L’Union européenne a renforcé son arsenal réglementaire en cybersécurité. Avec l’entrée en vigueur de la directive NIS2 et du règlement DORA, deux textes majeurs imposent de nouvelles obligations à un nombre croissant d’entreprises, bien au-delà des seules grandes structures. Ces cadres visent un objectif commun : mieux protéger les organisations face aux cybermenaces, en renforçant leur niveau de sécurité et leur capacité à faire face aux incidents numériques.
NIS2 élargit le périmètre des entités soumises à des exigences de cybersécurité dans des secteurs jugés critiques : santé, énergie, transport, numérique, gestion de l’eau… De son côté, DORA cible spécifiquement les acteurs du secteur financier et leurs prestataires, pour garantir la résilience opérationnelle des services face aux risques informatiques. Deux approches différentes, mais qui convergent dans les faits.
Vous dirigez une entreprise du numérique, un cabinet d’expertise, une société de services ou un éditeur de logiciel ? Même sans être directement concerné, vous pourriez devoir répondre à ces exigences du fait de votre rôle dans une chaîne de valeur ou des attentes de vos clients.
Dans cet article, vous allez découvrir :
- Ce que prévoient concrètement les cadres NIS2 et DORA ;
- Qui est concerné directement, ou par effet de chaîne ;
- En quoi ces deux textes se complètent sans se chevaucher ;
- Et enfin, comment s’y préparer efficacement, même sans expertise cyber dédiée.
Objectif : vous aider à y voir clair, à anticiper les impacts pour votre entreprise, et à concentrer vos efforts là où cela compte vraiment.
1. NIS2 et DORA : que prévoient ces deux réglementations ?
1.1 NIS2 : renforcer la cybersécurité des secteurs critiques
Adoptée fin 2022, la directive NIS2 (Network and Information Security) marque une montée en puissance des exigences européennes en matière de cybersécurité. Elle vient remplacer la directive NIS1 de 2016, jugée trop limitée dans son champ d’application et son efficacité.
L’objectif de NIS2 est clair : renforcer la sécurité des réseaux et des systèmes d’information dans les secteurs jugés essentiels à la société et à l’économie. Pour cela, elle élargit considérablement le périmètre des organisations concernées : santé, énergie, transport, eau, services numériques, administrations… Toutes les entreprises considérées comme « essentielles » ou « importantes » devront désormais se conformer à des obligations précises, dès lors qu’elles dépassent un certain seuil de taille (au moins 50 salariés et 10 millions d’euros de chiffre d’affaires).
Parmi les exigences imposées :
- Une gouvernance cybersécurité avec implication de la direction ;
- Une gestion structurée des risques numériques ;
- La déclaration obligatoire d’incidents majeurs dans des délais stricts ;
- La possibilité de contrôles et d’audits par les autorités compétentes (comme l’ANSSI en France).
1.2 DORA : garantir la résilience opérationnelle du secteur financier
Le règlement DORA (Digital Operational Resilience Act), adopté en 2022 également, s’inscrit dans une logique complémentaire. Contrairement à NIS2, DORA ne s’applique pas à tous les secteurs : il vise spécifiquement le secteur financier et ses prestataires technologiques critiques.
Banques, assureurs, gestionnaires d’actifs, fintechs… toutes ces structures devront, dès janvier 2025, démontrer leur capacité à prévenir, détecter, résister et se remettre d’un incident numérique majeur. Le cœur du texte repose sur la notion de résilience opérationnelle : il ne s’agit pas seulement de protéger les systèmes, mais d’assurer la continuité de service, même en cas de cyberattaque ou de défaillance technologique.
Les obligations introduites par DORA incluent :
- Une cartographie des risques TIC (technologies de l’information et de la communication) ;
- Des tests réguliers de résilience (notamment des simulations d’attaques) ;
- La gestion rigoureuse des prestataires TIC (avec des clauses contractuelles spécifiques) ;
- Un dispositif formalisé de gestion et de déclaration des incidents.
Encadré : les 5 piliers du cadre DORA, avec exemples concrets
| Pilier DORA | Ce que cela implique concrètement |
| 1. Gestion des risques TIC | Cartographier vos outils et prestataires numériques |
| 2. Gestion des incidents | Mettre en place une procédure de détection et de déclaration |
| 3. Tests de résilience opérationnelle | Simuler une attaque ou une panne pour vérifier la continuité |
| 4. Gestion des prestataires TIC | Référencer vos fournisseurs critiques, vérifier leurs engagements |
| 5. Partage d’informations | Être prêt à coopérer avec les autorités en cas de cybermenace majeure |
DORA, NIS2, ces deux textes définissent un socle d’exigences robuste et structuré en matière de cybersécurité. Mais avant de parler de mise en œuvre, une question centrale reste à clarifier : votre entreprise est-elle concernée, et à quel titre ?
2. Qui est concerné par NIS2 et DORA ?
2.1 NIS2 : entités essentielles et importantes, selon le secteur et la taille
La directive NIS2 élargit fortement le champ des entreprises soumises à des obligations de cybersécurité. Elle repose sur deux critères principaux : le secteur d’activité et la taille de l’entreprise.
Elle distingue :
- Les entités essentielles (secteurs critiques comme la santé, l’énergie, les transports, l’eau ou les infrastructures numériques)
- Les entités importantes (secteurs sensibles comme les services numériques, les communications, la logistique ou la production de denrées alimentaires)
Une entreprise est automatiquement concernée si elle remplit les deux conditions suivantes :
- Elle appartient à l’un des secteurs listés par la directive
- Elle compte au moins 50 salariés et réalise plus de 10 millions d’euros de chiffre d’affaires annuel
L’application est automatique : il n’y a pas besoin d’attendre une désignation officielle par une autorité. Ce mécanisme renforce la responsabilité des dirigeants, qui doivent évaluer eux-mêmes si leur entreprise entre dans le périmètre.
Point d’attention : les prestataires (ex. : éditeurs, hébergeurs, infogéreurs) travaillant pour une entité concernée peuvent aussi l’être indirectement, en raison de leur rôle dans la chaîne de valeur.
2.2 DORA : secteur financier et prestataires TIC critiques
Le règlement DORA s’adresse d’abord aux acteurs du secteur financier :
- Banques et établissements de crédit
- Sociétés de gestion, compagnies d’assurances et mutuelles
- Fintechs, entreprises d’investissement, infrastructures de marché
Mais il va plus loin. Il inclut également les prestataires technologiques critiques, c’est-à-dire les fournisseurs dont les services sont indispensables au bon fonctionnement des activités financières. Cela peut inclure :
- Des ESN ou infogéreurs qui gèrent les systèmes informatiques d’un établissement financier
- Des éditeurs de logiciels métier utilisés pour la gestion de portefeuilles ou les services clients
- Des hébergeurs cloud ou fournisseurs d’infrastructures en mode SaaS
Ce périmètre large est pensé pour maîtriser les risques de sous-traitance numérique dans le secteur financier. Une PME peut donc être concernée par DORA, non pas pour ce qu’elle est, mais pour qui elle sert.
Tableau comparatif : Êtes-vous concerné par DORA ou NIS2 ?
| Critère | NIS2 | DORA |
| Secteurs ciblés | Santé, énergie, transport, numérique, etc. | Finance : banques, assurances, fintechs |
| Taille minimale | ≥ 50 salariés + ≥ 10 M€ de CA | Pas de seuil fixe : dépend du statut ou du rôle |
| Prestataires concernés | Oui, si sous-traitants d’entités couvertes | Oui, si prestataires TIC critiques |
| Entrée en application | En cours de transposition dans la loi française (été 2025) | 17 janvier 2025 |
En clair : même si vous n’êtes pas dans un secteur « réglementé », vous pouvez être concerné si vous fournissez des services numériques à un acteur qui, lui, l’est. D’où l’intérêt d’évaluer votre position dans la chaîne de valeur.
3. Quels liens entre DORA et NIS2 ? Complémentaires ou redondants ?
3.1 Deux logiques, un objectif commun
NIS2 et DORA ne sont pas redondants, mais bien complémentaires. Ils s’inscrivent dans deux logiques différentes, tout en poursuivant un objectif commun : renforcer la sécurité numérique et la résilience des services essentiels à l’échelle de l’Union européenne.
- NIS2 est une directive à vocation horizontale : elle s’applique à un large éventail de secteurs (santé, énergie, numérique, transport, alimentation, services publics…). Son objectif principal est de mieux encadrer la cybersécurité des infrastructures critiques et de renforcer l’harmonisation entre États membres.
- DORA, quant à lui, est un règlement sectoriel : il cible uniquement le secteur financier. Mais il ne se limite pas à la cybersécurité : il englobe aussi la gestion des risques opérationnels liés aux technologies numériques, y compris la continuité d’activité, les tests de résilience et la gestion des tiers. L’objectif est d’éviter qu’une défaillance technologique ou une attaque ne déstabilise tout un pan du système financier européen.
Dans les deux cas, les entreprises concernées doivent :
- Mettre en place une gouvernance claire sur les risques numériques
- Être en mesure de déclarer rapidement un incident
- Documenter leurs mesures de sécurité et leur plan de gestion de crise
- Et surtout, impliquer la direction dans le pilotage de ces sujets
Ces obligations créent un socle commun qui pousse l’ensemble des organisations, grandes ou petites, à professionnaliser leur approche de la cybersécurité.
Directive vs règlement : comprendre la différence
| Directive (NIS2) | Règlement (DORA) |
| Doit être transposée dans le droit national de chaque État membre | S’applique directement dans tous les pays de l’UE, sans transposition |
| Peut impliquer des différences d’application d’un pays à l’autre | Même cadre juridique pour tous les acteurs concernés |
| Entrée en vigueur nationale en cours (prévue autour de l’été 2025) | Applicabilité directe à partir de janvier 2025 |
3.2 Pourquoi votre entreprise peut être indirectement concernée
Même si votre entreprise ne relève ni de NIS2, ni de DORA au sens strict, vous pouvez être concerné de manière indirecte, par effet de chaîne.
Par exemple :
- Vous êtes éditeur de logiciel SaaS utilisé dans une banque ? Vous entrez dans le périmètre DORA.
- Vous êtes hébergeur cloud d’une entreprise d’eau ou de santé ? Vous entrez dans le périmètre NIS2.
- Vous êtes prestataire IT d’un opérateur de transport ? Vous êtes indirectement concerné par NIS2 et ses exigences.
Dans ces cas, vos clients soumis à NIS2 ou DORA attendront de vous des garanties concrètes :
- Clauses contractuelles sur la sécurité et la continuité d’activité
- Politique de gestion des incidents
- Justificatifs de tests ou d’audits réalisés
Si vous ne pouvez pas démontrer une certaine maturité sur ces sujets, vous risquez de perdre des opportunités commerciales, ou de vous retrouver exclu de certains marchés.
C’est pourquoi il devient essentiel d’intégrer ces exigences réglementaires dans vos propres pratiques internes. Même une PME peut poser les premiers jalons : cartographie des services exposés, désignation d’un référent, documentation des procédures… Ce n’est pas tant une question de taille que de rigueur et d’anticipation.
4. Comment se préparer concrètement ?
Face à l’arrivée de NIS2 et DORA, il peut être tentant de repousser la mise en conformité par manque de temps ou de ressources. Pourtant, même sans être expert en cybersécurité, vous pouvez poser les bases d’une démarche solide, adaptée à votre structure. L’objectif n’est pas de tout faire en une fois, mais de progresser étape par étape, en priorisant ce qui compte vraiment.
4.1 Démarrer par une gouvernance claire
La première action consiste à formaliser qui pilote la cybersécurité dans l’entreprise. Cela ne nécessite pas forcément la création d’un poste dédié, mais une désignation explicite d’un référent cybersécurité, interne ou externe (ex. : prestataire IT, associé, responsable informatique…).
Ensuite, il est essentiel d’élaborer une politique de sécurité simple mais documentée. Elle peut inclure :
- Les règles de gestion des mots de passe et des accès
- Le recours systématique à l’authentification multifacteur (MFA)
- La fréquence des sauvegardes et leur localisation
- Les procédures à suivre en cas d’incident
Pour les entreprises concernées par DORA, cette politique doit intégrer un volet continuité d’activité : comment maintenir les services en cas de panne, cyberattaque ou indisponibilité d’un prestataire critique.
4.2 Réaliser un audit de votre exposition
Avant de mettre en place des mesures, encore faut-il savoir ce que votre entreprise expose réellement sur internet. Cela inclut :
- Vos services accessibles depuis l’extérieur (site web, messagerie, portail client…)
- Vos dépendances critiques (prestataires, hébergeurs, SaaS…)
- Vos points faibles potentiels (logiciels obsolètes, ports ouverts, mots de passe faibles)
Des plateformes comme Sekost permettent de réaliser un diagnostic automatisé à distance, à partir d’un simple nom de domaine. Sans installation ni interruption, l’outil identifie les services exposés, détecte les vulnérabilités connues, et génère un plan d’action lisible, même sans formation technique. C’est une manière rapide de poser un premier diagnostic objectif, sur lequel fonder vos priorités.
4.3 Structurer votre démarche : progresser par paliers
Une fois la cartographie réalisée, il s’agit de définir un plan d’action structuré. Plutôt que de viser une conformité totale immédiate, concentrez-vous sur trois volets essentiels :
- Gestion des incidents
Définissez un processus simple pour détecter, enregistrer et signaler les incidents. Même un tableau partagé ou un formulaire interne peut suffire dans un premier temps. - Dépendances critiques
Identifiez vos prestataires clés et demandez-leur des garanties (SLA, politique de sécurité, plan de reprise…). - Sensibilisation et bonnes pratiques
Organisez une courte session d’information pour vos collaborateurs sur les risques courants (phishing, mots de passe, erreurs humaines…).
Priorisez selon vos obligations (client, secteur, réglementation) et documentez chaque étape, même sommairement. En cas de contrôle, c’est la preuve d’une démarche engagée et évolutive.
Même si vous ne relevez pas directement de DORA ou NIS2, vous pouvez vous inspirer de ces piliers pour structurer votre propre démarche. L’important est d’agir avec méthode, plutôt que de subir les exigences au dernier moment.
Conclusion
Avec NIS2 et DORA, l’Union européenne envoie un signal clair : la cybersécurité et la résilience numérique ne sont plus des sujets réservés aux experts ou aux grandes entreprises. Ces textes traduisent une attente croissante de rigueur, de transparence et de continuité face à la montée des cybermenaces. Et cette attente ne se limite pas aux acteurs directement visés par les textes.
Même si votre entreprise ne relève pas formellement de NIS2 ou DORA, vous pouvez être impacté par effet de chaîne. En tant que fournisseur, sous-traitant ou éditeur, vos clients peuvent vous demander des garanties concrètes : politique de sécurité, gestion des incidents, audits de vos services. Attendre la dernière minute ou sous-estimer ces enjeux peut entraîner des pertes commerciales, des tensions contractuelles ou des difficultés à répondre à des appels d’offres.
Au lieu de subir, mieux vaut structurer une démarche progressive. Désigner un référent, auditer votre exposition, documenter vos priorités : ces premières étapes sont accessibles, même sans équipe dédiée. L’essentiel est de montrer que vous prenez le sujet au sérieux.
Anticiper, documenter, structurer : trois réflexes simples qui peuvent faire la différence entre subir une exigence… ou en faire un levier de confiance durable.
