NIS2 vs. DORA : quelle différence et devez-vous vous conformer aux deux ?
Deux réglementations européennes. Toutes deux sur la cybersécurité. La réponse courte : DORA prime pour les entités financières, mais NIS2 reste pertinent pour vos fournisseurs ICT.
Qu'est-ce que NIS2 et DORA ?
NIS2 est une directive couvrant 18 secteurs avec 10 mesures de cybersécurité, notification d'incidents et responsabilité personnelle des dirigeants.
DORA est une réglementation sectorielle exclusivement pour le secteur financier.
NIS2 vs ISO 27001 — Comparaison des exigences
◈NIS2 uniquementNotification obligatoire des incidents aux autorités (24h / 72h)Responsabilité personnelle au niveau du conseil pour la cybersécuritéObligations de sécurité de la chaîne d'approvisionnement pour les entités essentiellesObligations réglementaires sectorielles spécifiques⬡Exigences communesGestion des risques liés à la sécurité de l'informationContrôle d'accès et gestion des identitésContinuité d'activité et reprise après sinistreSensibilisation et formation à la sécurité◇ISO 27001 uniquementCycles d'audit interne et de revue de directionDocumentation de la Déclaration d'Applicabilité (DdA)Certification formelle et audit par tierce partie◈NIS2 uniquementNotification obligatoire des incidents aux autorités (24h / 72h)Responsabilité personnelle au niveau du conseil pour la cybersécuritéObligations de sécurité de la chaîne d'approvisionnement pour les entités essentiellesObligations réglementaires sectorielles spécifiques⬡Exigences communesGestion des risques liés à la sécurité de l'informationContrôle d'accès et gestion des identitésContinuité d'activité et reprise après sinistreSensibilisation et formation à la sécurité◇ISO 27001 uniquementCycles d'audit interne et de revue de directionDocumentation de la Déclaration d'Applicabilité (DdA)Certification formelle et audit par tierce partieLa colonne centrale présente les exigences partagées par la NIS2 et l'ISO 27001
Principales différences
| NIS2 | DORA | |
|---|---|---|
| Type | Directive (transposition nationale) | Règlement (directement applicable) |
| Portée | 18 secteurs | Secteur financier uniquement |
| Applicable depuis | Délai de transposition : oct 2024 (statut par pays) | 17 janvier 2025 |
| Première notification | Dans les 24 heures | Dans les 4 heures |
| Tiers | Sécurité de la chaîne | Gestion complète des risques ICT tiers |
Lex specialis : DORA prime
L'article 4 de NIS2 précise que la législation sectorielle équivalente a priorité. DORA est reconnue comme telle pour le secteur financier.
La NIS2 s'applique-t-elle à votre organisation ?
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼Non▼2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗La NIS2 ne s'applique pas directement à votre organisation.
Oui▼Non▼✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →✗La NIS2 ne s'applique pas directement à votre organisation.
✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'appliquePossiblement applicableNe s'applique pas
Scénarios
Banque : DORA principalement, NIS2 en filet de sécurité. MSP pour banques : NIS2 pour vos obligations (NIS2 pour MSP), DORA via contrats clients. Secteur non financier : NIS2 uniquement — commencez par les 10 mesures de l'article 21.
À lire aussi
- Les 10 mesures NIS2 de l'article 21 expliquées
- NIS2 pour les MSP et MSSP
- Notification d'incidents NIS2