NIS2 et DORA : quelles différences, quels enjeux, quelles obligations ?

Les textes européens en matière de cybersécurité, tels que la directive NIS2 et le règlement DORA, ne sont pas nouveaux. Pourtant, leur mise en œuvre concrète, notamment en France, est aujourd’hui plus que jamais d’actualité.

La directive NIS2, adoptée en décembre 2022, est en cours de transposition dans le droit français. Le projet de loi correspondant a été examiné par le Sénat en mars 2025, et son passage à l’Assemblée nationale est attendu dans les prochains mois.

Quant au règlement DORA (Digital Operational Resilience Act), bien qu’applicable directement dans l’ensemble des États membres depuis janvier 2025, il requiert une appropriation opérationnelle par les entités financières concernées.

Dans ce contexte, il est pertinent de faire le point sur ces deux textes majeurs en matière de cybersécurité : leurs objectifs, leurs champs d’application, leurs obligations, et ce qu’ils impliquent concrètement pour les acteurs de la conformité, du droit et de la gouvernance IT.

🧭 Objectif commun : renforcer la résilience numérique des organisations

La directive NIS2 et le règlement DORA poursuivent un objectif convergent : renforcer la résilience opérationnelle des entités européennes face aux cyberattaques, aux défaillances techniques et aux ruptures critiques dans la chaîne d’approvisionnement.

Dans une économie numérisée, la continuité des services essentiels repose sur des systèmes d’information robustes et sécurisés. Ces textes imposent donc des mesures organisationnelles et techniques pour mieux anticiper les risques cyber, réagir rapidement aux incidents et protéger les données et les services critiques.

🧩 Deux textes, deux approches réglementaires

Voici un aperçu comparatif des deux cadres :

🏛️ NIS2 : un cadre élargi pour la cybersécurité des secteurs critiques

La directive NIS2 (Network and Information Security 2) renforce les obligations issues de la première directive NIS (2016). Elle s’applique à un large éventail d’acteurs publics et privés qualifiés d’essentiels ou importants, notamment dans les secteurs suivants :

• Santé
• Énergie
• Eau
• Transport
• Services numériques (cloud, DNS, plateformes)
• Administration publique

Les entités concernées doivent :

• Mettre en place des mesures de cybersécurité adaptées ;
• Désigner des responsables internes ;
• Notifier les incidents graves dans un délai court (en général sous 24h) ;
• Se conformer à un régime de contrôle et de sanctions renforcé.

💼 DORA : la résilience opérationnelle au cœur de la cybersécurité financière

Le règlement DORA cible spécifiquement le secteur financier, particulièrement exposé aux risques cyber en raison de la sensibilité des données et des enjeux systémiques. Il s’applique aux :

• Banques, assurances, plateformes d’échange
• Gestionnaires d’actifs, établissements de paiement
• Fintechs et prestataires de services IT critiques

Parmi les exigences imposées, on retrouve :

• Cartographie des risques informatiques
• Plans de continuité d’activité et de gestion de crise
• Tests réguliers de résilience (ex. : simulations de cyberattaques)
• Encadrement contractuel strict des fournisseurs IT, notamment les cloud providers
• Les entités sont censées être en conformité avec DORA depuis le mois de janvier 2025, date d'entrée en application du texte.

🔄 NIS2 et DORA : deux cadres complémentaires pour une cybersécurité renforcée

Bien que leurs champs d’application diffèrent, NIS2 et DORA reposent sur des principes communs :

• Une approche proactive de gestion des risques informatiques
• Une obligation de notification rapide en cas d’incident majeur
• Des responsabilités clairement attribuées au niveau de la direction
• Des pouvoirs de contrôle et de sanction accrus pour les autorités compétentes

📌 Exemple : une banque devra appliquer DORA pour son activité principale, mais pourra également relever de NIS2 si elle opère un service numérique critique (ex. : plateforme de paiement interbancaire).

👀 Quels impacts pour les DPO, juristes et responsables conformité ?

La mise en œuvre de NIS2 et DORA exige un dialogue renforcé entre les fonctions internes : cybersécurité, juridique, conformité, gouvernance des données.

• Les DPO devront articuler les notifications d’incident entre RGPD, NIS2 et DORA (avec le délai RGPD de 72h toujours en vigueur).
• Les juristes seront impliqués dans la révision des contrats avec les prestataires informatiques critiques.
• Les responsables conformité devront intégrer ces obligations dans les politiques internes de sécurité et les plans de continuité d’activité.

✨ En conclusion : vers une culture partagée de la cybersécurité

Ni NIS2 ni DORA ne sont de simples textes techniques. Ils traduisent une attente croissante de robustesse numérique dans l’Union européenne, face à un risque cyber devenu systémique.

💡 Se préparer à NIS2 et DORA, c’est dépasser les silos, adopter un langage commun de la résilience, et faire de la cybersécurité une responsabilité collective, au-delà des seuls experts IT.

Les articles suivant pourront vous guider dans la mise en place de votre conformité cyber :

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus