norppa.io
Guides

Guide NIS2 · 8 min

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

NIS2 et DORA sont les deux régimes de cybersécurité de l'UE les plus susceptibles d'atterrir sur le même bureau en 2026 — et on les confond couramment. Ils partagent un objectif (résilience opérationnelle et cyber) et de nombreux contrôles, mais visent des organisations différentes, et pour le secteur financier l'un prime sur l'autre. Ce guide explique la différence, le recouvrement et comment savoir lequel s'applique à vous — avec une réponse claire pour les équipes chaîne d'approvisionnement et tierces parties qui servent des clients relevant de l'un ou l'autre.

Ce qu'est chacun

Tous deux issus du même paquet résilience de l'UE de 2022, ce sont néanmoins des instruments différents visant des populations différentes.

NIS2 — large, transsectoriel

Une directive (transposée en droit national, échéance 17 oct. 2024) couvrant les entités essentielles et importantes dans l'énergie, les transports, la santé, l'eau, l'infrastructure numérique, l'administration publique, la fabrication et plus. Fixe des mesures de gestion des risques de base (art. 21) et la notification d'incidents (art. 23).

DORA — secteur financier, axé TIC

Un règlement (directement applicable, s'applique depuis le 17 janv. 2025) pour le secteur financier de l'UE — banques, assureurs, entreprises d'investissement, prestataires de crypto-actifs et plus — plus la surveillance de leurs prestataires TIC tiers critiques. Fixe des règles détaillées de gestion des risques TIC, de tests de résilience et de tierces parties.

Là où ils se recoupent

Si vous avez bien mis en œuvre l'un, beaucoup de l'autre vous semblera familier. Les deux exigent :

  • Responsabilité de la direction — les dirigeants doivent assumer et superviser le risque cyber/TIC et peuvent être tenus responsables.
  • Mesures de gestion des risques — des contrôles documentés et proportionnés sur tout le cycle de vie de la sécurité.
  • Notification d'incidents — une notification structurée aux autorités selon des délais définis.
  • Risque lié aux tiers et à la chaîne d'approvisionnement — vous êtes responsable du risque cyber introduit par vos prestataires.
  • Tests et amélioration continue — la résilience s'évalue dans la durée, elle ne se certifie pas une seule fois.

La règle clé : DORA est lex specialis pour les entités financières

Les deux régimes sont conçus pour ne pas doubler la réglementation. Pour les entités financières, DORA est lex specialis — la loi plus spécifique qui prime. Là où DORA et NIS2 couvriraient le même terrain de gestion des risques TIC ou de notification d'incidents pour une entité financière, ce sont les exigences de DORA qui s'appliquent et les dispositions NIS2 équivalentes ne s'ajoutent pas par-dessus.

En pratique, une banque ne mène pas deux programmes cyber parallèles. Elle suit DORA pour le risque TIC, les tests, la notification d'incidents et la surveillance des tiers. NIS2 reste pertinent pour l'écosystème environnant — dont nombre de ses fournisseurs — mais l'entité financière elle-même est régie par DORA sur les sujets qui se recoupent.

Le lex specialis s'applique lorsque l'acte sectoriel impose des exigences au moins équivalentes à NIS2. La frontière peut être nuancée pour les groupes mixtes ; confirmez votre statut auprès de votre autorité compétente.

Lequel s'applique à vous ?

Une aide à la décision rapide. La réponse honnête pour beaucoup d'organisations est « l'un directement, l'autre via vos clients ».

Une entité financière (banque, assureur, entreprise d'investissement, prestataire de crypto-actifs…)

DORA s'applique comme lex specialis à votre risque TIC ; les dispositions NIS2 équivalentes ne s'ajoutent pas.

Une entité d'un secteur critique hors finance (énergie, santé, transport, eau, infrastructure numérique, administration publique…)

NIS2 s'applique. Vérifiez les secteurs des annexes I/II et les seuils de taille pour confirmer votre catégorie.

Un prestataire TIC d'entités financières

Vous relevez du régime tiers de DORA via les contrats de vos clients ; les plus grands prestataires peuvent être désignés critiques et surveillés directement par les AES. Si vous êtes aussi un prestataire TIC/de services gérés de l'annexe I, vous pouvez aussi relever de NIS2.

Un fournisseur d'une entité NIS2

L'obligation chaîne d'approvisionnement de NIS2 (art. 21, § 2, point d) vous atteint via la diligence de vos clients — questionnaires, demandes de preuves et surveillance continue — même sans désignation directe.

Le mot de la fin pour les équipes chaîne d'approvisionnement

Que votre client relève de DORA ou de NIS2, la demande qui pèse sur vous converge : les deux régimes rendent les organisations responsables du risque cyber de leurs prestataires, et tous deux traitent la résilience comme une chose évaluée en continu plutôt qu'attestée une fois par an. Pour un fournisseur, la question est donc rarement « NIS2 ou DORA ? » — c'est « puis-je démontrer, à la demande, que ma sécurité tient ? ».

C'est pourquoi l'assurance tierce devient continue des deux côtés de la ligne. Le registre des tiers DORA d'une banque et le programme fournisseurs NIS2 d'un industriel demandent la même chose aux fournisseurs : une preuve à jour, étayée par des éléments, du niveau de sécurité — pas un tableur périmé.

Sources : Règlement (UE) 2022/2554 (DORA) et directive (UE) 2022/2555 (NIS2). Confirmez la frontière de recouvrement auprès de votre autorité nationale compétente et des orientations des AES.

Comment norppa.io aide

norppa.io vous offre une assurance continue et étayée sur vos fournisseurs et prestataires TIC — ce que NIS2 comme DORA attendent désormais. Chaque domaine surveillé est vérifié sur plus de 100 points de contrôle quotidiennement, les événements critiques toutes les six heures, avec des constatations exportables vers votre registre d'information DORA ou votre dossier fournisseur NIS2.

Les questionnaires d'auto-évaluation (SAQ) capturent les contrôles de processus et contractuels, et chaque réponse est recoupée avec le profil technique en temps réel — ainsi, que l'auditeur de votre client cite DORA ou NIS2, vous présentez des preuves actuelles et corroborées plutôt que des affirmations.

Une source unique de preuves tierces continues

Consultez un exemple de rapport fournisseur — constatations, cartographie d'articles et preuves — en deux minutes.

Voir l'exemple de rapport

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.