DORA, NIS2 et risques géopolitiques : comment les régulations européennes couvrent (vraiment) la résilience énergétique

2024-2026 : l'Union européenne a déployé trois règlements majeurs pour la résilience — DORA (secteur financier), NIS2 (secteurs essentiels élargis), CRA (produits numériques). Chacun aborde les risques de son périmètre, mais ensemble ils encadrent indirectement la résilience face aux chocs géopolitiques : blocage d'Hormuz, cyberattaques étatiques, pénuries énergétiques, perturbations massives supply chain.

Cet article cartographie précisément quelles exigences s'appliquent à votre entreprise en cas de crise géopolitique, et comment ResiPlan couvre chacune d'elles.

L'Europe encadre désormais la résilience sous toutes ses formes

La convergence des 3 régulations

Les 3 partagent un ADN commun :

• Cartographie des risques incluant géopolitique
• Gestion des fournisseurs tiers (dont énergie, ICT, cloud)
• Reporting incidents dans des délais stricts
• Tests de résilience réguliers
• Sanctions lourdes pour non-conformité

DORA : comment il couvre vraiment la crise énergétique

Les articles directement impactés par une crise Hormuz

Art. 5-9 — Gestion des risques ICT

Les entités financières doivent identifier, évaluer et traiter tous les risques ICT. Incluant :

• Risques d'infrastructure sous-jacente : électricité, réseau, cooling, fioul groupes électrogènes
• Risques de chaîne d'approvisionnement : votre cloud provider paie une facture électricité qui explose → continuité à risque
• Risques géopolitiques : Art. 6(1) mentionne explicitement les "scenarios impacting operational resilience"

Art. 11 — Plan de continuité + reprise d'activité

Obligation formelle : tout cabinet doit maintenir un BCP + DRP testé annuellement couvrant :

• Scénarios "moderately severe but plausible" (blocage Hormuz en fait partie)
• Communication de crise avec clients, autorités, contreparties
• Réduction ICT en mode dégradé

Art. 17 — Reporting incidents majeurs

Délai strict : ack 4h, rapport initial 72h, rapport final 30 jours.

Un incident majeur inclut :

• Indisponibilité prolongée d'une fonction critique ou importante (CIF) — même pour cause énergie !
• Impact matériel sur clients ou revenus
• Cascade vers d'autres entités financières

Art. 26-27 — TLPT (Threat-Led Pen Testing)

Les entités significatives (toutes les banques importantes, assurances, CCP, CSD) doivent organiser tous les 3 ans un test d'intrusion piloté par menace, qui couvre obligatoirement toutes les CIF. En cas de crise géopolitique, ces tests peuvent être audités par ACPR/AMF en priorité.

Art. 28-30 — Risque tiers ICT

Chaque prestataire ICT critique doit :

• Être tracé dans le Register of Information (Art. 31)
• Faire l'objet d'une analyse de concentration (si plusieurs CIF dépendent du même, alerte)
• Avoir une stratégie de sortie documentée (Art. 28(7)(j))
• Permettre des audits (sur site, à distance)
• Notifier vous-même ses propres incidents majeurs

Implication Hormuz : votre data center en Irlande, fourni en électricité par une centrale gaz alimentée en GNL transitant par Hormuz → double dépendance à signaler.

Art. 31 — Register of Information (ROI)

Registre formel à maintenir et partager avec les ESAs (EBA, ESMA, EIOPA) sur demande. Format standardisé ITS (Implementing Technical Standards). Contenu :

• Liste des CIF
• Liste des contrats ICT par CIF
• Chaîne de sous-traitance (Art. 29)
• Géographie des prestataires
• Stratégies de sortie

En cas de crise géopolitique, les autorités exigeront immédiatement la remise de votre ROI pour évaluer l'exposition sectorielle.

Sanctions DORA

Article 50 DORA : jusqu'à 1 % du CA mondial journalier par jour de non-conformité, avec mesures correctives coercitives, interdictions d'activité possibles.

NIS2 : la résilience géopolitique pour 18 secteurs

Secteurs concernés

Secteurs essentiels (obligations renforcées) :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, routier, maritime)
• Banque / marchés financiers (en complément de DORA)
• Santé
• Eau potable / usées
• Infrastructure digitale (DNS, IXP, cloud, data centers)
• Administrations publiques
• Espace

Secteurs importants (obligations standards) :

• Services postaux / courrier
• Gestion des déchets
• Produits chimiques (dont pétrochimie !)
• Alimentaire
• Fabrication (dispositifs médicaux, ordinateurs, véhicules, machines)
• Numérique (fournisseurs services, places marché, moteurs recherche)
• Recherche

Les 10 mesures NIS2 (Art. 21)

Chaque entité doit mettre en place au minimum 10 mesures :

1. Politiques d'analyse des risques + sécurité des systèmes
2. Traitement des incidents
3. Continuité des activités (BCP, reprise, gestion de crise) ← Hormuz
4. Sécurité de la chaîne d'approvisionnement (dont direct + indirect) ← Hormuz
5. Sécurité dans l'acquisition / développement / maintenance
6. Politiques d'évaluation de l'efficacité
7. Cyber-hygiène + formation
8. Cryptographie
9. Sécurité des ressources humaines, contrôles d'accès
10. MFA / comms sécurisées / vulnérabilités

Art. 23 — Reporting incidents

Comme DORA : alerte précoce 24h, notification 72h, rapport final 1 mois.

Un incident significatif NIS2 inclut toute indisponibilité prolongée d'un service essentiel, même causée par pénurie énergétique ou cascade géopolitique.

Sanctions NIS2

Article 34 : jusqu'à 10 M€ ou 2 % du CA mondial (le plus élevé) pour les entités essentielles. 7 M€ ou 1,4 % CA pour les importantes. Responsabilité personnelle des dirigeants possible (Art. 20).

CRA : résilience produit face aux cyberattaques étatiques

Lorsqu'une crise Hormuz éclate, les cyberattaques explosent — APT étatiques (Iran, Russie), ransomwares opportunistes. Le CRA (applicable 11 décembre 2027) exige :

• SBOM (Software Bill of Materials) : pour réagir vite si CVE critique
• CVD portal (security.txt RFC 9116) : réception des vulnérabilités
• Security updates 5 ou 15 ans selon criticité du produit
• Market surveillance : 15 jours ouvrés pour répondre aux autorités

Un produit à éléments numériques (PEN) insuffisamment patché pendant une crise cyber devient un levier d'entrée pour attaquer l'ensemble du secteur.

👉 La suite CRA de ResiPlan couvre les 6 modules : PDE Registry, SBOM, CVD, Security Updates, Annexe I, Market Surveillance.

Matrice récapitulative : obligations × scénario Hormuz

Comment ResiPlan couvre les 3 règlements en une plateforme

ResiPlan est la seule plateforme européenne qui couvre nativement les 3 règlements :

DORA

• DORA CIF — registre Art. 3(22) + justification IA + ROI Art. 31
• Dependencies Pro — Art. 28-30 (tiers ICT + concentration + sous-traitance)
• TLPT module — Art. 26-27 (engagement + findings)
• Incident response intégrée avec reporting 4h/72h/30j

NIS2

• Compliance — 10 mesures Art. 21 cartographiées
• Mass Notification — communication crise 7 canaux
• Crisis Gaming — tabletops Art. 21(c) BCP testés
• Regulatory Watch — veille automatique

CRA

• CRA suite complète — 6 modules natifs
• SBOM (CycloneDX / SPDX) + CVE cross-ref
• CVD portal + RFC 9116 security.txt
• Annexe I self-assessment
• Market Surveillance 15-day response

Transversal

• Hébergement France (OVH) — souverain
• Module IA désactivable pour secteurs sensibles (défense, renseignement)
• 36 méthodologies de risque intégrées
• Audit trail immuable 7 ans rétention

Démarrer l'essai gratuit 14 jours →

FAQ

Une pénurie énergétique liée à Hormuz est-elle couverte par DORA ?

Oui, indirectement mais clairement. Si la pénurie impacte une CIF (ex : vos data centers hébergeant les systèmes critiques), cela constitue un incident majeur à reporter sous 72h selon Art. 17. Vos stratégies de sortie (Art. 28(7)(j)) doivent inclure ce scénario.

NIS2 impose-t-il de préparer la crise Hormuz explicitement ?

NIS2 n'utilise pas le mot "Hormuz" mais l'Art. 21(c) impose la continuité et l'Art. 21(d) la sécurité chaîne d'approvisionnement. L'ANSSI a publié en 2024 un guide recommandant d'intégrer explicitement les scénarios géopolitiques dans les plans de continuité.

Mon entreprise de 20 salariés est-elle concernée par NIS2 ?

Cela dépend du secteur et pas uniquement de la taille. Les secteurs essentiels s'appliquent en principe à partir de 50 salariés (microentreprises exclues), mais avec des exceptions. En secteur énergie, santé ou infrastructures critiques, seuils beaucoup plus bas.

Les amendes DORA peuvent-elles vraiment atteindre 1 % du CA mondial journalier ?

Oui. Article 50 DORA prévoit cette sanction maximum pour violations graves et persistantes. En pratique, l'ACPR appliquera progressivement (mise en demeure → pénalités journalières → sanction finale). Mais une entité systémique négligente pourrait atteindre 50-200 M€ de pénalités cumulées.

Les dirigeants sont-ils personnellement responsables ?

Oui, sous NIS2 Art. 20 et DORA Art. 5 (gouvernance). Les dirigeants effectifs peuvent être personnellement sanctionnés : amendes, interdiction temporaire de fonction, publication du nom dans les décisions des autorités.

Faut-il tester la continuité face à Hormuz spécifiquement ?

Pas obligatoirement avec ce nom. Mais un test de continuité doit couvrir des scenarios géopolitiques plausibles. DORA Art. 25 évoque des "scenarios covering a severe disruption". Un auditeur en 2025-2026 demandera : "Avez-vous testé la disponibilité de vos services face à une disruption majeure du secteur énergétique ?"

Comment ResiPlan simplifie la conformité ?

1. Cross-mapping natif : un contrôle documenté une fois satisfait DORA + NIS2 + ISO 22301 + COSO simultanément
2. Templates pré-rédigés : BCP, DRP, incident response, registers
3. IA ResiPlan pour rédiger les justifications de criticité, rapports incidents, RETEX
4. Tests Crisis Gaming validés par auditeurs
5. Reporting automatisé vers ACPR/AMF/ANSSI

Articles liés

• Blocage du détroit d'Hormuz : guide complet de résilience
• Pénuries de carburant : plan de continuité en 10 étapes
• Impact du blocage d'Hormuz sur la supply chain européenne
• Exercice tabletop crise énergétique : scénario complet
• Guide DORA 2026
• DORA vs NIS2