Depuis janvier 2025, le règlement DORA s'applique pleinement aux entités financières de l'Union européenne. La directive NIS2 aurait dû être transposée dans chaque État membre avant le 17 octobre 2024. Ces deux textes coexistent, se chevauchent parfois, et sèment la confusion chez les RSSI et Responsables PCA qui doivent décider lesquels appliquer — voire les deux. Cet article vous donne les clés pour trancher.
Qu'est-ce que DORA ?
Le Digital Operational Resilience Act (règlement UE 2022/2554, dit « DORA ») est un règlement européen directement applicable dans tous les États membres sans transposition nationale. Il est entré en vigueur le 17 janvier 2025.
DORA vise à garantir que les entités financières peuvent résister, s'adapter et se remettre de toute perturbation liée aux technologies de l'information et de la communication (TIC). Il couvre cinq piliers :
- Gestion du risque TIC (politiques, procédures, plans de continuité)
- Notification des incidents TIC majeurs (aux autorités compétentes : ACPR en France, BCE pour les établissements significatifs)
- Tests de résilience opérationnelle numérique (tests basiques et TLPT — Threat-Led Penetration Testing)
- Gestion du risque lié aux tiers (registre des prestataires de services TIC critiques)
- Partage d'information sur les cybermenaces
Qui est concerné par DORA ?
L'article 2 du règlement liste 21 catégories d'entités, dont :
- Établissements de crédit (banques)
- Établissements de paiement et de monnaie électronique
- Entreprises d'investissement
- Compagnies d'assurance et de réassurance
- Gestionnaires de fonds alternatifs (FIA) et de fonds OPCVM
- Contreparties centrales (CCP) et dépositaires centraux de titres (CSD)
- Prestataires de services sur crypto-actifs (CASP) sous MiCA
- Prestataires de services TIC tiers désignés critiques par les AES (Autorités européennes de surveillance)
Qu'est-ce que NIS2 ?
La directive NIS2 (directive UE 2022/2555) remplace la directive NIS1 de 2016. Contrairement à DORA, c'est une directive : chaque État membre devait la transposer dans son droit national avant le 17 octobre 2024. En France, la transposition est en cours via une loi de transposition (le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité).
NIS2 élargit considérablement le champ d'application de NIS1 : là où NIS1 couvrait environ 1 000 opérateurs en France, NIS2 cible selon l'ANSSI potentiellement des milliers d'entités réparties sur 18 secteurs.
Qui est concerné par NIS2 ?
NIS2 distingue deux catégories selon la criticité et la taille :
| Catégorie | Secteurs couverts | Critères de taille |
|---|---|---|
| Entités essentielles (EE) | Énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace | Grande entreprise (>250 salariés ou CA >50 M€ et bilan >43 M€), ou désignée par l'État |
| Entités importantes (EI) | Services postaux, gestion des déchets, fabrication critique, alimentation, chimie, recherche, fournisseurs numériques | Moyenne entreprise (>50 salariés ou CA/bilan >10 M€) |
Les obligations incluent : mesures de gestion du risque cyber, notification des incidents significatifs (dans les 24h pour alerte préliminaire, 72h pour notification initiale), sécurité de la chaîne d'approvisionnement, et responsabilité des dirigeants.
DORA vs NIS2 : tableau comparatif
| Critère | DORA | NIS2 |
|---|---|---|
| Nature juridique | Règlement (directement applicable) | Directive (transposition nationale requise) |
| Date d'application | 17 janvier 2025 | Transposition avant 17 octobre 2024 |
| Secteur cible | Secteur financier uniquement | 18 secteurs critiques |
| Périmètre géographique | UE (all MS) | UE (all MS, application nationale) |
| Autorité compétente (FR) | ACPR, AMF, BCE | ANSSI (entités essentielles et importantes) |
| Gestion du risque TIC/cyber | Oui, cadre détaillé (art. 5 à 16) | Oui, art. 21 (mesures minimales) |
| Notification incidents | 4h (alerte précoce), 72h (rapport initial), 1 mois (rapport final) | 24h (alerte préliminaire), 72h (notification) |
| Tests de résilience | Obligatoires (TLPT pour entités significatives) | Recommandés, pas systématiquement obligatoires |
| Risque tiers / chaîne d'appro | Chapitre V très détaillé (registre, clauses contractuelles) | Art. 21(d) : sécurité de la supply chain |
| Responsabilité dirigeants | Art. 5 : organe de direction directement responsable | Art. 20 : formation obligatoire des dirigeants |
| Sanctions max. | Variable selon autorité nationale | 10 M€ ou 2 % du CA mondial (EE) ; 7 M€ ou 1,4 % (EI) |
Chevauchements : les entités soumises aux deux régimes
Le considérant 16 de DORA précise que les entités financières relevant des deux régimes appliquent DORA en priorité pour les exigences ICT, NIS2 leur étant applicable de manière résiduelle (lex specialis).
Concrètement, une banque est soumise à NIS2 en tant qu'entité du secteur « banques » (annexe I, point 3 de NIS2), mais elle applique DORA pour tout ce qui touche à la résilience numérique. La logique : DORA est plus exigeant sur le plan sectoriel financier, NIS2 fournit le socle transversal.
Cas pratiques :
- Banque ou assureur → DORA prime, NIS2 complémentaire pour la gouvernance et la supply chain non-TIC
- Prestataire cloud ou fournisseur de data center → NIS2 s'applique (infrastructure numérique, annexe I) ; si désigné PST critique sous DORA, les deux régimes s'appliquent
- Gestionnaire d'énergie avec une filiale de paiement → NIS2 côté énergie, DORA côté paiement
- PME de fintech → DORA si elle fournit des services financiers réglementés ; NIS2 si elle dépasse les seuils de taille et opère dans un secteur couvert
Comment déterminer votre régime applicable
Suivez cette logique d'analyse en trois étapes :
Étape 1 : êtes-vous une entité financière au sens de DORA ?
Consultez l'article 2(1) du règlement UE 2022/2554. Si votre entité figure dans l'une des 21 catégories listées, DORA s'applique. Les petites entités non complexes (art. 4) bénéficient d'un régime allégé pour les tests TLPT.
Étape 2 : opérez-vous dans un secteur couvert par NIS2 ?
Vérifiez les annexes I et II de la directive UE 2022/2555. Si oui et si vous dépassez les seuils de taille, vous êtes entité essentielle ou importante.
Étape 3 : appliquez le principe de lex specialis
Si les deux régimes s'appliquent, DORA prime sur le volet résilience numérique. Alignez vos obligations NIS2 résiduelles (notification, gouvernance, supply chain) sur votre programme DORA pour éviter les doublons.
Risques en cas de non-conformité
Les autorités européennes de surveillance (ABE, AEAPP, AEMF) ont publié en 2024 des orientations conjointes sur la supervision DORA (JC 2023/86). L'ANSSI prépare ses premières actions NIS2 contre les entités n'ayant pas engagé leur mise en conformité.
Les sanctions NIS2 atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Pour DORA, les autorités nationales peuvent imposer des astreintes et mesures correctives contraignantes. Le risque opérationnel demeure le plus immédiat : une perturbation non gérée peut déclencher une notification obligatoire et une mise en cause directe des dirigeants.
Pour aller plus loin
Si cet article vous a aidé à clarifier votre périmètre réglementaire, découvrez comment ResiPlan structure la conformité multi-cadres pour votre équipe :
- RSSI : Gestion du risque cyber et conformité DORA/NIS2 pour les RSSI
- Responsables PCA : Plans de continuité et résilience opérationnelle alignés DORA
- Compliance Officers : Cartographie réglementaire et suivi des obligations NIS2/DORA