DORA ou NIS2 ? Les deux. C'est la réponse courte, et elle ne plaît à personne. Le règlement DORA (EU 2022/2554) et la directive NIS2 (EU 2022/2555) — adoptés le même jour, le 14 décembre 2022 — créent un double cadre de cybersécurité que les entités financières doivent naviguer avec précision.
La confusion est compréhensible. Les deux textes traitent de résilience numérique, de gestion des risques, de notification d'incidents et de supervision. Mais leurs logiques, périmètres et mécanismes diffèrent sensiblement. Décortiquons.
Nature juridique : règlement vs directive
Première différence fondamentale, et pas des moindres.
| Critère | DORA | NIS2 |
|---|---|---|
| Nature | Règlement (EU 2022/2554) | Directive (EU 2022/2555) |
| Application | Directe dans tous les États membres | Transposition nationale requise |
| Date d'application | 17 janvier 2025 | 18 octobre 2024 (transposition) |
| Uniformité | Identique dans toute l'UE | Variations nationales possibles |
| Secteur | Financier exclusivement | Transversal (18+ secteurs) |
DORA s'applique directement, sans marge d'interprétation nationale. NIS2 doit être transposée — et chaque pays peut ajouter des exigences ou adapter le cadre. En France, la transposition de NIS2 a pris du retard par rapport au calendrier initial d'octobre 2024, créant une situation où DORA est applicable mais NIS2 n'est pas encore pleinement transposée. Une situation inconfortable pour les entités concernées par les deux textes.
Périmètre : qui est concerné par quoi ?
DORA — 21 catégories d'entités financières
Banques, assureurs, sociétés de gestion, entreprises d'investissement, établissements de paiement, prestataires de services sur crypto-actifs, agences de notation, contreparties centrales, dépositaires centraux... Le périmètre est exhaustif et limité au secteur financier. Plus les prestataires ICT tiers critiques sous supervision directe.
NIS2 — entités essentielles et importantes dans 18+ secteurs
Énergie, transport, santé, eau, infrastructure numérique, administration publique, espace, alimentation, fabrication, gestion des déchets, services postaux, recherche... Et oui, la banque et les infrastructures de marchés financiers figurent aussi dans l'annexe I de NIS2 comme secteurs "essentiels".
D'où le chevauchement. Une banque est à la fois une entité financière au sens de DORA et potentiellement une entité essentielle au sens de NIS2.
Le principe de lex specialis — DORA prime pour la finance
L'article 1(2) de DORA est explicite : pour les entités financières, DORA constitue la lex specialis par rapport à NIS2. En cas de conflit entre les deux textes, DORA prévaut.
Le considérant 16 de NIS2 confirme cette articulation. Quand un acte sectoriel de l'Union impose des exigences au moins équivalentes en matière de gestion des risques et de notification d'incidents, les dispositions sectorielles s'appliquent en priorité.
Concrètement, ça signifie qu'une banque qui est pleinement conforme à DORA n'a pas besoin de dupliquer ses efforts pour NIS2 sur les aspects couverts par DORA. Mais — et c'est le point clé — NIS2 peut contenir des exigences qui vont au-delà de DORA dans certains domaines, auxquelles l'entité devra se conformer en complément.
Comparaison des obligations : où ça se recoupe, où ça diverge
| Domaine | DORA | NIS2 | Chevauchement |
|---|---|---|---|
| Gestion des risques | Cadre ICT détaillé (art. 5-16) | Mesures de gestion des risques (art. 21) | Fort — DORA plus détaillé |
| Notification incidents | 4h + 72h + 1 mois (art. 17-23) | 24h alerte précoce + 72h notification (art. 23) | Fort — délais comparables |
| Tests de résilience | Annuels + TLPT triennaux (art. 24-27) | Non spécifié en détail | Faible — DORA beaucoup plus exigeant |
| Gestion tiers ICT | Registre + clauses + supervision (art. 28-44) | Sécurité supply chain (art. 21(2)(d)) | Moyen — DORA beaucoup plus détaillé |
| Gouvernance | Responsabilité du board (art. 5) | Responsabilité organes de direction (art. 20) | Fort — même philosophie |
| Sanctions | Définies par États membres | Min 10M€ ou 2% CA mondial (entités essentielles) | NIS2 plus prescriptif |
| Supervision | Autorités financières nationales + AES | Autorités NIS nationales + ENISA | Faible — autorités distinctes |
Les zones de complémentarité — ce que NIS2 apporte en plus
Sécurité de la chaîne d'approvisionnement au sens large
NIS2 traite de la supply chain au-delà des prestataires ICT. Si votre banque dépend d'un fournisseur d'énergie pour alimenter ses datacenters, NIS2 couvre ce risque de manière plus explicite que DORA qui se concentre sur les tiers ICT.
Sanctions harmonisées minimales
NIS2 impose des planchers de sanctions : jusqu'à 10 millions d'euros ou 2% du CA mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. DORA laisse la fixation des sanctions aux États membres, ce qui peut aboutir à des montants différents selon les juridictions.
Formation obligatoire de la direction
L'article 20(2) de NIS2 impose que les membres des organes de direction suivent une formation en cybersécurité. DORA mentionne la responsabilité du board mais n'impose pas de formation formelle. Un point que les entités financières devraient intégrer proactivement.
Stratégie de double conformité — approche pragmatique
Pour les entités financières soumises aux deux textes, la stratégie optimale consiste à construire la conformité sur DORA (le cadre le plus exigeant) puis à identifier et combler les écarts résiduels avec NIS2.
Étape 1 — Conformité DORA comme socle
Implémentez le cadre DORA complet : gestion des risques ICT, reporting incidents, tests de résilience, registre tiers, gouvernance. C'est votre fondation.
Étape 2 — Gap analysis NIS2
Identifiez les exigences NIS2 qui vont au-delà de DORA. Les principaux écarts potentiels : formation du board, sécurité de la supply chain non-ICT, exigences de chiffrement et de MFA (plus explicites dans NIS2), politique de divulgation coordonnée des vulnérabilités.
Étape 3 — Coordination des notifications
Les délais de notification sont proches mais pas identiques. DORA impose 4 heures pour la classification initiale, NIS2 demande 24 heures pour l'alerte précoce. L'approche la plus sûre : calquer tout sur le délai le plus court (DORA) et notifier aux deux autorités compétentes. Pour les détails du processus DORA, voir notre article sur le reporting des incidents ICT.
Le cas particulier des infrastructures de marché
Les opérateurs d'infrastructures de marché — bourses, chambres de compensation, dépositaires centraux — sont particulièrement exposés à la double réglementation. NIS2 les classe comme entités essentielles du secteur "infrastructure des marchés financiers" (annexe I). DORA les inclut comme entités financières à part entière.
Pour ces acteurs, le principe de lex specialis est clair mais la coordination pratique entre l'autorité financière (AMF en France) et l'autorité NIS (ANSSI en France) reste à roder. Les premiers retours d'expérience montrent que les régulateurs financiers et les autorités NIS communiquent de mieux en mieux, mais des zones grises subsistent.
FAQ — DORA vs NIS2
Une fintech qui n'est pas "entité essentielle" au sens NIS2 doit-elle se conformer à NIS2 ?
Pas nécessairement. NIS2 s'applique sur la base de critères de taille et de criticité. Une petite fintech qui n'atteint pas les seuils NIS2 reste soumise à DORA uniquement. Consultez notre article sur DORA pour les fintech pour les détails.
Les prestataires ICT critiques sous DORA sont-ils aussi soumis à NIS2 ?
Potentiellement oui, s'ils relèvent d'un secteur couvert par NIS2 (infrastructure numérique, services cloud, etc.). La supervision DORA par les AES ne les exempte pas des obligations NIS2 le cas échéant.
En cas d'incident, faut-il notifier deux fois ?
En théorie, oui — aux autorités compétentes respectives. En pratique, les États membres sont encouragés à mettre en place des guichets uniques de notification. La France travaille à une articulation entre l'ACPR/AMF et l'ANSSI, mais le mécanisme n'est pas encore totalement fluide.
DORA et NIS2 ne sont pas en compétition — ils se complètent. L'un est un scalpel chirurgical pour la finance, l'autre un filet large pour l'ensemble des secteurs critiques. Les entités financières qui comprennent cette articulation gagnent en efficacité et évitent les doublons. Les autres subissent la double charge sans en tirer la valeur.