du RGPD.
Les dirigeants peuvent-ils être responsables personnellement avec NIS2 ?
Oui. NIS2 prévoit une responsabilité renforcée des organes de direction en cas de défaut de gouvernance cyber dans certaines entités.
Peut-on mutualiser les analyses de risques NIS2 et RGPD ?
Oui. Une méthodologie commune de gestion des risques peut permettre de coordonner les exigences des deux réglementations et d’éviter les doublons.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
Pour aller plus loin
- CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection – Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Livre Blanc RGPD
Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
