{"id":1257,"date":"2026-03-25T17:01:17","date_gmt":"2026-03-25T16:01:17","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-vs-dora-overlap-analysis-for-dual-regulated-entities-2\/"},"modified":"2026-03-26T00:11:33","modified_gmt":"2026-03-25T23:11:33","slug":"nis2-vs-dora-overlap-analysis-for-dual-regulated-entities","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/cross-regulation-comparisons\/nis2-vs-dora-overlap-analysis-for-dual-regulated-entities\/","title":{"rendered":"NIS2 vs DORA \u2014 Analyse des chevauchements pour les entit\u00e9s \u00e0 double r\u00e9glementation"},"content":{"rendered":"

Contexte : Le d\u00e9fi de la double r\u00e9glementation<\/h2>\n

Depuis janvier 2025, de nombreuses entit\u00e9s du secteur financier \u00e0 travers l’Union europ\u00e9enne se trouvent soumises simultan\u00e9ment \u00e0 deux textes majeurs de l\u00e9gislation en cybers\u00e9curit\u00e9 : la directive NIS2<\/strong> (Directive 2022\/2555) et le Digital Operational Resilience Act<\/strong> (R\u00e8glement 2022\/2554, connu sous le nom de DORA). Ce sc\u00e9nario de double r\u00e9glementation soul\u00e8ve des questions l\u00e9gitimes sur les exigences qui se chevauchent, les conflits potentiels et la mani\u00e8re de construire un programme de conformit\u00e9 qui satisfait les deux cadres de mani\u00e8re efficiente.<\/p>\n

Cette analyse est r\u00e9dig\u00e9e pour les responsables conformit\u00e9, les auditeurs et les gestionnaires de risques qui doivent comprendre o\u00f9 ces cadres convergent, o\u00f9 ils divergent et comment \u00e9viter \u00e0 la fois la duplication des efforts et les lacunes de conformit\u00e9.<\/p>\n

Le principe Lex Specialis : Article 4 de NIS2<\/h2>\n

L’article 4 de la directive NIS2 \u00e9tablit un principe juridique essentiel : lorsqu’un acte juridique sectoriel de l’Union<\/strong> exige que les entit\u00e9s essentielles ou importantes adoptent des mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 ou notifient des incidents significatifs, et lorsque ces exigences sont au moins \u00e9quivalentes en effet<\/strong> aux obligations de NIS2, alors l’acte sectoriel pr\u00e9vaut.<\/p>\n

DORA est explicitement reconnu comme un tel acte sectoriel pour le secteur financier. En termes pratiques, cela signifie :<\/p>\n

    \n
  • Pour les domaines o\u00f9 DORA fournit des exigences \u00e9quivalentes ou plus strictes, DORA pr\u00e9vaut pour les entit\u00e9s financi\u00e8res.<\/li>\n
  • Pour les domaines o\u00f9 NIS2 couvre des sujets non trait\u00e9s par DORA, les obligations NIS2 s’appliquent toujours.<\/li>\n
  • Le principe lex specialis ne cr\u00e9e pas une exemption globale de NIS2 \u2014 il cr\u00e9e une hi\u00e9rarchie qui doit \u00eatre \u00e9valu\u00e9e exigence par exigence.<\/li>\n<\/ul>\n

    Cette nuance est fr\u00e9quemment mal comprise. Les responsables conformit\u00e9 doivent effectuer une cartographie exigence par exigence<\/strong>, et non supposer que la conformit\u00e9 DORA satisfait automatiquement toutes les obligations NIS2.<\/p>\n

    Comparaison compl\u00e8te : Exigences NIS2 vs DORA<\/h2>\n

    Le tableau suivant fournit une cartographie d\u00e9taill\u00e9e des principaux domaines d’exigences \u00e0 travers les deux cadres, identifiant les chevauchements, les lacunes et quel cadre pr\u00e9vaut pour les entit\u00e9s financi\u00e8res.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    Domaine d’exigence<\/th>\nExigence NIS2<\/th>\n\u00c9quivalent DORA<\/th>\nAnalyse chevauchement \/ lacune<\/th>\n<\/tr>\n<\/thead>\n
    Gestion des risques<\/strong><\/td>\nArt. 21(1) : Mesures techniques, op\u00e9rationnelles et organisationnelles appropri\u00e9es et proportionn\u00e9es bas\u00e9es sur une approche tous risques<\/td>\nArt. 6-16 : Cadre d\u00e9taill\u00e9 de gestion des risques ICT avec exigences sp\u00e9cifiques pour l’identification, la protection, la d\u00e9tection, la r\u00e9ponse, la r\u00e9cup\u00e9ration et l’apprentissage<\/td>\nDORA pr\u00e9vaut.<\/strong> DORA est significativement plus prescriptif sur la gestion des risques ICT. Les entit\u00e9s financi\u00e8res devraient utiliser le cadre DORA comme base principale de conformit\u00e9.<\/td>\n<\/tr>\n
    Signalement d’incidents<\/strong><\/td>\nArt. 23 : Alerte pr\u00e9coce dans les 24 heures, notification d’incident dans les 72 heures, rapport final dans un mois<\/td>\nArt. 19 : Notification initiale, rapports interm\u00e9diaires et rapport final \u00e0 l’autorit\u00e9 comp\u00e9tente. Crit\u00e8res de classification sp\u00e9cifiques pour les incidents majeurs li\u00e9s aux ICT.<\/td>\nDORA pr\u00e9vaut pour les incidents ICT.<\/strong> Les d\u00e9lais de signalement et crit\u00e8res de classification diff\u00e8rent. NIS2 peut encore s’appliquer pour les incidents de s\u00e9curit\u00e9 non-ICT affectant les r\u00e9seaux et syst\u00e8mes d’information.<\/td>\n<\/tr>\n
    S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/strong><\/td>\nArt. 21(2)(d) : S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement incluant les aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 des relations entre les entit\u00e9s et leurs fournisseurs ou prestataires directs<\/td>\nArt. 28-44 : Cadre \u00e9tendu de gestion des risques li\u00e9s aux tiers ICT, incluant les exigences contractuelles, la surveillance des prestataires ICT tiers critiques et le risque de concentration<\/td>\nDORA va significativement plus loin.<\/strong> DORA cr\u00e9e un cadre de surveillance pour les prestataires ICT tiers critiques qui n’a pas d’\u00e9quivalent dans NIS2. Les entit\u00e9s financi\u00e8res b\u00e9n\u00e9ficient des exigences plus d\u00e9taill\u00e9es de DORA en mati\u00e8re de cha\u00eene d’approvisionnement.<\/td>\n<\/tr>\n
    Tests<\/strong><\/td>\nArt. 21(2)(f) : Politiques et proc\u00e9dures pour \u00e9valuer l’efficacit\u00e9 des mesures de gestion des risques de cybers\u00e9curit\u00e9<\/td>\nArt. 24-27 : Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique incluant les tests de p\u00e9n\u00e9tration bas\u00e9s sur les menaces (TLPT) pour les entit\u00e9s significatives, tests proportionn\u00e9s pour les autres<\/td>\nDORA va plus loin.<\/strong> DORA impose des m\u00e9thodologies de test sp\u00e9cifiques incluant le TLPT (bas\u00e9 sur le cadre TIBER-EU). NIS2 est moins prescriptif sur les approches de test.<\/td>\n<\/tr>\n
    Gouvernance<\/strong><\/td>\nArt. 20 : Les organes de direction doivent approuver les mesures de gestion des risques de cybers\u00e9curit\u00e9, superviser leur mise en \u0153uvre et peuvent \u00eatre tenus responsables. Les membres doivent suivre une formation.<\/td>\nArt. 5 : L’organe de direction a la responsabilit\u00e9 ultime de la gestion des risques ICT. Il doit d\u00e9finir, approuver et superviser la mise en \u0153uvre du cadre de gestion des risques ICT et de la strat\u00e9gie de r\u00e9silience op\u00e9rationnelle num\u00e9rique.<\/td>\nChevauchement substantiel.<\/strong> Les deux exigent la responsabilit\u00e9 de l’organe de direction. DORA est plus sp\u00e9cifique sur le cadre de gestion des risques ICT que l’organe de direction doit approuver. La conformit\u00e9 \u00e0 l’article 5 de DORA devrait satisfaire substantiellement l’article 20 de NIS2 pour les questions ICT.<\/td>\n<\/tr>\n
    Partage d’informations<\/strong><\/td>\nArt. 29 : Arrangements volontaires de partage de renseignements sur les cybermenaces entre entit\u00e9s essentielles et importantes<\/td>\nArt. 45 : \u00c9change volontaire d’informations et de renseignements sur les cybermenaces entre entit\u00e9s financi\u00e8res, incluant les indicateurs de compromission, les tactiques et les alertes<\/td>\nDispositions parall\u00e8les.<\/strong> Les deux encouragent le partage volontaire d’informations. DORA est sectoriel. Les entit\u00e9s financi\u00e8res peuvent participer \u00e0 la fois aux arrangements g\u00e9n\u00e9raux (NIS2) et sectoriels financiers (DORA).<\/td>\n<\/tr>\n
    Continuit\u00e9 d’activit\u00e9<\/strong><\/td>\nArt. 21(2)(c) : Continuit\u00e9 d’activit\u00e9, incluant la gestion des sauvegardes, la reprise apr\u00e8s sinistre et la gestion de crise<\/td>\nArt. 11-12 : Politique de continuit\u00e9 d’activit\u00e9 ICT, plans de r\u00e9ponse et de r\u00e9cup\u00e9ration ICT, politiques de sauvegarde, proc\u00e9dures de restauration et de r\u00e9cup\u00e9ration<\/td>\nDORA pr\u00e9vaut.<\/strong> DORA fournit des exigences plus d\u00e9taill\u00e9es pour la continuit\u00e9 et la r\u00e9cup\u00e9ration ICT. Les exigences NIS2 pour la continuit\u00e9 d’activit\u00e9 plus large (non-ICT) peuvent encore s’appliquer.<\/td>\n<\/tr>\n
    Gestion des vuln\u00e9rabilit\u00e9s<\/strong><\/td>\nArt. 21(2)(e) : Gestion et divulgation des vuln\u00e9rabilit\u00e9s<\/td>\nArt. 7-8 (dans la gestion des risques) : Identification et \u00e9valuation des vuln\u00e9rabilit\u00e9s ICT dans le cadre de la protection et de la pr\u00e9vention<\/td>\nNIS2 est plus large.<\/strong> NIS2 traite explicitement la divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s. DORA traite la gestion des vuln\u00e9rabilit\u00e9s dans le cadre de gestion des risques ICT mais ne traite pas les processus de divulgation publique aussi directement.<\/td>\n<\/tr>\n
    Cryptographie et chiffrement<\/strong><\/td>\nArt. 21(2)(h) : Politiques et proc\u00e9dures relatives \u00e0 l’utilisation de la cryptographie et, le cas \u00e9ch\u00e9ant, du chiffrement<\/td>\nArt. 9(4)(d) : Mesures de s\u00e9curit\u00e9 des donn\u00e9es incluant les techniques cryptographiques dans le cadre de la gestion des risques ICT<\/td>\nPort\u00e9e comparable.<\/strong> Les deux exigent des contr\u00f4les cryptographiques appropri\u00e9s. DORA int\u00e8gre cela dans le cadre plus large de gestion des risques ICT. NIS2 en fait un domaine d’exigence distinct.<\/td>\n<\/tr>\n
    Contr\u00f4le d’acc\u00e8s et authentification<\/strong><\/td>\nArt. 21(2)(i-j) : Politiques de contr\u00f4le d’acc\u00e8s ; utilisation de l’authentification multifacteur ou de solutions d’authentification continue<\/td>\nArt. 9(4)(c) : Politiques de contr\u00f4le d’acc\u00e8s incluant des m\u00e9canismes d’authentification forte<\/td>\nPort\u00e9e comparable.<\/strong> Les deux exigent des contr\u00f4les d’acc\u00e8s robustes et une authentification forte. DORA est moins sp\u00e9cifique sur le MFA mais exige une authentification forte dans le cadre bas\u00e9 sur les risques.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    O\u00f9 NIS2 va au-del\u00e0 de DORA<\/h2>\n

    Les responsables conformit\u00e9 doivent porter une attention particuli\u00e8re aux domaines o\u00f9 les obligations NIS2 peuvent ne pas \u00eatre enti\u00e8rement couvertes par la conformit\u00e9 DORA :<\/p>\n