Table of Contents
DORA et NIS2 sont deux textes majeurs de la législation européenne en matière de cybersécurité. Découvrez lequel prime pour votre organisation, et pourquoi.
Si vous êtes RSSI, DPO ou juriste dans la cyber, vous n’avez pas pu passer à côté de NIS2 et DORA, deux textes législatifs majeurs de l’Union européenne en matière de cybersécurité. Mais alors, quelles sont leurs différences et, surtout, quel est celui qui prime ?
Lire aussi : DORA : Comprendre le Digital Operational Resilience Act
NIS2 est une directive, DORA est un règlement
Il est important de souligner que NIS2 est une directive, là où le Digital Operational Resilience Act est un règlement. Vous vous dites peut-être que c’est du jargon légal sans importance, mais figurez-vous qu’il y a une vraie différence !
- Une directive sert à fixer un cap, et ne peut pas être appliquée telle quelle dans chaque État membre de l’Union européenne. Elle doit d’abord être transposée dans le droit national de chaque pays.
- A l’inverse, un règlement est applicable tel quel dans tous les États membres dès son entrée en vigueur. C’est un acte législatif contraignant, il doit être mis en œuvre dans son intégralité.
Et c’est bien cette logique qui s’applique à nos deux stars du moment, NIS2 et DORA.
NIS2 : une transposition dans le droit national des États membres avant octobre 2024
La directive NIS2 doit être transposée dans le droit national de chaque pays de l’UE ; elle ne peut pas être appliquée en l’état. Elle a été publiée au Journal officiel de l’UE le 27 décembre 2022, et les États membres ont 21 mois à compter de cette pour opérer une transposition nationale – c’est-à-dire en octobre 2024. En France par exemple, c’est bien cette date butoir qui a été annoncée par l’ANSSI, l’autorité nationale compétente en la matière.
Toutefois, il convient de noter qu’il s’agit de la date limite de transposition en droit national pour les États membres, et non de la date de mise en conformité pour les entités soumises au NIS2. Celles-ci disposeront très probablement d’un délai supplémentaire pour se conformer à la directive dès qu’elle sera appliquée dans leurs pays respectifs.
Si vous êtes concerné par NIS2, la transposition du texte dans le droit national de votre pays amènera probablement son lot de nuances. Wait & see donc.
DORA : applicable dans tous les États membres le 17 janvier 2025
Le règlement DORA est applicable en l’état dans tous les pays de l’UE dès son entrée en vigueur, prévue pour le 17 janvier 2025 (24 mois après sa publication au Journal Officiel de l’UE). Cette date est donnée noir sur blanc dans l’Article 64 de DORA.
Si vous êtes concerné par DORA, n’attendez donc aucun revirement majeur dans les obligations amenées par le texte. Elles seront appliquées en l’état. Ceci dit, certaines conditions d’application sont encore à préciser. En effet, des projets de normes techniques sont attendus au plus tard le 17 janvier 2024, en co-construction par les Autorités Européennes de Surveillance (AES) et l’Agence de l’Union européenne pour la cybersécurité (ENISA).
DORA : Guide de conformité complet pour le secteur financier
Un guide de 50 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la réglementation européenne. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.
NIS2 et DORA : des objectifs distincts
Il est essentiel de comprendre que NIS2 et DORA ne poursuivent pas les mêmes objectifs.
La directive NIS2 vient homogénéiser le niveau de cybersécurité global à travers les pays de l’UE. Son but est de faire en sorte que les entreprises et les organisations les plus importantes pour le bon fonctionnement de notre société atteignent un niveau de sécurité numérique élevé.
Le règlement DORA vise à renforcer la résilience opérationnelle numérique du secteur financier. Son rôle est de s’assurer que les entités financières soient en mesure de résister et continuer à fonctionner même en cas de cyberattaque. Ce sont bien la disponibilité et l’intégrité des services financiers qui sont au cœur du règlement.
Dans la réalité des choses, les deux textes se complètent bien plus qu’ils ne se font concurrence. NIS2 vise à renforcer le niveau de cybersécurité global dans l’UE, là où DORA assure que le système financier reste fonctionnel même en cas de cyberattaque.
Deux actes législatifs au contenu foncièrement différent
Une fois que l’on a compris que les deux textes ne poursuivent pas les mêmes objectifs, il devient évident que leur contenu ne peut pas être le même.
NIS2 met par exemple l’accent sur la sécurité de la chaîne d’approvisionnement, là où DORA s’attarde sur la gestion des risques liés aux tiers. De même, les sanctions financières sont lourdes et chiffrées pour NIS2 – jusqu’à 2% du CA annuel mondial ! –, tandis que DORA préfère laisser l’appréciation de la sanction aux Etats membres et à leurs autorités compétentes. A l’inverse, DORA est autrement plus exigeant en ce qui concerne les tests de sécurité : un programme de tests de résilience au moins une fois par an, et un test de pénétration fondé sur la menace au minimum tous les 3 ans.
Ce ne sont là qu’une poignée d’exemples, et les différences sont bien plus nombreuses. (Pour en savoir plus sur chaque sujet, les liens vers nos guides de conformité sont en fin de page.) En définitive, il est inutile de vouloir comparer les contenus de DORA et NIS2, tant chaque législation est unique. Après tout, si le contenu était le même, il n’y aurait qu’un seul texte. C’est logique.
La vraie question qu’il faut se poser ici est : pour mon organisation, quel est le texte qui prévaut entre NIS2 et DORA ?
DORA et NIS2 : alors, quelle loi prime ?
C’est la question qui est sur toutes les lèvres : quel texte de l’Union européenne prime entre NIS2 et DORA ? La réponse est simple : si votre organisation est concernée par le règlement DORA – et seulement si tel est le cas – c’est lui qui l’emporte sur NIS2. Voilà pour la réponse courte, mais elle mérite une explication.
DORA est “lex specialis” de NIS2 pour le secteur financier
Le règlement DORA est dit “lex specialis” de NIS2, un principe qui veut qu’une loi spécifique prime sur une loi généraliste. C’est marqué noir sur blanc dans le texte officiel :
“Le présent règlement constitue une lex specialis en ce qui concerne la directive (UE) 2022/2555. Dans le même temps, il est indispensable de maintenir un lien étroit entre le secteur financier et le cadre horizontal de l’Union en matière de cybersécurité tel qu’il est actuellement défini dans la directive (UE) 2022/2555 […]. ” – DORA, Considérant 16
Pour lever toute ambiguïté : la directive (UE) 2022/2555 est bien le nom officiel de NIS2 – poétique n’est-ce pas ? De son côté, DORA est officiellement baptisé Règlement (UE) 2022/2554.
DORA : guide des tests de sécurité pour les entités réglementées
Un guide de conformité de 60 pages pour guider les responsables de la sécurité des entités réglementées par DORA à travers les obligations de test de sécurité prévues par le règlement : les tests de résilience et les tests de pénétration fondés sur la menace (TLPT).
DORA est le texte principal pour ces 21 types d’entités :
Pour dire les choses encore plus clairement, vous êtes avant tout concerné par DORA si votre organisation fait partie des 21 types d’entités visées dans son Article 2, à savoir :
- les établissements de crédit;
- les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366;
- les prestataires de services d’information sur les comptes;
- les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE;
- les entreprises d’investissement;
- les prestataires de services sur crypto-actifs et les émetteurs de jetons se référant à un ou des actifs;
- les dépositaires centraux de titres;
- les contreparties centrales;
- les plateformes de négociation;
- les référentiels centraux;
- les gestionnaires de fonds d’investissement alternatifs;
- les sociétés de gestion;
- les prestataires de services de communication de données;
- les entreprises d’assurance et de réassurance;
- les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire;
- les institutions de retraite professionnelle;
- les agences de notation de crédit;
- les administrateurs d’indices de référence d’importance critique;
- les prestataires de services de financement participatif;
- les référentiels des titrisations;
- les prestataires tiers de services TIC.
Si votre organisation n’appartient à aucune des catégories ci-dessus, vous n’êtes pas du tout concerné par DORA. Point barre.
Les entités visées par NIS2
Même si vous n’êtes pas concerné par DORA, vous êtes peut-être soumis aux obligations de la directive NIS2. Elle concerne :
- les Entités Essentielles (EE), détaillées dans l’Annexe I du texte NIS2
- les Entités Importantes (IE), détaillées dans l’Annexe II du texte NIS2
Si tel est le cas, nous ne pouvons que vous conseiller la lecture de notre guide de conformité complet à la directive NIS2.
Directive NIS2 : Guide de conformité étape par étape
Un guide de 40 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la directive. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.
NIS2 et DORA en bref :
- NIS2 et DORA ne partagent pas les mêmes objectifs. NIS2 vise à renforcer le niveau de cybersécurité global au sein de l’UE, là où DORA vise à assurer l’intégrité et la disponibilité du secteur financier.
- NIS2 est une directive européenne, elle doit donc être transposée dans le droit national de chaque État membre pour être applicable. Chaque pays doit transposer la directive avant octobre 2024.
- DORA est un règlement européen. Le texte sera applicable en l’état dans tous les pays de l’Union européenne à partir du 17 janvier 2025.
- NIS2 et DORA ne visent pas les mêmes entités. NIS2 concerne les Entités Essentielles et les Entités Importantes – anciennement OIV et OSE. DORA adresse le secteur financier, à travers 21 types d’entités bien précises.
- DORA est dite “lex specialis” de NIS2 pour le secteur financier – un principe qui veut qu’une loi spécifique prime sur une loi généraliste. Pour les entités concernées par DORA, c’est donc bien ce texte qui prime sur NIS2. Attention, cela ne signifie pas pour autant l’annulation des obligations de NIS2 pour les entités concernées par les deux textes.
Si votre organisation est concernée par la conformité NIS2 ou DORA (ou les deux), nous vous recommandons la lecture de :
- DORA : Guide de conformité complet pour le secteur financier
- DORA : guide des tests de sécurité pour les entités réglementées
- Directive NIS2 : Guide de conformité étape par étape
Par ailleurs, n’hésitez pas à nous contacter directement pour vos besoins liés à NIS2 ou DORA, comme la gestion des vulnérabilités ou la mise en place de tests de sécurité numérique.