Guide réglementaire . Mis à jour pour 2025

Différences DORA contre NIS2 : ce que les équipes de conformité doivent vraiment savoir

Mis à jour le 2026-06-22
Points clés : DORA et NIS2 imposent tous deux la résilience opérationnelle dans l'UE, mais diffèrent par leur forme juridique, leur champ d'application sectoriel, leurs délais de notification d'incident, leurs sanctions et la surveillance des tiers.

Les deux réglementations sont entrées en vigueur en 2025. Toutes deux exigent une résilience opérationnelle. Mais elles diffèrent par leur champ d'application, leur mise en œuvre et ce qu'elles exigent de votre organisation. Voici l'analyse définitive : pas de jargon juridique, juste une clarté actionnable.

Télécharger gratuitement la matrice de comparaison DORA contre NIS2

Pas de mur d'inscription : juste votre e-mail. Inclut une matrice de comparaison imprimable avec des notes de mise en œuvre.

La confiance des équipes de conformité qui pilotent des programmes multi-entités à travers l'Europe

Constructeur aéronautique Zurzach Care Medtec AXA
Principales différences expliquées

Là où DORA et NIS2 divergent : et pourquoi c'est déterminant pour votre programme

Le tableau vous offre une vue d'ensemble. C'est sur ces six dimensions que les équipes de conformité trébuchent le plus souvent, et où bien faire les choses évite des mois de reprise.

01 . Instrument juridique

Règlement contre directive : tout change

DORA est un règlement de l'UE, directement applicable dans l'ensemble des 27 États membres sans transposition requise. Les règles sont identiques que vous opériez depuis Francfort ou Helsinki. NIS2 est une directive, ce qui signifie que chaque État membre doit la transposer en droit national. Cela crée une réelle divergence : les seuils de notification, les mécanismes d'application et même les entités concernées peuvent varier d'un pays à l'autre.

Pour les groupes multi-entités opérant dans plusieurs juridictions, la conformité à DORA constitue un seul programme. La conformité à NIS2 peut en exiger plusieurs : un pour chaque pays où vos entités sont enregistrées.

Résultat : les organisations disposant de filiales dans 5 pays de l'UE ou plus font face à jusqu'à 5 mises en œuvre distinctes de NIS2, alors que DORA demeure uniforme.

Source : règlement DORA (UE) 2022/2554 ; directive NIS2 (UE) 2022/2555

02 . Champ d'application & couverture sectorielle

Services financiers contre 18 secteurs critiques

DORA s'applique exclusivement au secteur financier : banques, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs et, surtout, leurs prestataires tiers de services TIC. Environ 22'000 entités entrent dans son champ d'application. NIS2 ratisse beaucoup plus large à travers 18 secteurs, dont l'énergie, les transports, la santé, les infrastructures numériques et l'administration publique, couvrant environ 160'000 entités dans l'ensemble de l'UE.

La confusion naît à l'intersection : un fournisseur d'infrastructures de marché financier peut relever des deux. Comprendre quelle réglementation prévaut (DORA, en tant que lex specialis) évite un travail de conformité en double.

Résultat : environ 160'000 entités dans le champ de NIS2 contre environ 22'000 sous DORA, mais c'est dans la zone de recoupement que les coûts de conformité s'envolent.

Source : analyses d'impact de la Commission européenne pour DORA et NIS2, 2022

03 . Délais de notification d'incident

4 heures contre 24 heures : la fenêtre qui prend les équipes au dépourvu

DORA exige une notification initiale à votre autorité de surveillance financière dans les 4 heures suivant la classification d'un incident majeur lié aux TIC, suivie d'un rapport intermédiaire dans les 72 heures et d'un rapport final dans un délai d'un mois. NIS2 offre une fenêtre initiale plus large, une alerte précoce dans les 24 heures, mais suit une trajectoire similaire : notification complète dans les 72 heures, rapport final dans un délai d'un mois.

Cette fenêtre de 4 heures de DORA signifie que les entités financières ont besoin de critères de classification des incidents et de modèles de notification préétablis avant qu'un incident ne survienne, et non pendant.

Résultat : la fenêtre de notification initiale de 4 heures de DORA est 6 fois plus serrée que l'exigence d'alerte précoce de 24 heures de NIS2.

Source : DORA art. 19 ; NIS2 art. 23

04 . Risque lié aux tiers & à la chaîne d'approvisionnement

DORA va plus loin dans la surveillance des fournisseurs . Bien plus loin

Les deux réglementations exigent des organisations qu'elles gèrent le risque de cybersécurité de la chaîne d'approvisionnement, mais la profondeur diffère radicalement. NIS2 exige des entités qu'elles évaluent la cybersécurité de leurs fournisseurs et prennent les mesures appropriées. DORA impose un cadre complet de gestion du risque lié aux tiers TIC, comprenant des exigences contractuelles, une analyse du risque de concentration et des stratégies de sortie pour les prestataires critiques.

Plus important encore, DORA introduit le cadre de superviseur principal (Lead Overseer), habilitant les autorités européennes de surveillance (AES) à superviser directement les prestataires tiers critiques de TIC. Aucun mécanisme équivalent n'existe sous NIS2.

Résultat : le cadre de superviseur principal de DORA instaure une supervision directe à l'échelle de l'UE des prestataires TIC critiques, une première dans la réglementation financière européenne.

Source : DORA chapitre V, section II ; NIS2 art. 21(2)(d)

05 . Obligations de test & de résilience

Tests de pénétration obligatoires contre exigences d'audit générales

DORA introduit un test de pénétration fondé sur la menace (TLPT) obligatoire tous les trois ans pour les entités financières importantes, sur le modèle du cadre TIBER-EU. Il ne s'agit pas d'analyses de vulnérabilités standard. Ce sont des exercices de red team simulant des tactiques d'adversaire réelles contre des systèmes de production critiques.

NIS2 adopte une approche plus large mais moins prescriptive, exigeant des entités qu'elles testent et auditent régulièrement leurs mesures de cybersécurité sans spécifier de TLPT ni de méthodologie de test particulière. L'implication pratique : les budgets de conformité DORA doivent prévoir des engagements de red team spécialisés que NIS2 n'exige pas.

Résultat : les exercices TLPT imposés par DORA coûtent généralement entre 200'000 € et 500'000 € par cycle aux entités financières importantes.

Source : DORA art. 26 ; estimations sectorielles de prestataires TLPT européens, 2024

06 . Sanctions & mise en œuvre

Amendes journalières contre plafonds liés au chiffre d'affaires . Des points de pression différents

NIS2 suit le modèle de sanctions du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes. Il s'agit d'amendes plafonnées, ponctuelles, imposées après une constatation de non-conformité.

DORA introduit un mécanisme différent : des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen, par jour, jusqu'à la mise en conformité. Pour une entité financière dont le revenu annuel s'élève à 1 milliard d'euros, cela représente environ 27'000 € par jour de non-conformité. Le caractère cumulatif des sanctions de DORA rend toute remédiation tardive exponentiellement coûteuse.

Résultat : le modèle d'amende journalière de DORA signifie qu'une entité réalisant 1 milliard d'euros de revenu fait face à environ 27'000 €/jour jusqu'à la mise en conformité, un calcul de risque fondamentalement différent des amendes plafonnées de NIS2.

Source : DORA art. 35(8) ; NIS2 art. 34

Côte à côte

DORA contre NIS2 : tableau de comparaison de référence rapide

Une version imprimable est incluse dans la matrice de comparaison gratuite ci-dessous.

Dimension DORA NIS2
Instrument juridique Règlement , directement applicable dans tous les États membres de l'UE Directive , nécessite une transposition nationale (variable selon les pays)
Date d'entrée en vigueur 17.01.2025 18.10.2024 (date limite de transposition) ; application variable selon l'État membre
Champ d'application sectoriel Secteur financier uniquement (environ 22'000 entités) 18 secteurs critiques (environ 160'000 entités)
Classification des entités Par type d'entité financière (banques, assureurs, entreprises d'investissement, etc.) Entités essentielles contre entités importantes (selon la taille et le secteur)
Rapport d'incident initial 4 heures après la classification 24 heures (alerte précoce)
Rapport intermédiaire 72 heures 72 heures (notification complète)
Rapport final 1 mois 1 mois
Surveillance des tiers Cadre de superviseur principal , supervision directe des AES sur les prestataires TIC critiques Obligations générales de gestion du risque de la chaîne d'approvisionnement
Exigences de test TLPT obligatoire tous les 3 ans pour les entités importantes Tests et audits réguliers (méthodologie non prescrite)
Sanctions Jusqu'à 1 % du chiffre d'affaires mondial journalier moyen , par jour Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial (essentielles) ; 7 M€ ou 1,4 % (importantes)
Autorité de surveillance Autorités nationales de surveillance financière + AES CSIRT nationaux et autorités compétentes
Règle de recoupement Lex specialis . DORA prévaut pour les entités financières Renvoie à la réglementation sectorielle spécifique le cas échéant

Sources : règlement DORA (UE) 2022/2554 ; directive NIS2 (UE) 2022/2555 ; analyses d'impact de la Commission européenne, 2022

200+

Heures gagnées sur la gestion du registre des traitements

Medtec a réaffecté plus de 200 heures de la documentation manuelle du registre des traitements à la préparation de l'ISO 27001 dès sa première année sur Priverion

60 %

De temps administratif de conformité en moins

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois sur la plateforme

3 mois

D'avance sur le calendrier ISO 27001

Medtec a obtenu des dossiers de preuves prêts pour l'audit trois mois avant son calendrier de certification ISO 27001 grâce à la documentation automatisée de Priverion

Ressource gratuite

Téléchargez la matrice de comparaison DORA contre NIS2

Une référence imprimable et partageable couvrant les six dimensions : champ d'application, délais, sanctions, tests, surveillance des tiers et règle de recoupement. Inclut des notes de mise en œuvre pour les organisations multi-entités.

Votre e-mail sert uniquement à vous envoyer le PDF. Pas de spam, pas de campagnes répétées. Désabonnement à tout moment.

Ce qui est inclus

  • Tableau de comparaison côte à côte (format A4 prêt à imprimer)
  • Les six dimensions de différence avec les références aux articles réglementaires
  • Notes de mise en œuvre pour les organisations multi-entités et multi-juridictions
  • Analyse du recoupement : quand DORA et NIS2 s'appliquent tous deux à la même entité
  • Référence de calcul des sanctions : amendes journalières DORA contre plafonds NIS2
Comparaison

Pourquoi les entreprises du mid-market délaissent OneTrust

OneTrust s'adressait à un profil d'acheteur étendu, y compris des organisations du Fortune 500 dotées d'équipes GRC dédiées plus importantes. Vous avez besoin d'une conformité de niveau entreprise, sans la complexité, le budget ni les six mois de mise en œuvre d'une entreprise.

L'expérience OneTrust

Tarification par utilisateur et par module

Les coûts explosent à mesure que vous ajoutez des filiales, des modules et des membres d'équipe. Les mauvaises surprises budgétaires sont la norme, pas l'exception.

Infrastructure hébergée aux États-Unis

Depuis Schrems II, le transfert de données personnelles vers des plateformes hébergées aux États-Unis introduit un risque juridique que la plupart des équipes juridiques européennes ne sont pas à l'aise d'avaliser.

Taxe de complexité

Plus de 200 fonctionnalités que vous n'utiliserez jamais. Des mois de mise en œuvre. Des consultants dédiés requis ne serait-ce que pour configurer les bases.

Large mais superficiel

Couvre l'ESG, l'éthique, le consentement aux cookies et tout le reste, mais la gestion de la confidentialité multi-entités, ce dont vous avez réellement besoin, se perd dans la dispersion.

Lent à créer de la valeur

Des mises en œuvre d'entreprise s'étirant sur 6 à 12 mois avant que votre équipe ne constate un retour sur investissement significatif.

L'expérience Priverion

Tarification prévisible et transparente

Basée sur le nombre d'entités et la taille de l'organisation, pas par utilisateur ni par module. Ajoutez des membres d'équipe sans voir votre facture grimper. Aucun piège d'expansion.

Hébergement en Suisse, résidence des données en Europe

Tout le traitement des données reste au sein de l'infrastructure suisse. Dans un monde post-Schrems II, ce n'est pas une case marketing à cocher . c'est la confiance juridique dont vos responsables juridiques ont réellement besoin pour donner leur aval.

Une UX épurée, conçue pour les praticiens

Conçue par un consultant en protection des données qui a vécu les difficultés. Les DPD et les responsables de la conformité s'y retrouvent sans manuels de formation. Les responsables d'unités opérationnelles réalisent leurs recertifications sans courir après l'informatique.

Approfondi là où ça compte

Registre des traitements, AIPD, risque fournisseurs, demandes des personnes concernées, gestion des incidents, cartographie des données inter-entités et conformité assistée par l'IA, le tout sur une seule plateforme. Nous ne couvrons ni l'ESG ni le consentement aux cookies, car nous nous concentrons sur ce dont les DPD de groupe ont réellement besoin.

Opérationnel en quelques semaines

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses six premiers mois. AXA a atteint 100 % de recertification automatisée du registre des traitements. Vous obtenez de la valeur avant même qu'une mise en œuvre traditionnelle n'achève son cadrage.

Constructeur aéronautique : 6 premiers mois après le déploiement. AXA : mesuré sur un cycle complet de recertification du registre des traitements.

Arrêtez de gérer la confidentialité dans des tableurs

Découvrez à quoi ressemble la gestion de la confidentialité à l'échelle du groupe quand elle fonctionne vraiment

En 30 minutes, nous vous montrerons comment des organisations telles qu'un constructeur aéronautique et Zurzach Care ont automatisé la conformité à travers chaque filiale, et comment la même approche s'adapte à la structure de votre groupe. Pas de diapositives. Pas d'argumentaire commercial. Juste la plateforme, vos questions et des réponses honnêtes.

60 %

De temps administratif de conformité en moins , constructeur aéronautique, 6 premiers mois

200+

Heures gagnées sur la préparation de l'audit , Medtec, ISO 27001

Semaines

Pour être opérationnel , pas des mois

Réserver une démonstration de 30 minutes

Conçu en Suisse. Hébergé en Suisse. Tarification prévisible sans pièges par utilisateur.