CybersécuritéNIS2DORA Veille Technologique · Avril 2025 · 15 min

NIS2, DORA et le cadre réglementaire européen
Ce que les DSI et RSSI doivent anticiper dès maintenant

L'Union européenne a engagé depuis 2022 une refonte structurelle de son cadre réglementaire en cybersécurité. NIS2 et DORA ne constituent pas un simple durcissement des exigences existantes : ils signalent un changement de philosophie réglementaire dans lequel la cybersécurité cesse d'être un sujet technique pour devenir une composante explicite de la gouvernance d'entreprise, avec une responsabilité personnelle des dirigeants désormais inscrite dans le texte.

43 %des entreprises n'ont pas passé un audit de conformité en 2023 (Thales Data Threat Report 2024)
31 %des organisations non conformes ont subi une brèche la même année, contre 3 % des organisations conformes
10 M€ou 2 % du CA mondial — amende maximale pour les entités essentielles NIS2 en cas de manquement
72 hdélai maximum pour la notification d'incident détaillée aux autorités compétentes sous NIS2
NIS2 — périmètre, obligations et calendrier

La directive NIS2, entrée en vigueur en janvier 2023 avec transposition nationale requise avant octobre 2024, remplace et élargit considérablement la directive NIS1 de 2016. Son périmètre couvre deux catégories d'entités dans dix-huit secteurs d'activité essentiels. Les seuils de taille qui déclenchent l'applicabilité : plus de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires dans un secteur couvert pour les entités importantes, plus de 250 employés ou 50 millions d'euros pour les entités essentielles.

Entités Essentielles (EE)
Supervision proactive par les autorités nationales
Audits réguliers planifiés par l'autorité compétente
Amendes jusqu'à 10 M€ ou 2 % du CA mondial
Responsabilité personnelle des dirigeants explicite
Secteurs : énergie, transports, eau, banque, santé, espace
Entités Importantes (IE)
Supervision réactive (sur incident ou plainte)
Audits sur demande ou post-incident
Amendes jusqu'à 7 M€ ou 1,4 % du CA mondial
Responsabilité dirigeants dans le cadre national
Secteurs : chimie, alimentation, fabrication, numérique
Délais de notification NIS2 — cascade à maîtriser opérationnellement

NIS2 impose une cascade de notifications obligatoires. Une alerte précoce doit être émise auprès de l'autorité compétente nationale dans les 24 heures suivant la prise de conscience de l'incident. Une notification d'incident détaillée doit suivre dans les 72 heures avec évaluation initiale de la gravité et des indicateurs de compromission. Un rapport final est attendu dans le mois suivant la résolution de l'incident. Ces délais supposent une organisation capable de détecter rapidement un incident, de l'évaluer et d'activer une chaîne de notification interne et externe. La plupart des organisations qui n'ont pas exercé ce processus en conditions réelles ne peuvent pas respecter la fenêtre des 24 heures.

DORA — la cybersécurité opérationnelle au cœur du secteur financier

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, s'adresse spécifiquement aux entités du secteur financier et, de manière significative, aux prestataires de services TIC critiques qui les servent. DORA est un règlement européen d'application directe, sans nécessité de transposition nationale. Sa spécificité réside dans son traitement des tiers : DORA impose une gestion structurée du risque lié aux prestataires technologiques, avec des exigences contractuelles spécifiques, des droits d'audit sur les prestataires critiques et une obligation de notifier les incidents survenant chez un prestataire tiers.

Cette disposition place les grandes ESN (Atos, Sopra Steria, CGI, IBM, Accenture) et les fournisseurs cloud (AWS, Azure, GCP) en position de devoir démontrer leur conformité DORA pour maintenir ou développer leurs contrats avec les institutions financières.

Les 5 piliers de DORA et leur traduction opérationnelle
Pilier 1
Cadre de gestion du risque TIC. Établir et maintenir un cadre documenté avec identification des actifs critiques, analyse des dépendances et plans de remédiation. Revue annuelle obligatoire.
Pilier 2
Gestion et notification des incidents TIC. Classification des incidents selon leur impact. Délais de notification aux autorités de supervision (comparables à NIS2) avec formulaires standardisés fournis par les autorités européennes.
Pilier 3
Tests de résilience opérationnelle numérique. Tests réguliers incluant, pour les entités désignées comme significatives, des tests de pénétration à base de threat intelligence (TLPT) selon le cadre TIBER-EU.
Pilier 4
Gestion du risque tiers. Cartographie des prestataires critiques, contrats incluant des clauses spécifiques sur la sécurité, les audits et la réversibilité. Évaluation continue de la posture sécurité des tiers critiques.
Pilier 5
Partage d'informations. Participation encouragée (sans obligation directe) aux plateformes sectorielles d'échange d'informations sur les cybermenaces. Déclarations volontaires à l'ENISA.
NIS2 article 20 — la responsabilité personnelle des dirigeants

L'article 20 de NIS2 introduit explicitement la responsabilité personnelle des dirigeants des entités essentielles et importantes. Les organes de direction doivent approuver les mesures de cybersécurité, suivre une formation sur la cybersécurité et superviser la conformité aux obligations NIS2. Des sanctions incluant des interdictions temporaires d'exercer des fonctions de direction peuvent être prononcées. Ce niveau de responsabilité personnelle marque une rupture avec l'approche antérieure où la cybersécurité relevait principalement de la responsabilité des équipes techniques.

Feuille de route de mise en conformité — 7 étapes structurantes
1
Qualification du périmètre NIS2/DORA applicable
Déterminer précisément dans quelle catégorie (EE ou IE) l'organisation se situe, quels systèmes et services entrent dans le périmètre réglementaire, et quel régulateur national est compétent (ANSSI en France pour NIS2, ACPR/AMF pour DORA).
2
Analyse des écarts (gap analysis)
Évaluation structurée des pratiques existantes au regard des 10 mesures NIS2 et des 5 piliers DORA, produisant un tableau de bord des écarts avec cotation de criticité et priorisation des actions correctives.
3
Gouvernance et portage C-Level
Nommer un responsable de programme NIS2/DORA avec délégation C-Level, intégrer la cybersécurité à l'ordre du jour régulier du COMEX, et formaliser la formation des dirigeants sur leurs responsabilités personnelles.
4
Cartographie et qualification des tiers
Identifier l'ensemble des prestataires TIC, qualifier leur criticité selon les critères DORA, mettre à jour les contrats pour intégrer les clauses réglementaires requises et établir un programme d'évaluation continue de la posture sécurité des tiers critiques.
5
Plan de notification et exercice de crise
Documenter la procédure de détection, qualification et notification des incidents selon les délais NIS2/DORA. Réaliser un exercice de simulation de crise incluant un scénario de notification réglementaire pour valider les délais opérationnels réels.
6
Programme de tests de résilience
Établir un programme annuel de tests de sécurité (pentest, tests de continuité, tests de restauration) en alignant scope et fréquence sur les exigences réglementaires. Pour les entités DORA significatives, préparer la mise en œuvre du TLPT.
7
Documentation et piste d'audit
Constituer la documentation probatoire (politiques, procédures, logs de formation, résultats de tests, contrats tiers) dans un référentiel structuré permettant de répondre aux demandes des autorités de supervision dans des délais courts.
Prospective — AI Act, Cyber Resilience Act et la prochaine vague réglementaire

L'AI Act européen, dont les premières dispositions sont entrées en vigueur en 2024 avec une application progressive jusqu'en 2027, classifie certains systèmes d'IA utilisés dans les infrastructures critiques et la sécurité des SI comme systèmes à haut risque, imposant des exigences de robustesse, de traçabilité et de supervision humaine. Les équipes qui déploient de l'IA dans leurs SOC, leurs systèmes de détection d'anomalies ou leurs outils de contrôle d'accès devront s'assurer de la conformité de ces déploiements.

Le Cyber Resilience Act (CRA), adopté en 2024, introduit des obligations de cybersécurité tout au long du cycle de vie des produits matériels et logiciels comportant des éléments numériques. Il concerne directement les fabricants de dispositifs IoT qui devront certifier la sécurité de leurs produits avant mise sur le marché européen.

Position stratégique pour les organisations assujetties

Les organisations qui font le choix d'utiliser NIS2 et DORA comme levier pour engager une transformation réelle de leurs pratiques de cybersécurité — avec portage au niveau du COMEX et financement pluriannuel — construisent une résilience opérationnelle mesurable. Elles réduisent leur probabilité d'incident majeur, améliorent leur capacité à répondre quand un incident survient malgré tout, et positionnent leur cybersécurité comme un facteur de différenciation concurrentielle dans les appels d'offres où la maturité cyber des fournisseurs est évaluée.

La tentation de traiter ces textes comme des contraintes réglementaires à minimiser, en construisant une conformité de façade documentaire sans transformation réelle, expose à un risque double : sanction en cas d'incident, et posture de sécurité réelle insuffisante face à un paysage de menaces qui s'intensifie.

VEILLE TECHNOLOGIQUE · Cybersécurité — NIS2 / DORA · I2S-Consultants · Avril 2025