ConformScan
Démarrer gratuitement →
DORANIS2Conformité EUComparatif

DORA vs NIS2 : Quelle directive EU s'applique à vous ? Le guide complet 2026

DORA et NIS2 comparés : portée, exigences, sanctions, chevauchements. Comment construire une stratégie de conformité qui couvre efficacement les deux régulations EU.

21 mars 2026·11 min de lecture·
ConformScan

DORA et NIS2 sont les deux régulations de cybersécurité EU les plus significatives de la décennie — et toutes deux sont désormais en vigueur. NIS2 est devenue applicable en octobre 2024. DORA s'applique depuis janvier 2025. Si votre organisation opère dans le secteur financier ou gère des infrastructures critiques en Europe, vous êtes peut-être soumis à l'une ou aux deux. Ce guide détaille les différences, les chevauchements et comment construire une stratégie de conformité qui couvre les deux efficacement.

DORA en 60 secondes

Le Digital Operational Resilience Act (UE 2022/2554) est une régulation sectorielle ciblant les entités financières. Il impose la gestion du risque TIC, la notification d'incidents, les tests de résilience opérationnelle numérique et la gestion du risque tiers. DORA s'applique aux banques, assureurs, entreprises d'investissement, établissements de paiement, prestataires de services crypto-actifs et prestataires tiers TIC critiques.

Caractéristique clé : DORA s'applique par secteur, pas par taille. Une fintech de deux personnes est dans le périmètre au même titre qu'une grande banque.

NIS2 en 60 secondes

La directive sur la sécurité des réseaux et de l'information 2 (UE 2022/2555) est une directive transversale couvrant les entités essentielles et importantes dans 18 secteurs. Elle exige des mesures de gestion des risques, la notification d'incidents, la sécurité de la chaîne d'approvisionnement et la responsabilité de la direction. NIS2 s'applique en fonction du secteur ET de la taille : typiquement 50+ employés ou €10 M+ de CA dans un secteur couvert.

Caractéristique clé : NIS2 est une directive — les États membres doivent la transposer en droit national. La mise en œuvre varie par pays. DORA est un règlement — il s'applique directement et uniformément dans tous les États membres.

Périmètre : qui est concerné ?

Périmètre DORA

  • Établissements de crédit (banques)
  • Établissements de paiement et de monnaie électronique
  • Entreprises d'investissement et gestionnaires de fonds
  • Entreprises d'assurance et de réassurance
  • Agences de notation
  • Prestataires de services sur crypto-actifs (CASPs)
  • Dépositaires centraux de titres
  • Référentiels centraux
  • Prestataires tiers TIC critiques (désignés par les ESA)

Pas de seuil de taille. L'appartenance sectorielle détermine l'applicabilité.

Périmètre NIS2

  • Entités essentielles (grandes) : Énergie, transport, banque, santé, eau, infrastructure numérique, gestion des services TIC, administration publique, espace
  • Entités importantes (moyennes) : Services postaux, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche

Des seuils de taille s'appliquent : en général 50+ employés ou €10 M+ de CA pour les entités importantes ; 250+ employés ou €50 M+ de CA pour les entités essentielles.

La zone de chevauchement

Les entités financières (banques, assureurs, prestataires de paiement) relèvent de DORA et NIS2. L'article 4 de NIS2 adresse explicitement cela : lorsque le droit sectoriel EU (comme DORA) impose des exigences de cybersécurité au moins équivalentes à NIS2, DORA prévaut. En pratique, les entités financières doivent se concentrer principalement sur la conformité DORA.

Comparaison des exigences

Gestion des risques

  • DORA (Art. 5–16) : Framework complet de gestion du risque TIC. Exige l'identification de tous les actifs TIC, la classification des données, les mesures de protection, les capacités de détection, les plans de réponse et de récupération, et les processus d'apprentissage.
  • NIS2 (Art. 21) : Approche de cybersécurité basée sur les risques. 10 mesures minimales incluant analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, gestion des vulnérabilités, cryptographie, contrôle d'accès, MFA et cyberhygiène.

Notification d'incidents

  • DORA : Notification en trois étapes pour les incidents TIC majeurs : notification initiale dans les 4 heures suivant la classification (ou 24h après connaissance), rapport intermédiaire dans les 72 heures, rapport final dans 1 mois.
  • NIS2 : Notification en deux étapes : alerte précoce dans les 24 heures, notification complète dans les 72 heures. Rapport final dans 1 mois.

Risque tiers / chaîne d'approvisionnement

  • DORA (Art. 28–44) : Exigences étendues. Contrats écrits avec tous les fournisseurs TIC. Registre des dépendances tiers. Stratégies de sortie. Évaluation annuelle du risque de concentration. Les fournisseurs TIC critiques soumis à un cadre de supervision EU direct.
  • NIS2 (Art. 21(2)(d)) : La sécurité de la chaîne d'approvisionnement est l'une des 10 mesures minimales, mais les exigences sont bien moins détaillées que DORA.

Tests

  • DORA (Art. 24–27) : Impose un programme de tests TIC annuel. Les entités financières significatives doivent conduire des TLPT (Threat-Led Penetration Testing) au moins tous les 3 ans selon le framework TIBER-EU.
  • NIS2 : Exige des procédures pour évaluer l'efficacité des mesures de cybersécurité mais ne prescrit pas de méthodologies spécifiques comme le TLPT.

Comparaison des sanctions

  • DORA : Jusqu'à 1 % du CA quotidien moyen mondial par jour de non-conformité. Pour les fournisseurs TIC critiques : jusqu'à €5 M ou 1 % du CA mondial.
  • NIS2 : Entités essentielles : jusqu'à €10 M ou 2 % du CA mondial. Entités importantes : jusqu'à €7 M ou 1,4 %. Responsabilité personnelle de la direction.

Chevauchement des contrôles infrastructure : ~40 %

Au niveau de l'infrastructure technique, DORA et NIS2 partagent environ 40 % de leurs contrôles. Les deux exigent :

  • Chiffrement au repos et en transit pour les données sensibles
  • MFA et contrôles d'accès au moindre privilège
  • Journalisation et surveillance complètes
  • Capacités de sauvegarde et récupération
  • Sécurité et segmentation réseau
  • Gestion des vulnérabilités et correctifs
  • Capacités de détection et réponse aux incidents

Cela signifie que corriger ces contrôles communs satisfait les exigences des deux régulations simultanément.

Comment être conforme aux deux : stratégie pratique

  1. Commencer par les contrôles infrastructure : Lancez un scan multi-frameworks contre votre environnement AWS ou Azure. Corrigez les problèmes de chiffrement, IAM, journalisation et réseau — ceux-ci satisfont à la fois DORA et NIS2.
  2. Ajouter les exigences spécifiques DORA : Si vous êtes dans les services financiers, ajoutez les éléments spécifiques DORA : registre d'actifs TIC, revue des contrats tiers, processus de classification des incidents (délai 4h) et programme TLPT.
  3. Adresser la gouvernance NIS2 : Assurez-vous que les formations du conseil d'administration, les évaluations de risque de la chaîne d'approvisionnement et les procédures de notification sont en place.
  4. Automatiser la collecte de preuves : Les deux régulations exigent une surveillance continue. Le scanning planifié fournit la piste de preuves pour les deux.

Scanning multi-frameworks avec ConformScan

ConformScan exécute les vérifications DORA, NIS2, BSI C5, RGPD et ISO 27001 en un seul scan. Pour chaque finding, vous voyez quelles régulations sont affectées — vous pouvez ainsi prioriser les corrections qui satisfont le plus d'exigences à la fois. Un scan, plusieurs frameworks, remédiation unifiée.

Démarrer votre scan multi-frameworks →

Prêt à analyser votre infrastructure ?

1 scan gratuit/mois · Sans carte bancaire · Résultats en moins de 2 minutes · Hébergé en Allemagne

Démarrer gratuitement →

Autres guides conformité

WizDrata

ConformScan vs Wiz, Drata, Vanta : Le comparatif 2026 pour la conformité cloud EU

10 min de lecture

BSI C5Scanner

Top 5 des scanners BSI C5 en 2026 : Le guide ultime de comparaison

12 min de lecture

DORA vs NIS2 : Quelle directive EU s'applique à vous ? Le guide complet 2026 | ConformScan Blog