Une confusion fréquente entoure la nature juridique de DORA. On entend parfois parler de 'directive DORA' alors que le texte (EU) 2022/2554 est un règlement européen. Cette distinction n'est pas anodine : elle détermine le mode d'application du texte, le rôle du législateur national et le niveau d'harmonisation atteint.

Règlement vs Directive : La Distinction Fondamentale

En droit de l'Union européenne, deux instruments législatifs principaux coexistent. La directive fixe des objectifs que les États membres doivent atteindre, en leur laissant le choix des moyens et la nécessité de la transposer en droit national. Le règlement, lui, est d'application directe et uniforme dans tous les États membres dès son entrée en vigueur, sans transposition nécessaire.

Application Directe de DORA

DORA étant un règlement, il s'applique directement en France depuis le 17 janvier 2025 sans que le Parlement français ait eu à voter un texte de transposition. Les obligations qu'il impose sont identiques à Paris, Francfort, Madrid ou Varsovie. Cette uniformité est précisément l'objectif recherché : éviter le morcellement réglementaire qui existait avant DORA.

Pourquoi Pas une Directive ?

Le choix du règlement plutôt que de la directive est délibéré. L'Union européenne a constaté que les directives précédentes sur la cybersécurité financière avaient été transposées de manière hétérogène selon les États membres, créant des distorsions de concurrence et des angles morts dans la supervision transfrontalière. DORA règlement garantit un level playing field européen.

Rôle Résiduel du Législateur National

Si DORA ne nécessite pas de transposition, le législateur national conserve certaines marges. L'article 50 du règlement laisse aux États membres la définition des sanctions administratives et pénales applicables. En France, cela a conduit à des adaptations dans le code monétaire et financier pour intégrer le régime de sanctions. Les États membres peuvent également maintenir des exigences nationales plus strictes dans les domaines non couverts par DORA.

NIS2 : Une Directive, Pas un Règlement

La confusion entre DORA et NIS2 est amplifiée par le fait que NIS2 (Network and Information Security Directive 2), qui couvre la cybersécurité dans un champ plus large, est bien une directive. Elle devait être transposée en droit national au plus tard le 17 octobre 2024. Cette dualité règlement/directive dans le paysage cyber européen est source de complexité pour les entités soumises aux deux textes.

Les Normes Techniques de Niveau 2

DORA délègue à l'EBA, l'EIOPA et l'ESMA l'élaboration de normes techniques réglementaires (RTS) et d'exécution (ITS). Ces normes de niveau 2, une fois adoptées par la Commission européenne, sont également des actes délégués directement applicables, renforçant l'harmonisation maximale voulue par le règlement DORA.

Conclusion

DORA est un règlement, pas une directive. Cette nature juridique fondamentale implique une application directe, uniforme et immédiate dans tous les États membres de l'UE depuis le 17 janvier 2025. Aucun texte national de transposition n'est requis, ce qui simplifie paradoxalement la veille réglementaire pour les groupes financiers transfrontaliers.

Questions fréquentes

Faut-il une loi française pour appliquer DORA ?

Non. Le règlement (EU) 2022/2554 étant un règlement européen et non une directive, il est d'application directe en France sans nécessiter de loi de transposition. Il s'applique depuis le 17 janvier 2025.

DORA et NIS2 sont-ils le même texte ?

Non. DORA (règlement EU 2022/2554) est spécifique au secteur financier tandis que NIS2 (directive EU 2022/2555) couvre un champ sectoriel plus large. Les entités financières sont soumises aux deux textes, mais DORA prévaut (lex specialis) en cas de conflit.