Différences DORA contre NIS2 : ce que les équipes de conformité doivent vraiment savoir
Les deux réglementations sont entrées en vigueur en 2025. Toutes deux exigent une résilience opérationnelle. Mais elles diffèrent par leur champ d'application, leur mise en œuvre et ce qu'elles exigent de votre organisation. Voici l'analyse définitive : pas de jargon juridique, juste une clarté actionnable.
Télécharger gratuitement la matrice de comparaison DORA contre NIS2Pas de mur d'inscription : juste votre e-mail. Inclut une matrice de comparaison imprimable avec des notes de mise en œuvre.
Là où DORA et NIS2 divergent : et pourquoi c'est déterminant pour votre programme
Le tableau vous offre une vue d'ensemble. C'est sur ces six dimensions que les équipes de conformité trébuchent le plus souvent, et où bien faire les choses évite des mois de reprise.
01 . Instrument juridique
Règlement contre directive : tout change
DORA est un règlement de l'UE, directement applicable dans l'ensemble des 27 États membres sans transposition requise. Les règles sont identiques que vous opériez depuis Francfort ou Helsinki. NIS2 est une directive, ce qui signifie que chaque État membre doit la transposer en droit national. Cela crée une réelle divergence : les seuils de notification, les mécanismes d'application et même les entités concernées peuvent varier d'un pays à l'autre.
Pour les groupes multi-entités opérant dans plusieurs juridictions, la conformité à DORA constitue un seul programme. La conformité à NIS2 peut en exiger plusieurs : un pour chaque pays où vos entités sont enregistrées.
Résultat : les organisations disposant de filiales dans 5 pays de l'UE ou plus font face à jusqu'à 5 mises en œuvre distinctes de NIS2, alors que DORA demeure uniforme.
Source : règlement DORA (UE) 2022/2554 ; directive NIS2 (UE) 2022/2555
02 . Champ d'application & couverture sectorielle
Services financiers contre 18 secteurs critiques
DORA s'applique exclusivement au secteur financier : banques, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs et, surtout, leurs prestataires tiers de services TIC. Environ 22'000 entités entrent dans son champ d'application. NIS2 ratisse beaucoup plus large à travers 18 secteurs, dont l'énergie, les transports, la santé, les infrastructures numériques et l'administration publique, couvrant environ 160'000 entités dans l'ensemble de l'UE.
La confusion naît à l'intersection : un fournisseur d'infrastructures de marché financier peut relever des deux. Comprendre quelle réglementation prévaut (DORA, en tant que lex specialis) évite un travail de conformité en double.
Résultat : environ 160'000 entités dans le champ de NIS2 contre environ 22'000 sous DORA, mais c'est dans la zone de recoupement que les coûts de conformité s'envolent.
Source : analyses d'impact de la Commission européenne pour DORA et NIS2, 2022
03 . Délais de notification d'incident
4 heures contre 24 heures : la fenêtre qui prend les équipes au dépourvu
DORA exige une notification initiale à votre autorité de surveillance financière dans les 4 heures suivant la classification d'un incident majeur lié aux TIC, suivie d'un rapport intermédiaire dans les 72 heures et d'un rapport final dans un délai d'un mois. NIS2 offre une fenêtre initiale plus large, une alerte précoce dans les 24 heures, mais suit une trajectoire similaire : notification complète dans les 72 heures, rapport final dans un délai d'un mois.
Cette fenêtre de 4 heures de DORA signifie que les entités financières ont besoin de critères de classification des incidents et de modèles de notification préétablis avant qu'un incident ne survienne, et non pendant.
Résultat : la fenêtre de notification initiale de 4 heures de DORA est 6 fois plus serrée que l'exigence d'alerte précoce de 24 heures de NIS2.
Source : DORA art. 19 ; NIS2 art. 23
04 . Risque lié aux tiers & à la chaîne d'approvisionnement
DORA va plus loin dans la surveillance des fournisseurs . Bien plus loin
Les deux réglementations exigent des organisations qu'elles gèrent le risque de cybersécurité de la chaîne d'approvisionnement, mais la profondeur diffère radicalement. NIS2 exige des entités qu'elles évaluent la cybersécurité de leurs fournisseurs et prennent les mesures appropriées. DORA impose un cadre complet de gestion du risque lié aux tiers TIC, comprenant des exigences contractuelles, une analyse du risque de concentration et des stratégies de sortie pour les prestataires critiques.
Plus important encore, DORA introduit le cadre de superviseur principal (Lead Overseer), habilitant les autorités européennes de surveillance (AES) à superviser directement les prestataires tiers critiques de TIC. Aucun mécanisme équivalent n'existe sous NIS2.
Résultat : le cadre de superviseur principal de DORA instaure une supervision directe à l'échelle de l'UE des prestataires TIC critiques, une première dans la réglementation financière européenne.
Source : DORA chapitre V, section II ; NIS2 art. 21(2)(d)
05 . Obligations de test & de résilience
Tests de pénétration obligatoires contre exigences d'audit générales
DORA introduit un test de pénétration fondé sur la menace (TLPT) obligatoire tous les trois ans pour les entités financières importantes, sur le modèle du cadre TIBER-EU. Il ne s'agit pas d'analyses de vulnérabilités standard. Ce sont des exercices de red team simulant des tactiques d'adversaire réelles contre des systèmes de production critiques.
NIS2 adopte une approche plus large mais moins prescriptive, exigeant des entités qu'elles testent et auditent régulièrement leurs mesures de cybersécurité sans spécifier de TLPT ni de méthodologie de test particulière. L'implication pratique : les budgets de conformité DORA doivent prévoir des engagements de red team spécialisés que NIS2 n'exige pas.
Résultat : les exercices TLPT imposés par DORA coûtent généralement entre 200'000 € et 500'000 € par cycle aux entités financières importantes.
Source : DORA art. 26 ; estimations sectorielles de prestataires TLPT européens, 2024
06 . Sanctions & mise en œuvre
Amendes journalières contre plafonds liés au chiffre d'affaires . Des points de pression différents
NIS2 suit le modèle de sanctions du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes. Il s'agit d'amendes plafonnées, ponctuelles, imposées après une constatation de non-conformité.
DORA introduit un mécanisme différent : des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen, par jour, jusqu'à la mise en conformité. Pour une entité financière dont le revenu annuel s'élève à 1 milliard d'euros, cela représente environ 27'000 € par jour de non-conformité. Le caractère cumulatif des sanctions de DORA rend toute remédiation tardive exponentiellement coûteuse.
Résultat : le modèle d'amende journalière de DORA signifie qu'une entité réalisant 1 milliard d'euros de revenu fait face à environ 27'000 €/jour jusqu'à la mise en conformité, un calcul de risque fondamentalement différent des amendes plafonnées de NIS2.
Source : DORA art. 35(8) ; NIS2 art. 34
DORA contre NIS2 : tableau de comparaison de référence rapide
Une version imprimable est incluse dans la matrice de comparaison gratuite ci-dessous.
| Dimension | DORA | NIS2 |
|---|---|---|
| Instrument juridique | Règlement , directement applicable dans tous les États membres de l'UE | Directive , nécessite une transposition nationale (variable selon les pays) |
| Date d'entrée en vigueur | 17.01.2025 | 18.10.2024 (date limite de transposition) ; application variable selon l'État membre |
| Champ d'application sectoriel | Secteur financier uniquement (environ 22'000 entités) | 18 secteurs critiques (environ 160'000 entités) |
| Classification des entités | Par type d'entité financière (banques, assureurs, entreprises d'investissement, etc.) | Entités essentielles contre entités importantes (selon la taille et le secteur) |
| Rapport d'incident initial | 4 heures après la classification | 24 heures (alerte précoce) |
| Rapport intermédiaire | 72 heures | 72 heures (notification complète) |
| Rapport final | 1 mois | 1 mois |
| Surveillance des tiers | Cadre de superviseur principal , supervision directe des AES sur les prestataires TIC critiques | Obligations générales de gestion du risque de la chaîne d'approvisionnement |
| Exigences de test | TLPT obligatoire tous les 3 ans pour les entités importantes | Tests et audits réguliers (méthodologie non prescrite) |
| Sanctions | Jusqu'à 1 % du chiffre d'affaires mondial journalier moyen , par jour | Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial (essentielles) ; 7 M€ ou 1,4 % (importantes) |
| Autorité de surveillance | Autorités nationales de surveillance financière + AES | CSIRT nationaux et autorités compétentes |
| Règle de recoupement | Lex specialis . DORA prévaut pour les entités financières | Renvoie à la réglementation sectorielle spécifique le cas échéant |
Sources : règlement DORA (UE) 2022/2554 ; directive NIS2 (UE) 2022/2555 ; analyses d'impact de la Commission européenne, 2022
200+
Heures gagnées sur la gestion du registre des traitements
Medtec a réaffecté plus de 200 heures de la documentation manuelle du registre des traitements à la préparation de l'ISO 27001 dès sa première année sur Priverion
60 %
De temps administratif de conformité en moins
Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois sur la plateforme
3 mois
D'avance sur le calendrier ISO 27001
Medtec a obtenu des dossiers de preuves prêts pour l'audit trois mois avant son calendrier de certification ISO 27001 grâce à la documentation automatisée de Priverion
Téléchargez la matrice de comparaison DORA contre NIS2
Une référence imprimable et partageable couvrant les six dimensions : champ d'application, délais, sanctions, tests, surveillance des tiers et règle de recoupement. Inclut des notes de mise en œuvre pour les organisations multi-entités.
Votre e-mail sert uniquement à vous envoyer le PDF. Pas de spam, pas de campagnes répétées. Désabonnement à tout moment.
Ce qui est inclus
- Tableau de comparaison côte à côte (format A4 prêt à imprimer)
- Les six dimensions de différence avec les références aux articles réglementaires
- Notes de mise en œuvre pour les organisations multi-entités et multi-juridictions
- Analyse du recoupement : quand DORA et NIS2 s'appliquent tous deux à la même entité
- Référence de calcul des sanctions : amendes journalières DORA contre plafonds NIS2
Pourquoi les entreprises du mid-market délaissent OneTrust
OneTrust s'adressait à un profil d'acheteur étendu, y compris des organisations du Fortune 500 dotées d'équipes GRC dédiées plus importantes. Vous avez besoin d'une conformité de niveau entreprise, sans la complexité, le budget ni les six mois de mise en œuvre d'une entreprise.
L'expérience OneTrust
Tarification par utilisateur et par module
Les coûts explosent à mesure que vous ajoutez des filiales, des modules et des membres d'équipe. Les mauvaises surprises budgétaires sont la norme, pas l'exception.
Infrastructure hébergée aux États-Unis
Depuis Schrems II, le transfert de données personnelles vers des plateformes hébergées aux États-Unis introduit un risque juridique que la plupart des équipes juridiques européennes ne sont pas à l'aise d'avaliser.
Taxe de complexité
Plus de 200 fonctionnalités que vous n'utiliserez jamais. Des mois de mise en œuvre. Des consultants dédiés requis ne serait-ce que pour configurer les bases.
Large mais superficiel
Couvre l'ESG, l'éthique, le consentement aux cookies et tout le reste, mais la gestion de la confidentialité multi-entités, ce dont vous avez réellement besoin, se perd dans la dispersion.
Lent à créer de la valeur
Des mises en œuvre d'entreprise s'étirant sur 6 à 12 mois avant que votre équipe ne constate un retour sur investissement significatif.
L'expérience Priverion
Tarification prévisible et transparente
Basée sur le nombre d'entités et la taille de l'organisation, pas par utilisateur ni par module. Ajoutez des membres d'équipe sans voir votre facture grimper. Aucun piège d'expansion.
Hébergement en Suisse, résidence des données en Europe
Tout le traitement des données reste au sein de l'infrastructure suisse. Dans un monde post-Schrems II, ce n'est pas une case marketing à cocher . c'est la confiance juridique dont vos responsables juridiques ont réellement besoin pour donner leur aval.
Une UX épurée, conçue pour les praticiens
Conçue par un consultant en protection des données qui a vécu les difficultés. Les DPD et les responsables de la conformité s'y retrouvent sans manuels de formation. Les responsables d'unités opérationnelles réalisent leurs recertifications sans courir après l'informatique.
Approfondi là où ça compte
Registre des traitements, AIPD, risque fournisseurs, demandes des personnes concernées, gestion des incidents, cartographie des données inter-entités et conformité assistée par l'IA, le tout sur une seule plateforme. Nous ne couvrons ni l'ESG ni le consentement aux cookies, car nous nous concentrons sur ce dont les DPD de groupe ont réellement besoin.
Opérationnel en quelques semaines
Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses six premiers mois. AXA a atteint 100 % de recertification automatisée du registre des traitements. Vous obtenez de la valeur avant même qu'une mise en œuvre traditionnelle n'achève son cadrage.
Constructeur aéronautique : 6 premiers mois après le déploiement. AXA : mesuré sur un cycle complet de recertification du registre des traitements.
Arrêtez de gérer la confidentialité dans des tableurs
Découvrez à quoi ressemble la gestion de la confidentialité à l'échelle du groupe quand elle fonctionne vraiment
En 30 minutes, nous vous montrerons comment des organisations telles qu'un constructeur aéronautique et Zurzach Care ont automatisé la conformité à travers chaque filiale, et comment la même approche s'adapte à la structure de votre groupe. Pas de diapositives. Pas d'argumentaire commercial. Juste la plateforme, vos questions et des réponses honnêtes.
60 %
De temps administratif de conformité en moins , constructeur aéronautique, 6 premiers mois
200+
Heures gagnées sur la préparation de l'audit , Medtec, ISO 27001
Semaines
Pour être opérationnel , pas des mois
Conçu en Suisse. Hébergé en Suisse. Tarification prévisible sans pièges par utilisateur.


