.png)
NIS2, DORA et l'IA Act en 2026 expliqués pour les freelances des systèmes critiques.
Trois textes européens — NIS2, DORA et l'IA Act — redessinent en 2026 le marché des systèmes critiques. Pour un freelance cyber, cloud, DevSecOps, data ou IA, ce ne sont pas d'abord des contraintes : ce sont de puissants moteurs de missions — et certaines vous concernent directement, même si vous n'êtes pas dans leur périmètre.
On présente souvent la réglementation comme un fardeau. Pour un expert des systèmes critiques, c'est l'inverse : chaque nouvelle obligation imposée à vos clients crée une demande structurelle, longue et bien rémunérée, pour ceux qui savent la traiter. NIS2, DORA et l'IA Act sont aujourd'hui les trois piliers de cette vague. Ce guide explique, sans jargon, ce que chacun change vraiment — pour le marché, et pour vous.
Ce que c'est. La directive NIS2 (texte européen 2022/2555) élargit massivement les obligations de cybersécurité en Europe. Là où l'ancienne directive NIS1 ne couvrait que quelques centaines d'organisations en France, NIS2 en concerne entre 15 000 et 18 000, réparties sur 18 secteurs stratégiques.
Où on en est en 2026. Étant une directive, NIS2 doit être transposée par chaque État. La France, en retard sur l'échéance européenne d'octobre 2024, le fait via la loi Résilience, dont l'adoption définitive et la promulgation sont attendues courant 2026, suivies des décrets techniques de l'ANSSI. Le pré-enregistrement des entités est déjà ouvert sur la plateforme MonEspaceNIS2, et l'ANSSI a publié son référentiel (le ReCyF) en mars 2026. Le message de l'agence est clair : ne pas attendre les décrets pour démarrer.
Qui est concerné. Deux catégories : les entités essentielles (à partir de 250 salariés, ou 50 M€ de CA, ou 43 M€ de bilan, dans les secteurs hautement critiques) et les entités importantes (à partir de 50 salariés ou 10 M€ de CA). Les sanctions vont jusqu'à 10 M€ ou 2 % du CA pour les premières, avec une nouveauté qui change tout : la responsabilité personnelle des dirigeants.
Pourquoi ça vous concerne, même si vous êtes freelance. L'une des dix mesures imposées est la sécurité de la chaîne d'approvisionnement. Conséquence directe : les entités NIS2 doivent exiger des garanties de leurs fournisseurs et prestataires techniques. Un freelance qui intervient pour un hôpital, une banque ou un énergéticien se retrouve donc, par contrat, tenu de respecter l'essentiel des exigences — sans être lui-même dans le périmètre. Et surtout, la demande explose : GRC, RSSI de transition, audit ISO 27001, pentest, architecture de sécurité, gestion de la supply chain. C'est l'un des marchés freelance les plus tendus de France.
Ce que c'est. DORA (règlement européen 2022/2554) impose au secteur financier un cadre unifié de résilience opérationnelle face aux risques numériques. Contrairement à NIS2, c'est un règlement : il s'applique directement, sans transposition nationale.
Où on en est en 2026. DORA est en application depuis le 17 janvier 2025. Les obligations des plus petites entités financières s'appliqueront à compter de janvier 2027, et 2026 est la première année pleine de contrôles intensifiés par l'ACPR et l'AMF.
Qui est concerné. Banques, assurances, fonds d'investissement, fintechs, prestataires de services de paiement — et leurs prestataires tiers de services TIC critiques : hébergeurs cloud, éditeurs SaaS, intégrateurs, data centers, sociétés de cybersécurité. DORA s'articule autour de cinq piliers : gestion des risques TIC, notification des incidents majeurs dans des délais stricts, tests de résilience (dont des tests d'intrusion avancés, les TLPT), gestion des risques liés aux tiers, et partage d'informations. Les sanctions atteignent 2 % du CA annuel mondial pour une entité financière, et jusqu'à 1 % du CA mondial quotidien pour un prestataire tiers critique désigné.
Pourquoi ça vous concerne. Deux façons. D'abord, DORA crée une demande massive de missions dans la finance : GRC réglementaire, pentest TLPT, sécurisation du cloud, plans de continuité, audit de prestataires. Ensuite, si vous êtes vous-même prestataire TIC pour un client financier, vous devez renforcer vos contrats, vos reportings, et accepter d'éventuels audits ou tests à sa demande. La banque et l'assurance sont, en 2026, parmi les secteurs aux missions les plus longues et les mieux payées du marché cyber.
Ce que c'est. L'IA Act (règlement européen 2024/1689) est le premier cadre juridique mondial sur l'intelligence artificielle. Il classe les systèmes d'IA en quatre niveaux de risque : inacceptable (interdit), haut risque, risque limité (obligation de transparence) et minimal.
Où on en est en 2026. En vigueur depuis août 2024, il s'applique par étapes : les pratiques interdites depuis février 2025, les obligations pour les modèles d'IA à usage général (GPAI) depuis août 2025, et les obligations pour les systèmes à haut risque (annexe III) attendues pour le 2 août 2026 — étant précisé qu'un paquet de simplification européen (le « Digital Omnibus ») discute un possible report de cette échéance, sans accord trouvé à ce stade. Prudence, donc : le calendrier exact reste mouvant, et mieux vaut anticiper août 2026.
Qui est concerné. Les systèmes à haut risque touchent des domaines sensibles : recrutement et RH, scoring de crédit et d'assurance, éducation, biométrie, justice, et infrastructures critiques (réseaux d'électricité, d'eau, trafic). En France, la CNIL est l'autorité de référence, épaulée par des autorités sectorielles (ACPR, AMF, DGCCRF, Arcom…), l'ANSSI intervenant en appui technique. Les sanctions montent jusqu'à 35 M€ ou 7 % du CA mondial pour les usages interdits.
Pourquoi ça vous concerne. L'IA Act fait émerger un besoin neuf : des experts capables de cartographier les systèmes d'IA, d'évaluer leur niveau de risque, de documenter leur conformité et de les gouverner. À l'intersection de la data, de l'IA et de la conformité, c'est un terrain encore peu peuplé — et donc à forte valeur.
Si l'on devait ne retenir qu'un sujet d'avenir, ce serait celui-ci. À la croisée de la cybersécurité et de l'intelligence artificielle naît un métier rare : sécuriser l'IA elle-même. MLSecOps, sécurisation des grands modèles de langage (LLM), conformité IA Act, défense contre les attaques sur les modèles : la demande est promise à une explosion, portée par l'adoption de l'IA générative, les nouvelles réglementations et les nouvelles menaces — alors que presque personne ne s'y positionne aujourd'hui.
Occuper ce territoire maintenant, c'est devenir l'évidence quand la vague arrivera. C'est exactement le pari de la sous-marque AI Security d'Alpha Conseil : nommer et incarner, avant tout le monde, le profil le plus tourné vers l'avenir des systèmes critiques.
Au-delà de leurs périmètres distincts, NIS2, DORA et l'IA Act partagent une même logique : la chaîne de responsabilité. Même si vous n'êtes pas directement assujetti, vos clients le sont — et ils font redescendre leurs obligations sur vous, par contrat, sous forme de garanties, de clauses et d'audits. Maîtriser ces textes, ce n'est donc pas une option de conformité : c'est ce qui fait de vous l'expert que les clients s'arrachent.
Un avertissement utile, en revanche : ne confondez pas ces réglementations entre elles, ni avec le RGPD. Chacune a son périmètre, ses seuils, son autorité (l'ANSSI pour NIS2, l'ACPR et l'AMF pour DORA, la CNIL pour l'IA Act, la CNIL encore pour le RGPD) et ses déclencheurs de notification. Une même entreprise peut relever de plusieurs régimes à la fois.
Ces trois textes créent, dans les cinq métiers des systèmes critiques, des missions durables, longues et bien rémunérées — précisément parce que la conformité n'est pas un projet ponctuel mais une démarche continue. Les profils qui savent traiter NIS2, DORA ou l'IA Act figurent parmi les mieux valorisés du marché 2026 ; pour situer votre tarif sur ces compétences, voyez notre guide « TJM d'un expert cyber, cloud, DevSecOps, data ou IA en 2026 ».
Le bon réflexe : faire de l'une de ces réglementations un axe de spécialisation explicite — dans votre positionnement, votre contenu, vos missions. La rareté se paie, et ces sujets sont rares.
NIS2 concerne-t-elle les freelances ?
Pas directement (les seuils visent des entités d'une certaine taille), mais indirectement : par l'obligation de sécurité de la chaîne d'approvisionnement, les clients NIS2 imposent des garanties à leurs prestataires. Et la directive crée une demande massive de missions cyber.
DORA est-elle déjà en vigueur ?
Oui, le règlement s'applique depuis le 17 janvier 2025 pour le secteur financier et ses prestataires TIC critiques. 2026 marque l'intensification des contrôles.
Quand l'IA Act s'applique-t-il pleinement ?
Par étapes : interdictions depuis février 2025, modèles à usage général depuis août 2025, systèmes à haut risque attendus le 2 août 2026 — sous réserve d'un éventuel report en cours de discussion au niveau européen.
Quelle est la différence entre NIS2, DORA et le RGPD ?
Périmètres et autorités différents : NIS2 (cybersécurité, large, ANSSI), DORA (résilience du secteur financier, ACPR/AMF), RGPD (données personnelles, CNIL). Être conforme à l'un ne dit rien des autres.
Quel sujet réglementaire offre le plus d'avenir à un freelance ?
La sécurité de l'IA, à l'intersection de la cybersécurité et de l'IA (MLSecOps, sécurisation des LLM, conformité IA Act) : un profil rare, encore peu pourvu, et promis à une forte croissance.
Ce guide reflète l'état des réglementations européennes à jour en juin 2026 ; les calendriers (notamment celui de l'IA Act et la transposition française de NIS2) évoluent. Il ne constitue pas un conseil juridique : vérifiez les textes applicables à votre situation auprès des autorités compétentes ou d'un professionnel du droit.
.png)
.png)
.png)
.png)