NIS2 vs DORA : qui doit se conformer a quoi ?
NIS2 et DORA visent tous deux la cybersécurité mais avec des périmètres differents. Le secteur financier est soumis aux deux. Voici comment les articuler sans dupliquer les efforts.
- NIS2 = directive, transposition nationale requise. DORA = reglement, directement applicable
- DORA est le texte spécifique (lex specialis) pour le secteur financier
- Les entités financières appliquent DORA en priorite, NIS2 en complement
- La loi Résilience transpose les deux simultanement
Tableau comparatif
| Critère | NIS2 | DORA |
|---|---|---|
| Type de texte | Directive (transposition) | Reglement (application directe) |
| Référence | UE 2022/2555 | UE 2022/2554 |
| Périmètre | 18 secteurs critiques | Secteur financier uniquement |
| Entités visees | Entités essentielles et importantes | Banques, assurances, marches financiers, fintech |
| Application | En cours de transposition | Applicable depuis janvier 2025 |
| Autorite France | ANSSI | ACPR, AMF |
| Tests de résilience | Non requis | Tests de penetration avances (TLPT) |
| Prestataires TIC | Entités importantes (MSP/MSSP) | Supervision directe des prestataires critiques |
Pour les banques : DORA prime
L'article 4 de NIS2 prévoit le principe de lex specialis : quand un texte sectoriel impose des exigences au moins equivalentes, il s'applique en priorite. DORA etant plus spécifique et plus exigeant pour le secteur financier, les banques et assurances appliquent DORA en premier lieu. NIS2 s'applique en complement pour les aspects non couverts par DORA.
Les prestataires TIC : double périmètre
Les fournisseurs de services TIC (MSP, MSSP, cloud) peuvent être soumis aux deux : NIS2 en tant qu'entités du secteur "gestion des services TIC" (Annexe I), et DORA en tant que prestataires tiers critiques du secteur financier. La supervision DORA par les autorites financières s'ajoute a celle de l'ANSSI au titre de NIS2.
Strategie de conformité unifiee
Pour les entités soumises aux deux textes, l'approche recommandee est de batir un socle commun base sur le ReCyF et ISO 27001, puis d'ajouter les exigences spécifiques DORA (tests TLPT, gestion des prestataires TIC critiques, reporting spécifique aux autorites financières). Voir le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, article 4
- Reglement (UE) 2022/2554 (DORA)
- ANSSI/ACPR, guides d'articulation