DORA vs NIS2 : quelles différences ?

DORA et NIS2 sont deux textes européens de cybersécurité adoptés à quelques jours d'intervalle, fin 2022. On les confond souvent, mais ils n'ont ni la même nature juridique, ni le même périmètre. Comprendre ce qui les sépare évite à une entité financière de se tromper de référentiel et de chantier de conformité.

La différence la plus structurante tient à la forme du texte lui-même : l'un est un règlement, l'autre une directive. Tout le reste en découle.

Règlement contre directive : une différence de nature

DORA est le règlement (UE) 2022/2554 du 14 décembre 2022. En tant que règlement européen, il est d'application directe dans tous les États membres : il s'impose tel quel, sans qu'une loi nationale ait besoin de le transposer. Sa date d'application est le 17 janvier 2025, et il est en vigueur depuis le 27 décembre 2022.

NIS2 est la directive (UE) 2022/2555. Une directive, contrairement à un règlement, fixe des objectifs que chaque État membre doit atteindre, mais en passant par une transposition dans son droit national. C'est cette transposition, et non le texte européen directement, qui crée les obligations concrètes applicables aux entités d'un pays donné. Deux véhicules juridiques différents, donc deux logiques d'entrée en application différentes.

Un périmètre sectoriel face à un régime général

DORA est un texte sectoriel : il vise spécifiquement la résilience opérationnelle numérique du secteur financier, c'est-à-dire la gestion du risque lié aux technologies de l'information et de la communication (TIC) chez les entités financières et leurs prestataires tiers critiques. Son champ couvre un large éventail de catégories d'entités financières, bien au-delà des seules banques.

NIS2 relève d'une logique plus large : elle organise un niveau commun de cybersécurité à travers de nombreux secteurs jugés essentiels ou importants. Là où DORA se concentre sur la finance, NIS2 ratisse un périmètre général qui dépasse ce seul secteur.

Quand les deux se croisent : la primauté de principe de DORA

Pour une entité financière dans le champ de DORA, la question se pose naturellement : faut-il appliquer DORA, NIS2, ou les deux ? Par sa qualité de texte sectoriel et spécialisé, DORA aurait, en principe, vocation à primer (logique de lex specialis, la règle spéciale l'emportant sur la règle générale) sur le régime général pour ce qui relève de son champ d'application.

Cette articulation doit toutefois être lue avec prudence. Le détail des recoupements entre les deux textes, et la manière précise dont ils s'articulent pour un cas donné, ne se résume pas à une formule. Selon l'entité, son statut et son activité, l'analyse peut varier. Pour une situation concrète, il convient de s'en remettre aux autorités compétentes plutôt qu'à une règle générale appliquée mécaniquement.

Récapitulatif des différences

• Nature du texte : DORA est un règlement (application directe, sans transposition) ; NIS2 est une directive (nécessite une transposition nationale).
• Référence : DORA = règlement (UE) 2022/2554 ; NIS2 = directive (UE) 2022/2555.
• Périmètre : DORA est sectoriel (secteur financier et ses prestataires TIC) ; NIS2 relève d'un régime général couvrant de nombreux secteurs.
• Objet : DORA cible la résilience opérationnelle numérique et le risque TIC du secteur financier ; NIS2 vise un niveau commun de cybersécurité à l'échelle de l'UE.
• Articulation : pour une entité financière, DORA aurait de principe vocation à primer sur le régime général dans son champ ; les cas précis relèvent de l'analyse des autorités compétentes.

Ce que cela change pour une entité financière

En pratique, savoir distinguer les deux textes n'est qu'un préalable. L'enjeu est de déterminer, pour son propre statut, quel référentiel s'applique et quelles obligations concrètes en découlent, puis de les traduire en jalons opérationnels. Pour une entité du secteur financier, c'est généralement DORA qui structure le chantier, autour de ses cinq piliers, et c'est là-dessus que se concentre une démarche de mise en conformité au règlement DORA bien cadrée. La qualification exacte de votre situation, en cas de doute sur le recoupement avec NIS2, gagne à être confirmée auprès de votre autorité compétente.

Poursuivre la lecture

Poursuivre la lecture