Resilience & Sovereignity Convention 2026, le 28 avril au Sheraton Brussels Airport, l’événement du basculement

2026, fin de la période de transition. La cybersécurité passe d’une question technique à une obligation légale de résultats. Un basculement qui sera au cœur de l’événement Resilience & Sovereignity Convention 2026. Explications de son organisateur, François Vajda.

À l’instar du GDPR en son temps, les nouvelles réglementations imposent désormais une traçabilité complète. Les entreprises ne doivent plus se contenter d’être protégées ; elles doivent être en mesure de démontrer leur résilience à tout moment, sous peine de sanctions sévères. C’est un changement de paradigme, observe François Vajda, organisateur de Resilience & Sovereignity Convention 2026. « La conformité devient continue. »

2026, année de basculement pour la cybersécurité au sein des États membres de l’Union européenne. Que ce soit avec la directive NIS2, les règlements CRA, Data Act ou l’AI Act, le cap d’une surveillance réglementaire accrue, des audits, des règles en matière de passation de marchés et, vraisemblablement, par des premières sanctions a été franchi.

Une obligation continue fondée sur des preuves

Pour les CISO comme pour les directions juridiques, on passe d’une adoption politique à de véritables contraintes opérationnelles. « La conformité n’est plus un concept théorique : les entreprises devront présenter des preuves tangibles des mesures mises en œuvre, stipule François Vajda. Les entreprises capables d’anticiper seront les mieux équipées pour répondre aux obligations réglementaires imposées. »

Le modèle traditionnel des audits annuels et des cadres politiques statiques disparaît. Les nouvelles réglementations transforment la conformité en une obligation continue fondée sur des preuves. « Il ne s’agit plus simplement de demander aux organisations si elles sont conformes ; elles doivent le prouver en permanence. En cela, c’est un changement de paradigme ! »

Responsabilité jusqu’au conseil d’administration

Pour preuve, NIS2. La directive étend les obligations en matière de cybersécurité à tous les secteurs, notamment l’énergie, la santé, l’industrie et l’administration publique. NIS2 introduit des exigences renforcées en matière de gestion des risques, d’obligations de surveillance et de journalisation, ainsi que des règles de signalement des incidents qui étendent la responsabilité jusqu’au conseil d’administration.

Parallèlement, DORA, la loi sur la résilience opérationnelle numérique, en vigueur depuis janvier 2025, harmonise la manière dont les institutions financières gèrent les risques liés aux technologies de l’information, testent leur résilience et supervisent leurs prestataires tiers critiques.

La loi sur l’IA, qui sera mise en œuvre progressivement à partir de cette année, ajoute une nouvelle dimension : les organisations qui conçoivent ou déploient des systèmes d’IA à haut risque doivent garantir la documentation, la supervision humaine et la traçabilité tout au long du cycle de vie de ces systèmes. 

La réglementation elle-même évolue également

Le 19 novembre 2025, la Commission européenne a présenté un important paquet numérique visant à simplifier et moderniser l’environnement réglementaire numérique de l’UE. Cette initiative comprend un ensemble de mesures numériques visant à rationaliser les règles relatives à l’IA, à la cybersécurité et à la gouvernance des données.

Deux initiatives stratégiques viennent compléter ce paquet : une stratégie pour l’Union des données, destinée à faciliter l’accès à des ensembles de données de haute qualité pour l’innovation en IA, et les portefeuilles numériques européens, qui fourniront aux entreprises une identité numérique unique afin de simplifier leurs opérations transfrontalières au sein des États membres de l’Union européenne.

« Prises ensemble, ces évolutions témoignent d’une volonté de réduire la fragmentation tout en renforçant la surveillance ; un équilibre délicat qui façonnera le fonctionnement des entreprises en Europe au cours de la prochaine décennie, analyse François Vajda. Ces développements ayant des implications importantes pour les organisations évoluant dans le paysage réglementaire de l’UE, ce sujet sera approfondi au cours de notre conférence. »

L’IA transforme le paysage des menaces et les règles

Dans ce chamboulement, l’IA ne se contente pas de remodeler la productivité ; elle transforme également le risque cybernétique.

Selon les données du Forum économique mondial, le nombre de cyberattaques par organisation a plus que doublé en seulement quatre ans. Parallèlement, de nouveaux vecteurs de menaces émergent au sein de la pile technologique de l’IA : injection de prompts, fuites de données, robots d’extraction de données alimentés par l’IA et deepfakes de plus en plus sophistiqués…

Ceci reflète un changement de mentalité plus large. La cyber-résilience n’est plus perçue comme une simple liste statique de contrôles, continue François Vajda. « L’IA devient un système d’apprentissage continu qui évolue au même rythme que les technologies qu’il protège… »

Convergence des cadres de conformité

L’initiative Digital Omnibus de l’UE vise à rationaliser les obligations qui se chevauchent entre les principaux cadres réglementaires, notamment le GDPR, la directive ePrivacy, NIS2, DORA et la loi sur l’IA. Parmi les changements proposés figurent des procédures unifiées de signalement des incidents, des règles de consentement simplifiées, des signaux de préférence au niveau du navigateur et des règles plus claires concernant les données d’entraînement de l’IA. « Désormais, la cybersécurité ne se limite plus aux frontières d’une seule organisation ! »

Dans le cadre de réglementations telles que DORA et NIS2, les entreprises doivent de plus en plus évaluer et surveiller le niveau de sécurité de leurs fournisseurs, partenaires et prestataires de technologies. Les vulnérabilités liées à des tiers sont désormais considérées comme faisant partie intégrante des risques propres à l’organisation.

Par ailleurs, un portail unique de signalement européen devrait réduire davantage la fragmentation, permettant aux organisations de signaler les incidents de cybersécurité et les violations de données via un portail harmonisé plutôt que de devoir naviguer entre plusieurs régimes parallèles.

La souveraineté change de statut

Cette année, aussi, on verra que la souveraineté ne relève plus d’un principe abstrait. Elle s’inscrit dans les cahiers des charges et influence directement les choix technologiques.

Les directions IT et les responsables sécurité examinent désormais la chaîne de valeur dans son ensemble : conception des composants, maîtrise logicielle, gouvernance des mises à jour, capacité d’évolution des architectures et solidité des partenaires technologiques. La question n’est plus seulement « que permet la solution ? », mais « sous quelle juridiction s’inscrit-elle et à quelles dépendances expose-t-elle ? .

Dans un contexte international marqué par l’application extraterritoriale de certaines législations, la maîtrise des flux de données devient un enjeu stratégique.

En 2026, les multinationales doivent s’attendre à des directives plus détaillées, à des exigences plus strictes et à une application élargie des principes de souveraineté, entrevoit François Vajda. Une gouvernance cohérente des données et des bonnes pratiques en matière d’architecture seront donc essentielles pour répondre à ces exigences sans compromettre la productivité opérationnelle…

« La bonne nouvelle ? Se mettre en conformité n’a jamais été aussi accessible. Les outils existent, les bonnes pratiques sont documentées, et le coût de la conformité est infiniment inférieur au coût d’une sanction ! »