Un assistant de 10 questions qui croise le secteur, la taille et l'activité de votre entreprise avec l'ENS, la NIS2, DORA, l'AI Act et le RGPD — et vous indique, domaine par domaine, si cela s'applique, ce qui est exigé et par où commencer.
Détermine si vous relevez de la Directive NIS2 (Annexe I et Annexe II).
La taille est essentielle pour savoir si la NIS2 ou le RGPD vous imposent plus ou moins d'obligations.
Nous retenons le critère le plus défavorable (salariés ou chiffre d'affaires) pour ne pas sous-évaluer votre obligation.
Contrats, appels d'offres ou marchés publics avec des mairies, régions, ministères ou organismes publics.
Mairie, conseil départemental, organisme autonome, université publique, entité dépendant d'une administration…
Détermine si DORA, le règlement européen sur la résilience opérationnelle numérique, s'applique à vous.
Selon l'AI Act, cela fait de vous un « fournisseur » d'IA, avec des obligations renforcées.
Chatbots, outils de recrutement, scoring, génération de contenu… Cela fait de vous un « déployeur » d'IA.
Certains usages sont classés « à haut risque » à l'Annexe III de l'AI Act.
Santé, biométrie, idéologie, orientation sexuelle… ou géolocalisation, vidéosurveillance, profilage et scoring à grande échelle.
Sur votre secteur, votre taille, votre chiffre d'affaires, votre relation avec l'administration publique, le secteur financier et votre usage de l'IA.
La logique est du JavaScript local : aucune réponse n'est envoyée à un serveur ni stockée nulle part.
Avec les critères d'application de chaque réglementation : secteur et taille pour la NIS2, relation contractuelle pour l'ENS, activité financière pour DORA, rôle pour l'AI Act.
ENS, NIS2, DORA, AI Act et RGPD : s'applique, ne s'applique pas, ou probablement — avec les obligations clés de chacun.
Chaque carte renvoie vers le guide complet de cette réglementation. Et si vous préférez en parler avec quelqu'un, une session gratuite est proposée à la fin.
Entre 2022 et 2026, le cadre de conformité pour les entreprises espagnoles et européennes s'est densifié d'un coup. L'Esquema Nacional de Seguridad (ENS) espagnol exige depuis 2010 des mesures de sécurité de la part de l'administration et de ses prestataires technologiques. La Directive NIS2 élargit le périmètre de la cybersécurité obligatoire à des secteurs entiers de l'économie, avec ou sans marché public. Le règlement DORA fait de même pour le secteur financier et ses fournisseurs technologiques. L'AI Act européen commence à imposer des obligations concrètes à quiconque développe ou utilise des systèmes d'IA. Et le RGPD, le plus ancien de tous, continue de s'appliquer à pratiquement toute entreprise qui traite des données de personnes — c'est-à-dire toutes.
Le problème n'est pas le manque d'information : il existe des guides détaillés sur chaque réglementation prise séparément. Le problème, c'est que personne ne vous dit, en croisant votre secteur, votre taille et votre activité concrète, lesquelles des cinq vous concernent réellement et lesquelles ne vous concernent pas. Une PME industrielle de 80 salariés peut relever de l'Annexe II de la NIS2 sans le savoir. Un cabinet de conseil de 6 personnes qui vend un chatbot de recrutement peut être « fournisseur d'IA à haut risque » selon l'AI Act sans jamais s'être posé la question. Une entreprise qui ne travaille jamais avec une administration publique peut supposer, à tort, que l'ENS ne la concerne jamais — jusqu'à ce qu'elle réponde à un appel d'offres.
ENS — Régi par le décret royal 311/2022, il s'applique au secteur public et aux entreprises privées qui, dans le cadre d'une relation contractuelle, fournissent des services technologiques à une administration publique. Si vous ne travaillez pas avec des administrations, il ne s'applique pas à vous aujourd'hui.
NIS2 — La directive européenne sur la cybersécurité classe les secteurs en deux annexes de criticité et fixe le seuil d'application au niveau de l'entreprise moyenne (à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires/bilan). En Espagne, la loi qui la transpose — la loi de coordination et de gouvernance de la cybersécurité — est toujours en cours d'examen parlementaire, mais les obligations de fond sont déjà exigées en pratique.
DORA — D'application directe (sans besoin de transposition) depuis le 17 janvier 2025, il concerne plus de vingt types d'entités financières, ainsi que les prestataires tiers de services TIC qui leur apportent un support critique.
AI Act — Le règlement (UE) 2024/1689 distingue les « fournisseurs » (qui développent ou mettent sur le marché des systèmes d'IA) des « déployeurs » (qui les utilisent sous leur propre autorité), et classe le risque selon l'usage : les systèmes de l'Annexe III (RH, crédit, santé, biométrie, justice…) sont considérés à haut risque. L'application générale du règlement arrive le 2 août 2026 ; les obligations spécifiques aux systèmes à haut risque de l'Annexe III ont été reportées au 2 décembre 2027 après le Digital Omnibus adopté en juin 2026.
RGPD — S'applique à toute entreprise qui traite des données personnelles, sans exception de taille. Ce qui varie, c'est l'intensité des obligations : si le délégué à la protection des données est obligatoire, si le registre des activités de traitement bénéficie d'une exemption (entreprises de moins de 250 salariés avec des traitements occasionnels et sans données sensibles), et si une analyse d'impact (AIPD) est nécessaire avant de traiter certaines données.
Si le test montre que l'une des cinq réglementations vous concerne et que vous ne savez pas par où commencer, nos services d'audit et gouvernance de l'IA et de conseil en conformité AI Act détaillent comment chacune se traite concrètement, avec des délais et des livrables réels.
L'ENS espagnol (Schéma national de sécurité, décret royal 311/2022), la Directive NIS2 sur la cybersécurité, le Règlement DORA sur la résilience opérationnelle numérique du secteur financier, l'AI Act européen et le RGPD sur la protection des données.
Non. Il s'agit d'une orientation automatique fondée sur les réponses que vous donnez, pensée pour savoir par où commencer. Elle ne remplace pas l'analyse d'un conseiller juridique ou de conformité sur votre cas concret.
Non. Le test s'exécute entièrement dans votre navigateur en JavaScript : aucune réponse n'est envoyée à un serveur et rien n'est conservé, sauf si vous décidez de réserver une session à la fin.
Le RGPD s'applique toujours, quelle que soit votre taille. L'ENS, la NIS2 et DORA dépendent de votre secteur et du fait que vous travailliez ou non avec une administration publique ou des entités financières — une micro-entreprise peut être exemptée de NIS2 mais rarement du RGPD. L'AI Act dépend du fait que vous développiez ou utilisiez des systèmes d'IA, pas de la taille.
L'Espagne devait transposer la Directive NIS2 avant le 17 octobre 2024. En juillet 2026, la loi de coordination et de gouvernance de la cybersécurité qui la transpose est toujours en cours d'examen parlementaire, bien que les obligations de fond soient déjà exigées en pratique par les régulateurs et les clients européens.
Réservez une session gratuite de 30 minutes. Nous passons en revue votre résultat, clarifions quelle réglementation pèse le plus dans votre cas et quelles démarches concrètes engager en premier.
Réserver une session gratuite →