DORA, NIS2 : 2 textes complémentaires pour la cybersécurité des acteurs financiers

Depuis l'entrée en application du règlement DORA en janvier 2025 et de la directive NIS2 transposée en droit national, les RSSI et DSI sont confrontés à un nouveau défi : articuler deux textes européens exigeants en matière de cybersécurité et de résilience numérique.

Mais DORA et NIS2 ne sont pas des doublons. Ils se complètent. Comprendre leurs points communs, leurs différences et leurs zones d'articulation est indispensable pour bâtir un système d'information conforme et résilient.

À plus de 6 mois d'application, nous avons une vision qui s'affine de l'articulation entre ces deux textes. En effet, si certains y voient une duplication d'efforts, d'autres comprennent qu'ensemble, ils constituent un socle cohérent de cybersécurité européenne.

01. Objectifs comparés : deux logiques complémentaires
02. Périmètre d’application
03. Obligations principales
04. Qui supervise quoi ?
05. Points de convergence
06. Différences structurantes
07. Articuler DORA et NIS2 : mode d’emploi
08. Conseils pratiques pour les RSSI et DSI
09. En conclusion
10. FAQ

01. Objectifs comparés : deux logiques complémentaires

DORA : Assurer la résilience opérationnelle numérique des entités financières, y compris via leurs prestataires TIC.

NIS2 : Renforcer la cybersécurité des secteurs critiques au niveau européen, en incluant notamment les services financiers.

En clair :

• DORA se concentre sur la continuité d’activité, les tests, la gestion des tiers et la réponse aux incidents numériques spécifiques au secteur financier.
• NIS2 vise à établir une cybersécurité minimale dans tous les secteurs essentiels (énergie, santé, transport, services numériques, etc.) via des obligations transverses.
  

02. Périmètre d’application

DORA

S’applique exclusivement aux entités financières (banques, assurances, sociétés de gestion, plateformes crypto, etc.) et à leurs prestataires IT critiques (cloud, SaaS, data centers…).

Environ 22 000 entités concernées dans l’UE.

NIS2

S’applique à un large éventail de secteurs critiques, dont le secteur financier fait partie. Elle concerne aussi bien les entités essentielles que les entités importantes selon des critères de taille et d’impact.

Environ 160 000 entités concernées dans l’UE.

03. Obligations principales

04. Qui supervise quoi ?

• DORA : supervision sectorielle et européenne (ex : ESMA pour les marchés financiers).
• NIS2 : supervision nationale, par les autorités désignées dans chaque État membre (ANSSI en France).

À retenir : un acteur financier peut être doublement supervisé : par une autorité sectorielle européenne (DORA) et une autorité nationale (NIS2).

05. Points de convergence

Culture du risque : les deux textes renforcent la responsabilisation des directions générales sur la cybersécurité.

Notification d'incident : obligation de déclarer tout incident significatif dans des délais courts.

Documentation & preuves : les entités doivent démontrer leurs actions (auditabilité, registres, politiques à jour).

Gestion des prestataires TIC : bien que DORA aille plus loin, NIS2 impose aussi une vigilance accrue.

06. Différences structurantes

07. Articuler DORA et NIS2 : mode d'emploi

Exemple concret : une société de gestion d'actifs

Elle est :

• Soumise à DORA pour son cœur de métier financier
• Soumise à NIS2 en tant qu'acteur essentiel numérique

Elle devra :

• Se doter d'un registre de gestion des risques TIC (DORA)
• Élaborer un plan de cybersécurité transverse (NIS2)
• Formaliser des clauses contractuelles avec ses fournisseurs IT (DORA)
• Mettre en place des processus de notification croisés en cas d'incident (DORA + NIS2)
  
  

08. Conseils pratiques pour les RSSI et DSI

• Mener une cartographie croisée des exigences DORA/NIS2 pour identifier les redondances et les manques.
• Réviser vos contrats IT pour intégrer les clauses DORA (audit, portabilité, réversibilité, etc.) - même si NIS2 ne les exige pas toutes.
• Instaurer une gouvernance unifiée pour la cybersécurité et la résilience, avec un pilotage transverse.

• Construire un plan de conformité combiné, en priorisant :
  • DORA pour les aspects opérationnels, contractuels, tests ;
  • NIS2 pour les aspects structurels, stratégiques, transverses.
• Se faire accompagner pour éviter la sur conformité ou les angles morts réglementaires.

Au-delà de cette démarche, il faut construire une régularité dans les contrôles, un budget pour anticiper la sécurité dans le développement du SI et inscrire une démarche d'amélioration continue.

09. Conclusion

DORA et NIS2 ne s'opposent pas. Ensemble, ils structurent une nouvelle ère de cybersécurité en Europe.

Pour les acteurs financiers, DORA est le cadre de résilience opérationnelle à respecter en priorité. NIS2 est un complément généraliste qui impose de décloisonner la cybersécurité au sein de l'organisation.

Résilience, souveraineté, responsabilité : ce sont les maîtres-mots de cette convergence réglementaire.

N'oublions jamais que l'incident coûte plus cher que la mise en place de mesures de cybersécurité. C'est pour cette raison que les régulateurs imposent la mise en place d'un cadre de gestion des risques cohérent : connaître ses risques et appliquer les bonnes mesures selon le principe de proportionnalité.

Se faire accompagner, c'est, dans une période transitoire, se doter des meilleures chances d'atteindre le niveau requis de conformité sur les deux textes. Notre expérience dans les domaines financier et assurantiels nous a démontré que l'identification des bonnes guidelines est un point essentiel.

10. FAQ

Faut-il se conformer aux deux textes ? Oui, s'ils s'appliquent à votre organisation. Le secteur financier est concerné par les deux dans la majorité des cas.

Comment savoir si je dois faire des TLPT ? Si vous êtes une entité financière critique (au sens DORA), les tests d'intrusion fondés sur les menaces sont obligatoires tous les 3 ans.

Mon fournisseur cloud est-il concerné ? S'il est considéré comme prestataire critique (DORA), il sera supervisé directement par les autorités européennes. Même sans cela, vous devez contractualiser des obligations spécifiques.

Comment éviter la duplication d'efforts ? En menant une cartographie croisée des exigences et en instaurant une gouvernance unifiée pour piloter les deux conformités.

Quels sont les délais de notification différents ? DORA impose une notification sous 4h, NIS2 sous 24h puis un rapport technique sous 72h. Les processus peuvent être coordonnés.

Besoin d'aide pour structurer votre plan de conformité croisé DORA/NIS2 ?

Nous vous aidons à :

• Mettre en place un cadre de gestion des risques adapté aux deux règlements : gouvernance, gestion des incidents, pilotage des fournisseurs, politique de sécurité.
• Réaliser une analyse d'écart croisée DORA / NIS2 et définir un plan d'action concret.
• Former vos dirigeants et vos équipes aux exigences spécifiques des deux textes, selon votre secteur, votre taille et votre niveau de criticité.