Quelle est la principale différence entre DORA et NIS2 ?

DORA (Règlement UE 2022/2554) est une législation sectorielle spécifique aux entités financières de l'UE, tandis que NIS2 (Directive UE 2022/2555) est une directive intersectorielle couvrant 18 secteurs critiques. DORA est un règlement — directement applicable dans tous les États membres — tandis que NIS2 est une directive qui nécessitait une transposition nationale. DORA prévoit également des délais de signalement plus stricts : 4 heures pour la notification initiale, contre 24 heures sous NIS2.

Les entités financières doivent-elles se conformer à la fois à DORA et à NIS2 ?

Pour la plupart des obligations — notamment la gestion des risques TIC et le signalement des incidents — DORA prime sur NIS2 en tant que lex specialis (loi plus spécifique). Les entités financières suivent donc principalement DORA pour ces domaines. NIS2 peut toutefois s'appliquer dans les domaines que DORA ne couvre pas spécifiquement. Une banque n'est pas totalement exemptée de NIS2, seulement des dispositions que DORA remplace explicitement.

Quels sont les délais de signalement sous DORA et NIS2 ?

DORA prévoit quatre étapes : notification initiale dans les 4 heures suivant la classification comme incident majeur, rapport initial dans les 24 heures, rapport intermédiaire dans les 72 heures, rapport final dans le mois suivant la résolution. NIS2 prévoit trois étapes : alerte précoce dans les 24 heures suivant la détection, notification formelle dans les 72 heures, rapport final dans les 30 jours.

Que signifie le principe lex specialis pour DORA et NIS2 ?

Le principe lex specialis signifie que la loi spécifique prime sur la loi générale lorsque les deux s'appliquent. DORA est lex specialis par rapport à NIS2 pour les entités financières dans les domaines de la gestion des risques TIC et du signalement des incidents. Il n'y a donc pas de double réglementation dans ces domaines : les entités financières suivent les exigences de DORA, plus détaillées et spécifiques au secteur.

Quelles sanctions s'appliquent en cas de non-conformité à DORA et NIS2 ?

Sous NIS2 : les entités essentielles s'exposent à des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel ; les entités importantes jusqu'à 7 millions d'euros ou 1,4 %. Sous DORA : les infractions de niveau 1 peuvent entraîner des sanctions jusqu'à 2 % du chiffre d'affaires mondial annuel ; des pénalités journalières jusqu'à 1 % du chiffre d'affaires journalier moyen ; une responsabilité personnelle des dirigeants jusqu'à 1 million d'euros. En France, l'ACPR et l'AMF sont les autorités compétentes pour DORA.

DORA vs NIS2 : Différences clés, chevauchements et implications pour votre organisation

2026-03-20

By Orbiq Team

DORA vs NIS2 : Différences clés, chevauchements et implications pour votre organisation

DORA et NIS2 sont les deux lois européennes de cybersécurité les plus importantes. Ce guide compare le champ d'application, la forme juridique, les délais de signalement, les sanctions et la règle lex specialis.

dora

nis2

conformite-ue

cybersecurite

signalement-incidents

DORA vs NIS2 : Différences clés, chevauchements et implications pour votre organisation

Deux réglementations européennes de cybersécurité s'appliquent désormais à travers l'Europe : la Directive NIS2 (UE 2022/2555) et le Règlement DORA (UE 2022/2554). Toutes deux exigent une gestion des risques liés aux TIC, un signalement des incidents et une surveillance des prestataires tiers. Mais elles diffèrent considérablement quant aux entités ciblées, à leur fonctionnement en tant qu'instruments juridiques et à leurs exigences concrètes.

Si vous êtes responsable de la conformité, RSSI ou expert GRC cherchant à comprendre quel cadre s'applique à votre organisation — ou comment gérer les deux —, ce guide vous offre une comparaison pratique.

Vue d'ensemble : DORA vs NIS2

Dimension	DORA	NIS2
Forme juridique	Règlement — directement applicable	Directive — transposition nationale requise
Référence juridique	Règlement (UE) 2022/2554	Directive (UE) 2022/2555
Entrée en vigueur	16 janvier 2023	16 janvier 2023
Applicable depuis / Délai de transposition	17 janvier 2025	17 octobre 2024
Champ d'application	Entités financières uniquement (20 catégories)	Intersectoriel : 18 secteurs critiques
Seuil de taille	Toutes les entités financières réglementées (pas de minimum)	≥ 50 employés OU ≥ 10 M€ de CA annuel
Signalement — alerte précoce	4 heures (après classification comme incident majeur)	24 heures (après détection)
Signalement — notification complète	24 h rapport initial, 72 h rapport intermédiaire	72 heures
Signalement — rapport final	1 mois après résolution	30 jours
Amende maximale (organisations)	~2 % du CA mondial annuel (niveau 1)	Essentielle : 10 M€ ou 2 % ; Importante : 7 M€ ou 1,4 %
Responsabilité personnelle	Jusqu'à 1 M€ pour les dirigeants	Responsabilité de l'organe de direction (selon droit national)
Tests de pénétration	TLPT obligatoires pour les entités importantes	Non explicitement requis
Surveillance des tiers	Désignation formelle des CTPP et supervision	Gestion des risques de la chaîne d'approvisionnement requise

Qu'est-ce que NIS2 ?

La Directive NIS2 — officiellement Directive (UE) 2022/2555 — est la principale législation européenne intersectorielle en matière de cybersécurité. Elle a remplacé la première Directive NIS (2016/1148) et étendu la couverture de 7 à 18 secteurs : énergie, transport, santé, infrastructure des marchés financiers, infrastructure numérique, gestion des déchets et production alimentaire.

NIS2 s'applique à toute organisation d'un secteur couvert employant au moins 50 personnes ou réalisant un chiffre d'affaires annuel d'au moins 10 millions d'euros. Ces organisations sont classées comme entités essentielles ou entités importantes, avec des niveaux de supervision et des plafonds d'amendes différents.

En tant que directive, NIS2 devait être transposée dans le droit national de chaque État membre avant le 17 octobre 2024. La mise en œuvre a varié :

France : La transposition de NIS2 en droit français est assurée par l'ANSSI ; les obligations de signalement d'incidents et de gestion des risques s'appliquent aux entités identifiées par l'ANSSI dans chaque secteur. Les entités financières relèvent principalement de DORA sous la supervision de l'ACPR et de l'AMF.
Allemagne : La loi de mise en œuvre NIS2UmsuCG est entrée en vigueur le 6 décembre 2025 ; les entités essentielles et importantes doivent s'enregistrer auprès du BSI avant le 6 mars 2026.
Pays-Bas : La Cyberbeveiligingswet transposant NIS2 devrait entrer en vigueur au T2 2026, s'appuyant sur le cadre Wbni existant.

Qu'est-ce que DORA ?

Le Règlement DORA — Règlement (UE) 2022/2554 — est le cadre européen dédié à la gestion des risques TIC dans le secteur financier. Contrairement à NIS2, DORA est un règlement, pas une directive. Il s'applique directement dans tous les États membres de l'UE sans nécessiter de législation nationale de mise en œuvre.

DORA s'applique depuis le 17 janvier 2025 et couvre 21 catégories d'entités financières : banques, compagnies d'assurance, sociétés de gestion, établissements de paiement, prestataires de services sur crypto-actifs, plateformes de négociation, contreparties centrales et autres. Les Autorités européennes de surveillance (AES) — ABE, AEMF et AEAPP — ont explicitement déclaré en décembre 2024 que « DORA ne prévoit pas de période transitoire ».

En France, les autorités compétentes pour DORA sont l'ACPR (Autorité de contrôle prudentiel et de résolution) pour les établissements bancaires et d'assurance, et l'AMF (Autorité des marchés financiers) pour les prestataires de services d'investissement.

Les cinq piliers de DORA sont :

Gestion des risques TIC — Cadre de gouvernance et appétit pour le risque
Signalement des incidents TIC majeurs — Notification standardisée aux autorités compétentes
Tests de résilience opérationnelle numérique — Dont des TLPT obligatoires pour les entités importantes
Gestion des risques liés aux prestataires TIC tiers — Supervision des CTPP (prestataires TIC tiers critiques)
Partage d'informations — Échange volontaire de renseignements sur les cybermenaces

En 2026, la mise en application de DORA a évolué de l'orientation vers la supervision active. L'ACPR et l'AMF procèdent à des examens de supervision et des audits.

Signalement des incidents : une différence opérationnelle critique

Pour les organisations soumises aux deux cadres, le signalement des incidents est le domaine présentant la divergence opérationnelle la plus significative.

Signalement d'incidents sous NIS2

Conformément à l'Article 23 de NIS2, les organisations doivent suivre un processus en trois étapes lors d'un incident significatif :

Alerte précoce — dans les 24 heures suivant la prise de connaissance d'un incident significatif
Notification d'incident — dans les 72 heures, avec évaluation initiale de la gravité et indicateurs de compromission
Rapport final — dans les 30 jours suivant la notification, incluant l'analyse des causes racines et les mesures correctives

Signalement d'incidents sous DORA

Les exigences de DORA — définies dans les normes techniques réglementaires (JC 2024-33) — sont plus strictes et prescriptives pour les incidents TIC majeurs :

Notification initiale — dans les 4 heures suivant la classification de l'incident comme majeur
Rapport initial — dans les 24 heures suivant la détection
Rapport intermédiaire — dans les 72 heures
Rapport final — dans le mois suivant la résolution

La notification initiale de 4 heures sous DORA est l'exigence la plus contraignante des deux cadres. Les entités financières ont besoin de systèmes de classification des incidents en temps réel et de modèles de notification préétablis pour respecter ce délai.

Sanctions : comparaison des régimes de pénalités

Sanctions administratives sous NIS2

NIS2 crée une structure d'amendes à deux niveaux selon la classification de l'entité :

Type d'entité	Amende maximale
Entités essentielles	10 000 000 € ou 2 % du CA mondial annuel (le montant le plus élevé)
Entités importantes	7 000 000 € ou 1,4 % du CA mondial annuel (le montant le plus élevé)

Au-delà des sanctions financières, NIS2 permet aux autorités nationales d'imposer des interdictions temporaires d'exercer à des dirigeants en cas de négligence grave après un incident grave.

Sanctions administratives sous DORA

DORA n'établit pas de régime d'amendes unique à l'échelle de l'UE pour toutes les entités financières — les États membres doivent établir des sanctions nationales effectives, proportionnées et dissuasives. En pratique :

Infractions de niveau 1 : Amendes jusqu'à 2 % du CA mondial annuel
Pénalités journalières : Jusqu'à 1 % du CA journalier moyen pour forcer la conformité continue
Responsabilité personnelle : Les dirigeants peuvent être sanctionnés individuellement jusqu'à 1 million d'euros
Variations nationales : L'ACPR et l'AMF définissent les niveaux de sanctions applicables en France

Qui doit se conformer aux deux réglementations ?

La question que se posent le plus souvent les équipes de conformité : quel cadre nous gouverne ?

Entités financières : principalement DORA

Si vous êtes une entité financière réglementée (banque, assureur, société de gestion, établissement de paiement, etc.), DORA est votre cadre principal pour la gestion des risques TIC et le signalement des incidents. NIS2 peut également lister les entités financières comme secteurs couverts, mais DORA prime en tant que lex specialis.

Prestataires TIC : potentiellement les deux

Les prestataires de services TIC font face au scénario de double obligation le plus complexe :

Les CTPP désignés sous DORA (19 prestataires au novembre 2025, dont AWS, Microsoft Azure, Google Cloud, IBM et Bloomberg) sont soumis à la supervision directe des AES
Les prestataires TIC non désignés comme CTPP mais actifs dans des secteurs couverts par NIS2 doivent respecter NIS2
Les prestataires servant plusieurs secteurs (financier + autres) peuvent avoir des obligations sous les deux cadres pour différentes parties de leur activité

Secteurs non financiers

Pour la santé, l'énergie, le transport, l'infrastructure numérique et les autres secteurs couverts par NIS2 mais pas par DORA, seule NIS2 s'applique.

Lex Specialis : comment le chevauchement est résolu en pratique

Le principe lex specialis — la loi spécifique prime sur la loi générale — est codifié à l'Article 4 de NIS2. Pour les entités financières, les exigences plus détaillées de DORA en matière de gestion des risques TIC et de signalement des incidents remplacent les obligations équivalentes de NIS2.

Ce que cela signifie en pratique :

Uniquement couvert par DORA (NIS2 ne s'applique pas aux entités financières pour ces domaines) :

Cadre de gestion des risques TIC (DORA Articles 5–16)
Signalement des incidents TIC majeurs (DORA Article 19)
Tests de résilience opérationnelle numérique (DORA Articles 24–27)
Gestion des risques liés aux tiers TIC et supervision des CTPP (DORA Articles 28–44)

Domaines où NIS2 peut encore s'appliquer aux entités financières :

Sécurité physique des infrastructures non couverte par DORA
Obligations de sécurité de la chaîne d'approvisionnement dans des domaines non-TIC
Dispositions sectorielles non traitées par le champ d'application de DORA

La clause lex specialis ne concerne que la gestion des risques TIC et le signalement des incidents TIC — pas l'ensemble des obligations NIS2. Une banque n'est donc pas totalement exemptée de NIS2, seulement des obligations spécifiques que DORA remplace.

Stratégie de conformité pour les entités à double obligation

Si votre organisation opère dans plusieurs secteurs ou si vos prestataires TIC servent des clients financiers et non-financiers, une stratégie de conformité intégrée est recommandée :

1. Déterminer précisément votre type d'entité. Identifiez si vous êtes : (a) une entité financière réglementée relevant principalement de DORA, (b) une entité non financière relevant de NIS2, ou (c) un prestataire TIC potentiellement soumis aux deux cadres.

2. Construire un cadre unifié de gestion des risques TIC. Les exigences de DORA (Articles 5–16) sont plus détaillées que l'Article 21 de NIS2. Se conformer au standard DORA satisfait généralement les exigences équivalentes de NIS2 — investissez une fois au niveau le plus élevé.

3. Adapter la réponse aux incidents au délai de 4 heures de DORA. Si DORA s'applique, votre processus de réponse aux incidents doit supporter une notification initiale de 4 heures. Cela nécessite des alertes automatisées, des modèles de notification pré-établis et des chemins d'escalade définis vers les autorités compétentes. Les organisations respectant les délais DORA satisfont automatiquement le délai de 24 heures de NIS2.

4. Gérer les risques tiers avec des preuves documentées. Les deux cadres exigent la gestion des risques de la chaîne d'approvisionnement. Le Registre des informations DORA pour 2026 doit être soumis à l'ACPR/AMF selon leurs délais respectifs ; la date limite de soumission de l'AMF pour les entreprises est le 22 mars 2026 ; la date limite consolidée des AES pour les autorités nationales est le 31 mars 2026.

5. Utiliser le monitoring de conformité continu. DORA et NIS2 exigent une conformité démontrable et continue. Orbiq fournit une collecte de preuves en temps réel, un support de classification automatisée des incidents et des tableaux de bord de risques fournisseurs alignés sur les deux cadres.

Comment Orbiq vous aide

Orbiq est conçu pour les organisations européennes réglementées naviguant dans DORA, NIS2 et leurs intersections. La plateforme offre :

Monitoring continu de votre posture de sécurité, mappée aux cadres de contrôle DORA et NIS2
Vendor assurance aligné sur le Registre des informations DORA et les exigences NIS2 de sécurité de la chaîne d'approvisionnement
Gestion des incidents avec des délais configurables alignés sur les seuils DORA (4 heures) et NIS2 (24 heures)
Trust Center pour démontrer la posture de conformité aux régulateurs, clients et auditeurs

Sources & Références

Règlement (UE) 2022/2554 (DORA) — Texte officiel du Digital Operational Resilience Act
Directive (UE) 2022/2555 (NIS2) — Texte officiel de la Directive NIS2
Déclaration des AES sur l'application de DORA (décembre 2024) — Confirme l'absence de période de transition pour DORA
JC 2024-33 Rapport final sur les RTS/ITS de signalement d'incidents — Délais DORA (4h/24h/72h/1 mois)
NIS2 rencontre DORA — PayTechLaw — Analyse de la clause lex specialis
DORA enforcement 2026 — aqmetrics — Passage de l'orientation à la supervision active
Registre des informations DORA 2026 — Thomas Murray — Délais de soumission du ROI pour 2026
Structure des amendes NIS2 — Hornetsecurity — Niveaux d'amendes pour entités essentielles et importantes
DORA vs NIS2 — activeMind.legal — Analyse juridique de la double conformité et idées reçues
DORA vs NIS2 — Diligent — Comparaison pratique pour les responsables conformité