Les référentiels de conformité répondent à une question différente : comment démontrer, face à un régulateur, un auditeur ou un assureur, que l'organisation respecte un ensemble d'exigences fixées en dehors d'elle-même.
NIS2 (directive UE 2022/2555) impose aux entités essentielles et importantes des exigences sur la gestion des incidents, la gestion des risques, les tests de sécurité et la sécurité de la chaîne d'approvisionnement, avec un dispositif de notification des incidents majeurs à l'ANSSI (alerte précoce sous 24 heures, notification sous 72 heures). Attention à une confusion fréquente sur le calendrier : l'échéance européenne de transposition était fixée au 17 octobre 2024, mais la France ne l'a pas respectée. La transposition passe par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dite « loi Résilience »), adoptée au Sénat en mars 2025, dont la promulgation est attendue courant 2026. Tant que la loi n'est pas promulguée, les obligations ne sont pas juridiquement opposables — mais l'ANSSI a publié en mars 2026 une version de travail du Référentiel Cyber France (ReCyF), qui détaille les mesures attendues et sert déjà de grille d'auto-évaluation. Les sanctions prévues peuvent atteindre plusieurs millions d'euros ou un pourcentage du chiffre d'affaires annuel mondial selon le type d'entité.
DORA, applicable depuis janvier 2025 pour le secteur financier européen, impose une approche structurée de la résilience opérationnelle numérique : gestion des risques TIC, tests de résilience réguliers, gestion du risque lié aux prestataires tiers, et obligations de notification d'incident comparables à celles de NIS2.
ISO 27001 certifie qu'une organisation dispose d'un système de management de la sécurité de l'information structuré et audité, avec un cycle d'amélioration continue. Contrairement à NIS2 et DORA, ISO 27001 n'est pas une obligation légale en soi, mais une certification volontaire de plus en plus exigée contractuellement par les clients ou partenaires.
RGPD encadre la protection des données personnelles, avec des obligations de sécurité technique et organisationnelle directement liées à la cybersécurité, et des sanctions qui peuvent être substantielles. La sanction CNIL de janvier 2026 contre Free Mobile et Free l'illustre : 42 millions d'euros au total (27 et 15 millions), prononcés après une intrusion d'octobre 2024 ayant exposé les données de 24 millions de contrats d'abonnés, dont des IBAN. La CNIL a retenu, au titre de l'article 32 du RGPD, des mesures de sécurité insuffisantes — notamment une authentification VPN trop faible et une détection des accès anormaux défaillante.
Le point commun entre ces référentiels de conformité : ils exigent une preuve documentée, traçable et souvent datée, pas seulement une bonne pratique appliquée silencieusement. Une organisation peut être réellement bien sécurisée et pourtant non conforme, simplement parce qu'elle n'a pas documenté ce qu'elle fait.