DORA (règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier) est pleinement applicable depuis le 17 janvier 2025. NIS2 est la directive cyber horizontale. Pour les entités financières, ils se recouvrent largement — mais DORA est lex specialis au titre de l'article 4 de NIS2 : lorsque les deux pourraient s'appliquer, DORA prévaut. Cette page est la correspondance complète plus la règle de décision claire sur la pendule à laquelle vous répondez réellement.
Au titre de l'article 4 de NIS2, lorsqu'un acte sectoriel de l'Union (ici, DORA) impose des obligations équivalentes ou plus strictes, l'acte sectoriel prévaut. Pour les établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d'investissement, prestataires de services sur crypto-actifs, entreprises d'assurance et de réassurance, et autres entités financières listées à l'article 2 de DORA : DORA est votre pendule principale. NIS2 reste applicable aux points spécifiques où DORA est muet (par exemple certaines formulations sur la formation du personnel).
Nature: Directive UE (transposée en droit national dans chaque État membre)
En vigueur: Les États membres devaient transposer pour le 17 octobre 2024
Qui: Entités essentielles / importantes dans ~18 secteurs
Sanctions: Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles
Notifications: CSIRT national (ANSSI / BSI / ACN / CNCS …)
Gouvernance: Article 20 — responsabilité et formation de l'organe de direction
Nature: Règlement UE (directement applicable — pas de transposition)
En vigueur: Pleinement applicable depuis le 17 janvier 2025
Qui: Entités financières listées à l'art. 2 + leurs prestataires tiers critiques de services TIC
Sanctions: Jusqu'à 1 % du chiffre d'affaires quotidien mondial moyen ; pénalités journalières ; sanctions pénales dans certains EM
Notifications: Autorité financière compétente (ACPR / BaFin / Banca d'Italia / CSSF / CONSOB …) — PAS le CSIRT national
Gouvernance: Art. 5 — l'organe de direction est pleinement responsable du cadre de gestion des risques liés aux TIC
Cette correspondance fait actuellement l'objet d'une revue indépendante par un praticien externe DORA / GRC services financiers UE. La cartographie reflète l'analyse technique de Reglyze ; le badge « revue signée » apparaîtra ici à la clôture de l'engagement.
Chaque mesure minimale NIS2 a une obligation équivalente ou plus exigeante dans DORA. Les lignes marquées « DORA prime (lex specialis) » sont celles pour lesquelles vous ne devez PAS bâtir un programme NIS2 seul si vous êtes une entité financière — DORA prévaut et l'auditeur parcourt le registre DORA, pas le registre NIS2.
La cote de recouvrement reflète à quel point la substance de l'article NIS2 est couverte par les articles DORA listés. Le badge « DORA prime (lex specialis) » marque les lignes où DORA prévaut sur NIS2 pour les entités financières au titre de l'article 4 de NIS2.
Risk analysis and information system security policies
DORA: Art. 5–6, Art. 8–9 — ICT risk management framework + governance and organization + identification of ICT-supported business functions
Incident handling
DORA: Art. 17–22 — ICT-related incident management, classification, reporting to competent authorities, RTS 2024/1772
Business continuity and crisis management
DORA: Art. 11–13 — Response & recovery policy, backup policies, learning and evolving
Supply chain security
DORA: Art. 28–30 — ICT third-party risk management — contractual provisions, register of information, exit strategies
Security in acquisition, development and maintenance
DORA: Art. 8(7), Art. 9(4) — ICT systems acquisition and maintenance + ICT change management
Policies and procedures to assess effectiveness
DORA: Art. 6(5), Art. 24–27 — Periodic review of the ICT risk management framework + digital operational resilience testing (TLPT for the largest entities)
Basic cyber hygiene and training
DORA: Art. 13 — Learning and evolving — staff training on ICT risk management
Cryptography and encryption
DORA: Art. 9(2), Art. 9(4)(c) — Protection of ICT assets — confidentiality, integrity, authenticity
HR security, access control, asset management
DORA: Art. 8(1)–(4), Art. 9(4)(b) — Identification and classification of ICT-supported business functions and information assets + access management
MFA, secure communications, secure emergency comms
DORA: Art. 9(4)(d), Art. 9(4)(e) — Strong authentication mechanisms + secure network communications
Board oversight and accountability
DORA: Art. 5 — Management body — full ownership of ICT risk management framework, approves strategy, allocates resources
Management body training
DORA: Art. 5(4) — Management body members shall actively keep up-to-date sufficient knowledge and skills to understand and assess ICT risk
DORA est votre obligation principale. Vous notifiez les incidents liés aux TIC à votre autorité financière compétente (pas au CSIRT national). Vous tenez le registre d'informations DORA pour les accords avec des tiers TIC (art. 28(3)). Votre organe de direction est pleinement responsable du cadre de gestion des risques TIC (art. 5). NIS2 reste applicable pour les rares points que DORA ne couvre pas — votre autorité compétente précisera ces points.
Ce que vous devez réellement faire :
Si vous êtes un prestataire tiers critique de services TIC (cloud, logiciel, MSP, processeur de paiement, etc.) fournissant une entreprise régulée par DORA, les articles 28–30 de DORA vous atteindront via vos contrats même si vous n'êtes pas vous-même une entité financière. NIS2 reste votre obligation réglementaire principale, mais attendez-vous à des exigences contractuelles d'inspiration DORA (délais de notification d'incidents, droits d'audit, clauses de sortie).
Ce que les clients entités financières exigeront de vous :
Lancez une évaluation des écarts gratuite. Reglyze fait apparaître les articles NIS2 soumis à la dérogation lex specialis de DORA et ceux qui s'appliquent encore — pour que votre travail de conformité services financiers se concentre sur le bon registre.