NIS 2 et DORA : Êtes-vous vraiment prêt ?
Date Published
.png&w=3840&q=100)
Deux textes européens majeurs redessinent en profondeur les obligations de cybersécurité des entreprises françaises. Entre amendes record, responsabilité des dirigeants et délais qui s'amenuisent, l'heure n'est plus à l'attente.
Par l'équipe next2i · Avril 2025 · 8 min de lecture
L'Europe a décidé de hausser le ton. Après des années de cyberattaques qui ont mis à genoux des hôpitaux, paralysé des infrastructures critiques et coûté des milliards aux entreprises, la réponse réglementaire est désormais sans équivoque : la cybersécurité n'est plus une option, c'est une obligation légale.
La directive NIS 2 et le règlement DORA constituent les deux piliers de cette nouvelle ère. Pour les dirigeants, DSI et RSSI français, comprendre ces textes n'est plus l'affaire des seuls juristes — c'est une responsabilité stratégique qui engage directement la pérennité de l'organisation.
18 000+entités françaises concernées par NIS 2
2 %du CA mondial en amendes maximales NIS 2
72 hpour notifier un incident critique à l'ANSSI
Jan. 2025date d'entrée en vigueur de DORA
La directive NIS 2 : une transformation profonde de la gouvernance cyber
Adoptée en décembre 2022 et transposée en droit français, la directive NIS 2 (Network and Information Security) élargit massivement le périmètre de son prédécesseur. Là où NIS 1 ciblait environ une centaine d'opérateurs, NIS 2 concerne plus de 18 000 entités françaises, réparties en deux catégories : les entités essentielles (EE) et les entités importantes (EI).
NIS 2 introduit pour la première fois une responsabilité personnelle des dirigeants en matière de cybersécurité. En cas de manquement grave, les instances dirigeantes peuvent être tenues directement responsables — y compris d'une interdiction temporaire d'exercer leurs fonctions.
Entités essentielles (EE)
Énergie, eau, transports
Santé et laboratoires pharmaceutiques
Administrations centrales de l'État
Infrastructures numériques critiques
Amendes : jusqu'à 10 M€ ou 2 % du CA mondial
Entités importantes (EI)
Industrie manufacturière
Services postaux et alimentaires
Fournisseurs numériques (cloud, SaaS…)
Gestion des déchets
Amendes : jusqu'à 7 M€ ou 1,4 % du CA mondial
Ce que NIS 2 exige concrètement
La directive impose un socle technique et organisationnel non négociable. Les mesures à implémenter couvrent notamment :
L'analyse de risques et la politique de sécurité des systèmes d'information
La gestion des incidents et la continuité d'activité
La sécurité de la chaîne d'approvisionnement et des fournisseurs
Le chiffrement des données et la politique de contrôle d'accès
La formation et la sensibilisation des collaborateurs à tous les niveaux
L'ANSSI, autorité de supervision nationale, dispose de nouveaux pouvoirs d'audit et de sanction. La déclaration d'incident sous 72 heures devient la norme, et le non-respect de cette obligation constitue en soi une infraction sanctionnable.
DORA : la résilience opérationnelle numérique au cœur du secteur financier
Entré en application le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) s'impose à l'ensemble du secteur financier européen : banques, assureurs, gestionnaires d'actifs, prestataires de paiement — mais aussi, et c'est une nouveauté majeure, leurs fournisseurs technologiques tiers.
DORA est un règlement européen à application directe. Contrairement à NIS 2, il ne nécessite aucune transposition nationale. Toute entité financière opérant en Europe est concernée immédiatement, sans délai supplémentaire.
Les cinq piliers de DORA
Gouvernance et gestion des risques ICT — cadre de gouvernance formalisé au niveau du conseil d'administration
Gestion et classification des incidents — processus de détection, notification et résolution des incidents ICT majeurs
Tests de résilience opérationnelle — tests de pénétration avancés (TLPT) pour les entités les plus critiques
Gestion des risques liés aux tiers ICT — cartographie et surveillance des prestataires technologiques
Partage d'informations sur les cybermenaces — participation aux dispositifs de partage sectoriels
La particularité de DORA réside dans son approche de la chaîne de sous-traitance. Pour la première fois, les prestataires cloud, éditeurs de logiciels et intégrateurs qui servent le secteur financier sont directement soumis à des exigences réglementaires — avec la possibilité pour les autorités de supervision de les auditer directement.
NIS 2 et DORA : comprendre les interactions
Une entreprise du secteur financier peut se retrouver soumise simultanément à NIS 2 et à DORA. Ces deux cadres sont complémentaires mais non redondants : NIS 2 pose le socle de sécurité général applicable à l'ensemble de l'économie, DORA l'affine et l'approfondit pour les risques spécifiques au secteur financier.
En pratique, la mise en conformité DORA constitue généralement un niveau d'exigence supérieur à NIS 2. Une entité déjà conforme à DORA est quasi automatiquement alignée avec NIS 2 — l'inverse n'est pas vrai.
Pour les établissements financiers soumis aux deux textes, le principe de lex specialis s'applique : DORA prime sur NIS 2 pour les obligations qui se chevauchent, simplifiant la gestion de la double conformité.
Par où commencer ? Le plan d'action en 4 étapes
La mise en conformité NIS 2 / DORA ne s'improvise pas. Voici la méthodologie structurée que nous recommandons :
Étape 1 — Identifier votre périmètre réglementaire (J0 à J30)
Avant tout, déterminez précisément si vous êtes concerné par NIS 2, DORA, ou les deux. Cartographiez vos actifs numériques critiques, identifiez vos fournisseurs ICT stratégiques et constituez une équipe projet dédiée impliquant la direction générale.
Étape 2 — Construire la gouvernance et la documentation (J30 à J90)
Formalisez votre politique de sécurité, mettez en place un processus de gestion des incidents, établissez le registre des fournisseurs ICT exigé par DORA et organisez la première session de formation des dirigeants — obligatoire sous NIS 2.
Étape 3 — Déployer les mesures techniques (J90 à J180)
Passez à l'implémentation : segmentation réseau, authentification multifacteur, gestion des accès privilégiés, supervision SOC/SIEM, chiffrement des données critiques. Testez votre plan de continuité d'activité dans des conditions réelles.
Étape 4 — Tests, validation et amélioration continue
Conduisez les tests d'intrusion requis (TLPT pour les entités DORA critiques), simulez des scénarios de crise cyber, procédez aux déclarations auprès de l'ANSSI ou des superviseurs sectoriels, et instaurez la revue annuelle de conformité.
next2i — Votre partenaire de référence
Pourquoi faire confiance à next2i pour votre mise en conformité ?
Depuis plus d'une décennie, next2i accompagne les organisations françaises dans la structuration et le renforcement de leur sécurité informatique. Face à NIS 2 et DORA, nous ne proposons pas un audit de conformité parmi d'autres — nous délivrons une transformation durable, ancrée dans la réalité opérationnelle de votre métier.
Notre approche couvre l'intégralité du cycle de conformité :
Diagnostic de maturité — évaluation précise de votre écart réglementaire en 5 jours ouvrés
Feuille de route priorisée — plan d'action concret, budgété et séquencé selon vos contraintes
Implémentation technique — déploiement des mesures par nos ingénieurs certifiés ISO 27001, CISSP et CISM
Gestion des tiers ICT — cartographie et qualification de votre chaîne de sous-traitance
Formation et sensibilisation — programmes certifiants pour équipes techniques et direction
Maintien en conformité — surveillance continue et adaptation aux évolutions réglementaires
Les entreprises qui anticipent NIS 2 et DORA aujourd'hui construisent la confiance de leurs clients et partenaires de demain. La conformité réglementaire, bien pilotée, devient un avantage compétitif durable.
