NIS2 vs DORA
Deux textes européens de cybersécurité de 2022 qui se recouvrent dans l'esprit mais s'appliquent différemment — NIS2 est une directive horizontale couvrant 18 secteurs critiques (transposée nationalement, avec des variations entre États membres), DORA est un règlement sectoriel directement opposable aux entités financières et à leurs prestataires TIC ; pour une banque ou un assureur, DORA est lex specialis et l'emporte sur les sujets TIC.
NIS2 et DORA sont les deux textes européens de cybersécurité adoptés en 2022 qui redessinent le paysage de la résilience opérationnelle en Europe. Ils partagent un air de famille — responsabilisation du conseil, notification d’incidents, contrôles de chaîne d’approvisionnement, preuves comportementales sur la formation — mais s’appliquent différemment par leur forme juridique, leur périmètre et la mécanique de supervision qui les porte.
Vue d’ensemble
| Dimension | NIS2 | DORA |
|---|---|---|
| Forme juridique | Directive (UE) 2022/2555 — transposée par chaque État membre, avec variations nationales | Règlement (UE) 2022/2554 — directement applicable, identique dans toute l’UE |
| Adopté le | 14 décembre 2022 | 14 décembre 2022 |
| Applicable depuis | Échéance de transposition nationale : 17 octobre 2024 (plusieurs EM en retard, dont la France) | 17 janvier 2025 |
| Périmètre | ~160 000 entités dans toute l’UE sur 18 secteurs critiques | ~22 000 entités financières + leurs prestataires TIC critiques |
| Étendue sectorielle | Horizontal : énergie, transport, banque, santé, eau, infra numérique, administration, alimentation, chimie, fabrication de produits critiques, postal, déchets, espace, recherche, services TIC | Sectoriel : banques, assureurs, fintechs, entreprises d’investissement, prestataires crypto-actifs, plateformes de négociation, CCP, CSD, établissements de paiement, AISP, financement participatif, etc. |
| Niveaux d’entité | « Entités essentielles » (secteurs essentiels + grande taille) et « Entités importantes » (secteurs importants + taille moyenne) | Toutes les entités financières dans le périmètre (proportionnalité sur certains contrôles) |
| Seuil de taille | Moyenne ≥ 50 employés OU ≥ 10 M€ CA ; Grande ≥ 250 OU ≥ 50 M€ CA ; certaines entités dans le périmètre quelle que soit la taille | Pas de seuil de taille général pour le périmètre cœur ; proportionnalité sur les tests |
| Autorité | CSIRT nationaux + régulateurs sectoriels (ANSSI en France) | EBA + EIOPA + ESMA conjointement + autorités nationales compétentes (ACPR / AMF en France) |
| Plafond de sanction | Essentielle : 10 M€ ou 2 % du CA mondial. Importante : 7 M€ ou 1,4 % du CA mondial | Significatif ; astreintes pour manquement continu jusqu’à 1 % du CA quotidien ; les ESA peuvent sanctionner les prestataires TIC critiques jusqu’à 1 % du CA quotidien moyen mondial |
| Supervision tiers indépendante | Mesure chaîne d’approvisionnement, mais pas de désignation au niveau UE | Cadre Critical ICT Third-Party Provider (CTPP) — désignation par les ESA, supervision directe |
| Tests de résilience | Selon le risque ; pas de TLPT obligatoire | TLPT tous les 3 ans pour les entités significatives ; tests de résilience numérique opérationnelle de base + avancés pour toutes |
| Notification d’incident | Alerte précoce 24 h, notification 72 h, rapport final 1 mois | Alerte précoce 4 h (RTS), notification initiale 72 h, rapport final 1 mois |
Ce que chaque texte est, en un paragraphe
NIS2 (Directive (UE) 2022/2555) est la directive européenne horizontale de cybersécurité de deuxième génération. Elle remplace NIS1 (2016) avec un périmètre nettement plus large (18 secteurs contre 7), un modèle clair à deux niveaux « essentielles vs importantes », des mesures de gestion des risques plus prescriptives (art. 21), un régime de responsabilité personnelle explicite pour l’organe de direction (art. 20), et des sanctions renforcées. En tant que directive, elle imposait une transposition nationale au 17 octobre 2024 — la plupart des États membres ont manqué l’échéance, la France a adopté sa loi de transposition en 2025. Résultat : un socle commun avec une mise en œuvre propre à chaque État membre — quel CSIRT couvre votre secteur, le barème local des sanctions, les modalités d’enregistrement, varient légèrement.
DORA (Règlement (UE) 2022/2554) est un règlement directement applicable centré sur la résilience opérationnelle numérique du secteur financier. Il s’impose à chaque entité financière du périmètre de la même manière dans toute l’UE, sans transposition nationale, et il ajoute une couche unique que NIS2 n’a pas : le cadre Critical ICT Third-Party Provider (CTPP), au titre duquel les Autorités Européennes de Surveillance (EBA, EIOPA, ESMA) peuvent désigner les fournisseurs cloud, datacenters et autres prestataires TIC critiques comme « critiques » et les superviser directement avec des pouvoirs au niveau UE. Les cinq piliers de DORA — gestion des risques TIC, notification des incidents TIC, tests de résilience opérationnelle numérique (y compris TLPT tous les trois ans pour les entités significatives), gestion des risques liés aux tiers TIC, partage d’information — sont étroitement spécifiés et affinés par des normes techniques de réglementation (RTS).
Comment ils interagissent pour une entité financière
Les deux textes se chevauchent sur les banques, assureurs, infrastructures de marchés financiers et entités similaires. NIS2 traite explicitement cette articulation à l’article 4 : quand DORA s’applique en tant que lex specialis sur un sujet donné, DORA prévaut. En pratique pour une entité financière :
- Gestion des risques TIC, notification d’incidents, tiers TIC, tests de résilience → DORA pilote.
- Gouvernance cybersécurité générale non couverte par les articles spécifiques de DORA, coopération avec les CSIRT nationaux, certains registres de sécurité nationale → NIS2 s’applique en résiduel.
- Doublons de notification au niveau État membre — plusieurs EM travaillent sur des guichets uniques pour qu’une banque ne notifie pas le même incident à l’ACPR/AMF (sous DORA) et à l’ANSSI (sous NIS2) deux fois. L’approche française a été de centraliser via le canal de notification ACPR existant pour les incidents du périmètre DORA.
Règle pratique utile : si vous êtes une entité financière, planifiez DORA d’abord, avec NIS2 en cadre résiduel. Si vous n’êtes pas financière mais dans l’un des 17 autres secteurs NIS2, NIS2 est le cadre intégral et DORA n’est pas pertinent.
Là où ils s’accordent
Les deux textes convergent sur trois principes — c’est la partie à retenir :
- L’organe de direction est personnellement responsable. L’article 20 de NIS2 fait porter à l’organe de direction la responsabilité de la mise en œuvre des mesures de cybersécurité et expose personnellement les individus en cas de défaillance de supervision. L’article 5 de DORA reflète ce point : l’organe de direction approuve et révise annuellement le cadre de gestion des risques TIC et ne peut pas déléguer cette responsabilité.
- Formation et comportement sont dans le périmètre d’audit. L’article 21(2)(g) de NIS2 cite les pratiques d’hygiène cyber de base et la formation en cybersécurité. L’article 13 de DORA exige des programmes d’apprentissage et de développement liés aux TIC, y compris la sensibilisation aux menaces de cybersécurité et à la résilience opérationnelle numérique. Les deux attendent une preuve de comportement, pas seulement de présence.
- Le risque tiers est centralisé. L’article 21(2)(d) de NIS2 impose la sécurité de la chaîne d’approvisionnement aux entités essentielles et importantes. DORA va plus loin avec le cadre formel CTPP et des exigences contractuelles détaillées (articles 28-30).
Où se place Engarde
Les exigences de formation et de preuve comportementale des deux textes ont quitté le nous avons fait le e-learning pour aller vers montrez-nous le comportement dans la durée. Engarde — distinct des autres acteurs qui partagent le nom Engarde — produit cette couche de preuve en continu : lignes de base comportementales, tendances d’acceptation de nudges, résultats de simulations de phishing, alignement PSSI, synthèses de niveau conseil qui satisfont les revues de supervision NIS2 art. 20 et les rapports d’organe de direction DORA art. 5 à partir de la même source de données. Une entité financière dans le périmètre des deux n’exécute pas deux programmes ; le même pipeline de preuves sert les deux auditeurs.
Termes liés
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- DORA (Digital Operational Resilience Act)Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
- ISO 27001 vs SOC 2Deux référentiels de sécurité qui se recouvrent largement mais sont structurellement différents — ISO 27001 est une certification internationale de votre système de management de la sécurité de l'information ; SOC 2 est un rapport d'attestation américain sur le bon fonctionnement de vos contrôles vis-à-vis des Trust Services Criteria de l'AICPA sur une période donnée.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.