Réponse GRC
Quelle est la différence entre NIS2 et DORA ?
Réponse directe
NIS2 et DORA sont deux cadres européens de cybersécurité et de résilience opérationnelle entrés en vigueur à peu près au même moment et qui se recoupent largement, mais ils ne sont pas interchangeables. NIS2 (Directive (UE) 2022/2555) est une directive transsectorielle de cybersécurité couvrant de nombreux secteurs ; DORA (Règlement (UE) 2022/2554) est un règlement spécifique au secteur financier pour la résilience opérationnelle numérique. Lorsque les deux pourraient s’appliquer à la même organisation, DORA prime généralement pour le risque TIC dans les services financiers en tant que loi plus spécifique — le principe de lex specialis. Une entité financière peut donc être dans le périmètre des deux, DORA régissant son risque TIC et NIS2 restant pertinent dans la mesure où DORA ne couvre pas. Les deux diffèrent par l’instrument, le périmètre et le niveau de précision. NIS2 est une directive transposée en droit national — en France via la LPM et la LOPMI, sous la supervision de l’ANSSI. DORA est un règlement d’application directe et uniforme dans l’UE, supervisé par l’AMF et l’ACPR pour les entités françaises. NIS2 couvre de nombreux secteurs ; DORA se limite aux entités financières et à leurs prestataires TIC. DORA est aussi plus prescriptif sur les détails TIC — registre d’informations, TLPT — que les mesures plus générales de gestion des risques de NIS2. Pour une entité financière concernée par les deux : déterminez d’abord vos obligations DORA pour le risque TIC, car elles sont les plus spécifiques et prescriptives. Puis vérifiez ce que NIS2 ajoute au-delà de la couverture DORA pour votre organisation.
Questions connexes