DORA vs NIS 2 : comprendre les différences
Les entités financières opérant dans l'UE peuvent potentiellement être soumises à la fois à DORA et à NIS 2. Comprendre comment ces réglementations interagissent est essentiel pour une planification efficace de la conformité.
Le principe clé est que DORA est lex specialis (la loi plus spécifique) pour le secteur financier. Là où DORA et NIS 2 se chevauchent, les exigences DORA s'appliquent aux entités financières.
Points clés
| Point | Résumé |
|---|---|
| Lex specialis | DORA prévaut sur NIS 2 pour les entités financières |
| Focus sectoriel | DORA est spécifique au secteur financier ; NIS 2 couvre 18 secteurs critiques |
| Structure similaire | Les deux traitent de la gestion des risques, du signalement des incidents et de la sécurité de la chaîne d'approvisionnement |
| Délais de signalement | Les deux utilisent des délais similaires mais auprès d'autorités différentes |
| Exigences de tests | DORA a des exigences de tests plus prescriptives, incluant le TLPT obligatoire |
Réponse rapide : DORA et NIS 2 sont toutes deux des réglementations européennes en matière de cybersécurité, mais DORA cible spécifiquement le secteur financier tandis que NIS 2 couvre 18 secteurs critiques. Pour les entités financières, DORA est considéré comme la réglementation plus spécifique (lex specialis), ce qui signifie que les exigences DORA s'appliquent là où les deux se chevauchent. Les deux réglementations partagent des thèmes similaires mais DORA a des exigences plus prescriptives adaptées aux services financiers.
Comparaison d'ensemble
| Aspect | DORA | NIS 2 |
|---|---|---|
| Nom complet | Digital Operational Resilience Act | Directive sur la sécurité des réseaux et de l'information 2 |
| Instrument juridique | Règlement (directement applicable) | Directive (nécessite transposition nationale) |
| Périmètre sectoriel | Services financiers (20 types d'entités) | 18 secteurs critiques |
| Date d'application | 17 janvier 2025 | 17 octobre 2024 (date limite de transposition) |
| Focus principal | Résilience opérationnelle numérique | Cybersécurité |
| Autorité de signalement | Superviseurs financiers | Autorités nationales de cybersécurité |
Périmètre et applicabilité
Périmètre DORA
DORA s'applique à 20 catégories d'entités financières, incluant :
- Établissements de crédit
- Établissements de paiement
- Entreprises d'investissement
- Entreprises d'assurance
- Prestataires de services sur crypto-actifs
- Contreparties centrales
- Plateformes de négociation
Périmètre NIS 2
NIS 2 s'applique aux entités dans 18 secteurs classés comme essentiels ou importants :
| Secteurs essentiels | Secteurs importants |
|---|---|
| Énergie | Services postaux |
| Transport | Gestion des déchets |
| Banque | Chimie |
| Infrastructure des marchés financiers | Alimentation |
| Santé | Industrie manufacturière |
| Eau potable | Fournisseurs numériques |
| Eaux usées | Recherche |
| Infrastructure numérique | |
| Gestion des services TIC | |
| Administration publique | |
| Espace |
Chevauchement
Le chevauchement se produit dans :
- Banque (secteur essentiel NIS 2, périmètre DORA)
- Infrastructure des marchés financiers (secteur essentiel NIS 2, périmètre DORA)
- Gestion des services TIC (secteur essentiel NIS 2, potentiellement périmètre CTPP DORA)
Le principe Lex Specialis
Comment ça fonctionne
L'article 4 de NIS 2 établit que lorsqu'une législation européenne sectorielle :
- Exige des entités essentielles ou importantes qu'elles adoptent des mesures de gestion des risques de cybersécurité, ou
- Exige la notification d'incidents significatifs, et
- Les exigences sont au moins équivalentes aux obligations NIS 2
Alors la législation sectorielle s'applique à la place de NIS 2.
DORA comme Lex Specialis
Pour les entités financières, DORA est reconnu comme la réglementation plus spécifique :
- Les exigences DORA en matière de gestion des risques TIC sont au moins équivalentes aux exigences de cybersécurité NIS 2
- Les obligations de signalement des incidents DORA sont au moins équivalentes aux exigences de notification NIS 2
- Par conséquent, DORA s'applique à la place de NIS 2 pour les entités financières couvertes
Implications pratiques
Les entités financières :
- Doivent concentrer leurs efforts de conformité sur DORA, pas sur NIS 2
- Signalent les incidents aux superviseurs financiers sous DORA, pas aux autorités nationales de cybersécurité sous NIS 2
- Suivent les exigences de tests DORA, pas les évaluations de sécurité NIS 2
Comparaison des exigences
Gestion des risques
| Aspect | DORA | NIS 2 |
|---|---|---|
| Cadre | Cadre complet de gestion des risques TIC requis | Mesures appropriées de gestion des risques de cybersécurité |
| Gouvernance | Responsabilité explicite de l'organe de direction | Approbation et supervision de l'organe de direction |
| Documentation | Exigences de documentation détaillées | Politiques et procédures basées sur les risques |
| Continuité d'activité | Exigences spécifiques de continuité TIC | Continuité d'activité incluse dans les mesures |
Les deux réglementations exigent des approches basées sur les risques, mais DORA fournit des exigences plus détaillées spécifiques aux services financiers.
Signalement des incidents
| Aspect | DORA | NIS 2 |
|---|---|---|
| Délais | 4 heures (classification) / 24 heures / 72 heures / 1 mois | 24 heures / 72 heures / 1 mois |
| Autorité | Superviseurs financiers | Autorités nationales de cybersécurité |
| Contenu | Signalement détaillé en plusieurs étapes | Notification d'incident significatif |
| Notification aux clients | Requise lorsque les intérêts financiers sont affectés | Peut être requise pour informer les destinataires |
Les délais sont similaires, reflétant l'alignement pendant le processus législatif.
Chaîne d'approvisionnement / Risques tiers
| Aspect | DORA | NIS 2 |
|---|---|---|
| Focus | Prestataires de services TIC tiers | Sécurité de la chaîne d'approvisionnement en général |
| Registre | Registre d'informations requis | Pas spécifiquement requis |
| Contractuel | Dispositions contractuelles obligatoires détaillées | Mesures générales de sécurité de la chaîne d'approvisionnement |
| Surveillance | Cadre de surveillance CTPP | Pas de processus de désignation équivalent |
DORA a des exigences plus prescriptives pour les tiers, incluant le cadre de surveillance CTPP unique.
Tests
| Aspect | DORA | NIS 2 |
|---|---|---|
| Tests de base | Requis pour toutes les entités | Obligation générale d'évaluer les mesures |
| Tests avancés | TLPT obligatoire pour les entités désignées | Pas d'exigence de tests avancés spécifique |
| Fréquence | Programme annuel, TLPT tous les 3 ans | Tests proportionnés |
| Inclusion des tiers | Requise dans les tests | Non spécifié |
Les exigences de tests de DORA, en particulier le TLPT, sont plus prescriptives que NIS 2.
Sanctions
| Aspect | DORA | NIS 2 |
|---|---|---|
| Maximum (entités) | 2% du CA | 2% (essentielles) / 1,4% (importantes) |
| Maximum (individus) | 1 million d'euros | Varie selon l'État membre |
| CTPP | Jusqu'à 5 millions d'euros | N/A |
Les structures de sanctions sont comparables, les deux utilisant des maximums basés sur le chiffre d'affaires.
Prestataires de services TIC
Sous DORA
Les prestataires de services TIC tiers servant des entités financières :
- Font face à des exigences contractuelles de la part des clients
- Peuvent être désignés comme CTPP pour une surveillance directe
- Doivent participer aux programmes de tests des clients
Sous NIS 2
Les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés :
- Relèvent directement du périmètre NIS 2 en tant qu'entités importantes
- Doivent mettre en œuvre les mesures de cybersécurité NIS 2
- Doivent signaler les incidents significatifs
Double application
Un prestataire de services TIC peut faire face à :
- Les exigences NIS 2 directement (en tant que fournisseur de services gérés)
- Les exigences contractuelles DORA indirectement (de la part des clients du secteur financier)
- La surveillance CTPP (si désigné)
Cela crée des obligations de conformité en couches pour les grands prestataires technologiques.
Quand NIS 2 pourrait encore s'appliquer
Bien que DORA soit lex specialis, NIS 2 peut encore être pertinent dans les cas suivants :
Considérations au niveau du groupe
Les groupes financiers avec des filiales non financières peuvent constater que ces filiales sont soumises à NIS 2 si elles :
- Fournissent des services TIC à l'entité financière
- Opèrent dans d'autres secteurs NIS 2
- Atteignent les seuils de taille NIS 2
Prestataires technologiques
Les prestataires TIC non financiers peuvent être directement soumis à NIS 2 tout en faisant face à des exigences contractuelles découlant de DORA de la part de leurs clients financiers.
Coordination réglementaire
NIS 2 établit des mécanismes de coordination qui peuvent impliquer les superviseurs financiers :
- Réseau de liaison des organisations nationales de gestion des crises cyber (CyCLONe)
- Cadre européen de gestion des crises cyber
- Partage d'incidents inter-sectoriel
Synergies de conformité
Les organisations soumises aux deux réglementations (ou soutenant des clients sous les deux) peuvent exploiter des synergies :
| Domaine | Synergie |
|---|---|
| Gestion des risques | Méthodologies communes d'évaluation des risques |
| Politiques | Cadres de politiques partagés avec personnalisation sectorielle |
| Réponse aux incidents | Capacités communes de détection et de réponse |
| Chaîne d'approvisionnement | Approches unifiées d'évaluation des fournisseurs |
| Tests | Programmes de tests complets répondant aux deux exigences |
Questions fréquentes
Je suis une banque. Dois-je me conformer à NIS 2 ?
Non. En tant qu'établissement de crédit, vous relevez du périmètre DORA. DORA est lex specialis, ce qui signifie que les exigences DORA s'appliquent à la place de NIS 2.
Nous sommes un prestataire TIC servant des banques. Laquelle s'applique ?
Potentiellement les deux. NIS 2 peut s'appliquer directement à vous en tant que fournisseur de services gérés. DORA s'applique indirectement via les exigences contractuelles de vos clients du secteur financier. Si vous êtes désigné comme CTPP, vous faites également face à une surveillance directe DORA.
Devons-nous signaler les incidents aux deux autorités ?
Les entités financières signalent sous DORA aux superviseurs financiers. Le signalement NIS 2 n'est pas requis car DORA est lex specialis. Cependant, la coordination entre autorités signifie que les informations peuvent être partagées.
Devrions-nous viser ISO 27001 pour les deux ?
ISO 27001 fournit une base solide pour la conformité DORA et NIS 2. Les deux réglementations font référence favorablement aux normes internationales. La certification peut démontrer un niveau de sécurité de base à plusieurs parties prenantes.
Comment Bastion peut vous aider
Bastion accompagne les organisations qui naviguent entre DORA et NIS 2 :
- Évaluation de l'applicabilité : Déterminer quelles réglementations s'appliquent à votre organisation
- Analyse des écarts : Évaluer l'état actuel par rapport aux exigences applicables
- Mise en œuvre efficace : Exploiter les synergies entre les cadres
- Certification ISO 27001 : Construire une fondation supportant plusieurs objectifs de conformité
- Conformité continue : Maintenir l'alignement avec les exigences évolutives
Prêt à clarifier vos obligations de conformité ? Parlez à notre équipe
Sources
- Règlement DORA - Texte complet du Digital Operational Resilience Act
- Directive NIS 2 - Texte complet de la directive sur la sécurité des réseaux et de l'information 2
- Article 4 de NIS 2 - Disposition sur les actes juridiques sectoriels