Pourquoi on parle autant de NIS2 et DORA
Deux textes européens, deux objectifs voisins : réduire les impacts d’incidents numériques et rendre les organisations contrôlables.
-
NIS2 vise les secteurs « essentiels » et « importants » (énergie, santé, transports, eau, numérique, administrations, etc.).
-
DORA cible le secteur financier et ses prestataires TIC critiques.
Dans les deux cas : gouvernance au niveau de la direction, gestion des risques, préparation d’incidents, preuvesdisponibles… et des délais/format de notification côté autorités.
NIS2 en bref (ce que l’autorité attend de vous)
-
Qui est concerné ? Les entités « essentielles » possédant +50 employés ou +10M de CA.
-
Ce qu’il faut démontrer :
-
Gouvernance avec responsabilité explicite de la direction.
-
Gestion des risques (incluant la supply-chain).
-
Continuité & réponse : procédures, exercices, preuves.
-
Notification d’incident dans des délais encadrés (alerte rapide, notification sous 72 h, rapport final).
-
-
Ce qui change au quotidien : décisions tracées, exigences fournisseurs formalisées, messages prêts pour signaler un incident, contrôles possibles par l’autorité (fortes amendes en cas de non-respect).
DORA en bref (spécifique finance)
-
Qui est concerné ? Banques, assurances, sociétés d’investissement, entités liées… et certains prestataires TIC critiques.
-
Ce qu’il faut démontrer :
-
Gouvernance TIC portée par la direction.
-
Gestion des incidents avec reporting harmonisé aux autorités financières.
-
Tiers TIC : registre, clauses, suivi, stratégie de sortie.
-
Tests de résilience réguliers (jusqu’à des scénarios avancés).
-
Continuité & communication de crise.
-
-
Ce qui change au quotidien : formats et canaux de reporting définis, relation fournisseurs encadrée contractuellement, calendrier de tests et d’exercices.
NIS2 vs DORA : mêmes fondations, accents différents
| Thème | NIS2 | DORA |
|---|---|---|
| Nature | Directive « secteurs essentiels/important » | Règlement finance (applicable tel quel) |
| Direction | Rôle explicite, décisions traçables | Idem, + responsabilité sur gouvernance TIC |
| Incidents | Alerte rapide, notification, rapport final | Reporting harmonisé + délais courts possibles |
| Tiers | Exigences fournisseurs/supply-chain | Prestataires TIC : contractualisation forte & sortie |
| Tests | Exercices réguliers (IR/BCP) | Tests de résilience structurés, y compris avancés |
En pratique : un SMSI structuré (type ISO 27001) couvre l’essentiel du socle ; on ajoute les briques délais/reporting et la couche tiers spécifique à NIS2/DORA.
Comment se préparer intelligemment (sans multiplier les chantiers)
Statut & périmètre
Vérifier si/quoi s’applique, cartographier activités, entités et fournisseurs concernés, identifier l’autorité compétente (et ses formats).
Gouvernance & preuves
Nommer les responsables, documenter comment les décisions se prennent, garder les comptes rendus et jalonner des revues périodiques.
Incidents & communication
Écrire le mode d’emploi : détection, qualification, qui alerte qui, modèles de message, canaux d’envoi, horloge des délais, entraînements.
Tiers & contrats
Segmenter les fournisseurs par criticité, définir les exigences minimales, intégrer des clauses (notification, audits, sécurité, plan de sortie), et instaurer un suivi régulier.
Continuité & tests
Plan B réaliste, exercices, tests de résilience (plus poussés en DORA), journalisation des résultats et décisions prises.
Conclusion
NIS2 et DORA demandent moins des promesses que des preuves : gouvernance lisible, incidents gérés et reportés dans les temps, tiers sous contrôle, continuité testée. Avec un socle de type ISO 27001 et une mise au point sur délais/reporting/tiers, vous êtes prêts… y compris le jour du contrôle.
Vous voulez un contrôle à blanc NIS2/DORA et une feuille de route priorisée ? Parlons-en.
