Parler à un expert
Tarification

Comprendre NIS2 et DORA : les règlements de l'UE en matière de cybersécurité et leur impact sur la conformité

En 2023, les cyberattaques en Europe ont augmenté de 57 %, déclenchant une réponse renforcée de la part de l'Union européenne et de ses États membres. Consciente des risques croissants, l'UE a introduit deux réglementations clés en matière de cybersécurité : la directive actualisée sur les réseaux et les systèmes d'information (NIS2) et la loi sur la résilience des opérations numériques (DORA). Bien que ces directives aient pour objectif commun de renforcer la cybersécurité, elles diffèrent considérablement en termes de champ d'application, d'exigences en matière de rapports, de délais de mise en conformité et de mécanismes d'application.

Pour les organisations opérant dans l'UE, il est essentiel de comprendre les différences entre NIS2 et DORA afin de garantir la conformité réglementaire et de minimiser l'exposition aux risques. Dans cet article de blog, nous allons explorer les principales distinctions entre ces deux cadres et fournir des indications sur la façon dont les entreprises peuvent naviguer efficacement entre leurs exigences.

Que sont NIS2 et DORA ?

NIS2 et DORA visent tous deux à renforcer la cybersécurité et la résilience opérationnelle dans l'ensemble de l'UE, mais ils ciblent des secteurs différents et ont des approches réglementaires distinctes.

Aperçu du NIS2

La directive sur les réseaux et les systèmes d'information (NIS2) est une directive sur la cybersécurité qui s'appuie sur son prédécesseur, la NIS, introduite pour la première fois en 2016. La version actualisée, NIS2, élargit son champ d'application pour inclure des secteurs supplémentaires, introduit des exigences plus strictes en matière de rapports et met l'accent sur la responsabilité personnelle en matière de résilience de la cybersécurité. Contrairement à un règlement, qui a une application juridique directe, la NIS2 exige des États membres qu'ils élaborent une législation nationale qui s'aligne sur ses objectifs.

Le premier délai de mise en conformité avec le NIS2 est fixé à octobre 2024.

Vue d'ensemble de DORA

La loi sur la résilience des opérations numériques (DORA) est un cadre réglementaire spécialement conçu pour le secteur financier. Avec un délai de mise en conformité fixé à janvier 2025, DORA établit un ensemble unifié de normes de cybersécurité visant à protéger les institutions financières de l'UE contre les cybermenaces, les défaillances des systèmes informatiques et les risques numériques. Contrairement à NIS2, DORA impose des exigences normatives plutôt que des objectifs généraux, fournissant aux entités financières des directives claires sur la résilience opérationnelle.

Pour les institutions financières, le respect de la loi DORA prime sur la loi NIS2.

Distinctions clés entre NIS2 et DORA

Pour mieux comprendre l'impact de ces cadres sur les différents secteurs d'activité, examinons les quatre distinctions les plus importantes : le champ d'application, les exigences en matière de rapports, les délais de mise en conformité et les sanctions, ainsi que la surveillance et la responsabilité.

1. Champ d'application de NIS2 par rapport à DORA

NIS2 Champ d'application

La NIS2 s'applique à dix-huit secteurs hautement critiques et à d'autres secteurs critiques, avec une règle de seuil de taille qui inclut toutes les moyennes et grandes entreprises. La directive classe les entités en deux catégories : essentielles et importantes :

  • Entités essentielles: Elles opèrent dans un secteur hautement critique, emploient plus de 250 personnes et ont un chiffre d'affaires annuel de 50 millions d'euros ou un bilan de 43 millions d'euros.
  • Entités importantes: Elles opèrent dans des secteurs hautement critiques ou d'autres secteurs critiques, emploient plus de 50 personnes et réalisent un chiffre d'affaires annuel de 10 millions d'euros.
DORA Scope

Le DORA s'applique à 20 types d'entités financières, couvrant les banques, les services financiers et les fournisseurs de services intermédiaires. En particulier, les fournisseurs de services TIC tiers considérés comme "critiques", même s'ils opèrent en dehors de l'UE, relèvent de la compétence de la DORA.

Exemples d'entités financières couvertes :

  • Établissements de crédit
  • Institutions de paiement
  • Entreprises d'investissement
  • Fournisseurs de crypto-actifs
  • Entreprises d'assurance et de réassurance
  • Fournisseurs de services de crowdfunding

Pour les organisations du secteur financier, DORA fournit un cadre de cybersécurité spécifique, qui prévaut sur les réglementations NIS2.

2. Exigences en matière de déclaration d'incident

Exigences en matière de rapports NIS2

Dans le cadre du NIS2, les organisations doivent signaler les incidents de cybersécurité qui entraînent des interruptions de service importantes. La directive prévoit plusieurs rapports :

  • Dans les 24 heures: Notification initiale avec indication de la cause présumée et de la gravité.
  • Dans les 72 heures: Rapport détaillé avec les causes profondes et les mesures d'atténuation.
  • Dans un délai d'un mois: Rapport final comprenant l'analyse d'impact et les résolutions.
Exigences en matière de rapports DORA

Le DORA impose des rapports post-incidents similaires, mais permet aux autorités compétentes de fixer des échéances spécifiques. Les incidents doivent être signalés s'ils ont un impact :

  • Services ou infrastructures critiques
  • Les consommateurs, les marchés financiers ou l'économie en général
  • Plusieurs juridictions de l'UE

3. Délais de mise en conformité et sanctions

Conformité au NIS2 et sanctions

Date d'entrée en vigueur : 18 octobre 2024

Pénalités :

  • Entités essentielles: Amendes d'au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.
  • Entités importantes: Amendes d'au moins 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial.
  • Responsabilité individuelle : Les dirigeants d'organisations peuvent être confrontés à des révélations publiques et à des sanctions.
Respect de la loi DORA et sanctions

Date d'entrée en vigueur : Janvier 2025

Pénalités :

  • Les organisations qui ne respectent pas les règles peuvent se voir imposer des sanctions "efficaces, proportionnées et dissuasives".
  • Les fournisseurs tiers de TIC peuvent se voir infliger des amendes allant jusqu'à 1 % de leur chiffre d'affaires journalier moyen au niveau mondial.

4. Surveillance et responsabilité

Supervision et responsabilité du NIS2

La NIS2 exige que les autorités nationales compétentes fassent respecter la conformité, effectuent des audits et supervisent les mesures de cybersécurité. Les organes de direction des organisations sont directement responsables de la conformité, y compris de l'approbation des mesures de gestion des risques et de la gestion des réponses aux incidents.

Supervision et responsabilité du DORA

Le contrôle de conformité de DORA est à deux niveaux, impliquant les autorités nationales et les autorités de contrôle européennes. Cette structure permet une collaboration et un contrôle transfrontaliers pour les fournisseurs de TIC tiers essentiels qui desservent les institutions financières dans toute l'UE.

Contrairement à NIS2, DORA intègre la résilience opérationnelle dans les stratégies de gouvernance, de risque et de conformité (GRC) des institutions financières.

Interaction et intégration de NIS2 et DORA

Le chevauchement entre NIS2 et DORA est important, car les institutions financières sous DORA dépendent de l'infrastructure couverte par NIS2, comme l'énergie, les télécommunications et les fournisseurs de services numériques. Cette interdépendance signifie :

  • Les institutions financières doivent se coordonner avec les fournisseurs d'infrastructures critiques pour se mettre en conformité.
  • Les canaux de communication entre le NIS2 et le DORA devraient être rationalisés afin d'éviter les doubles emplois.
  • Les autorités réglementaires doivent collaborer pour faire face aux cyber-risques dans tous les secteurs.

En fin de compte, la compréhension des différences et des interactions entre ces cadres est essentielle pour les organisations qui souhaitent maintenir leur résilience en matière de cybersécurité et leur conformité aux réglementations.

Naviguer dans la conformité avec le risque connecté

Avec NIS2 et DORA qui introduisent des exigences strictes en matière de cybersécurité, les entreprises doivent adopter une approche proactive de la conformité. Connected Risk fournit une plateforme intégrée de gestion des risques qui aide les entreprises :

  • Automatiser les flux de travail liés à la conformité
  • Surveiller les risques de cybersécurité en temps réel
  • Simplifier les rapports réglementaires
  • Assurer une intégration transparente entre les mandats NIS2 et DORA

Préparez-vous à l'évolution du paysage réglementaire en vous associant à Connected Risk. Contactez-nous dès aujourd'hui pour découvrir comment notre plateforme peut renforcer votre résilience en matière de cybersécurité et rationaliser vos efforts de mise en conformité.

Cet article vous plaît ?

Courriel
Partager sur Facebook
Partager sur LinkedIn
Partager sur XING

Empowered propose des solutions innovantes en matière d'audit, de conformité et de gestion des risques, permettant aux organisations du monde entier de faire face à un monde exigeant et en constante évolution.

Linkedin-in Facebook Youtube Instagram

nos produits

nos solutions

Informations sur l'entreprise

clause de non-responsabilité du site web

Toutes les capacités ou technologies décrites sur ce site ou qui vous sont présentées sont soumises à la protection de la propriété intellectuelle, y compris, mais sans s'y limiter, les lois et traités internationaux sur les droits d'auteur (et, dans certains cas, les brevets/applications de brevets) et tous les droits sont réservés. Tout devis fourni doit rester confidentiel et n'être utilisé que pour votre décision d'achat. Vous pouvez partager un devis ou une proposition avec vos conseillers à cette fin s'ils ont signé avec vous un accord de non-divulgation de ces informations, mais vous ne pouvez le partager avec personne d'autre sans l'accord écrit préalable d'Empowered Systems. Toute information supplémentaire fournie par Empowered Systems sera également traitée comme confidentielle et ne pourra être utilisée que de la même manière que les informations figurant dans votre offre ou proposition (sauf indication contraire). Ce site web n'est pas un devis ou une proposition.

Ce site web est fourni à des fins d'information uniquement. Il ne constitue ni un conseil, ni une offre susceptible d'être acceptée, ni ne crée de droit ou d'obligation entre Empowered Systems et l'utilisateur de ce site ou toute personne associée à l'utilisateur susmentionné. Tout contrat sera établi sur la base des conditions générales d'Empowered Systems. Rien sur ce site ne crée d'accord entre Empowered Systems et l'utilisateur de ce site.

Les informations contenues dans ce site ont été compilées avec soin, mais Empowered Systems ne fait aucune déclaration ou garantie expresse ou implicite selon laquelle les informations sont exemptes d'erreurs ou d'omissions et ne peut être tenu responsable de l'utilisation des informations ou de la confiance accordée à celles-ci (sauf en cas de déclaration frauduleuse ou d'autres questions pour lesquelles la responsabilité ne peut être exclue ou limitée en vertu de la loi).

Les références aux capacités d'Empowered Systems peuvent inclure des capacités fournies à Empowered Systems par des tiers.

 AutoAudit® et Empowered Systems sont des marques déposées d'Empowered Systems IP Holder LLC.

1995-2024 Empowered Systems. Tous droits réservés.

Empowered Systems est le nom commercial d'Empowered Systems Ltd. au Royaume-Uni. Numéro d'enregistrement : 13416888 en Angleterre et au Pays de Galles. Siège social : 6 Lloyds Avenue, Suite 4cl, Londres, Angleterre EC3N 3AX.

Parler à un expert
Tarification
Parler à un expert
Tarification

Parler à un expert

"Les champs obligatoires sont indiqués par un astérisque(*)

Vous cherchez du soutien ?

Si vous recherchez une assistance produit, veuillez vous connecter à notre centre d'assistance en cliquant ici.

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande de prix

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande d'appel d'offres

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Quelle est la solution pour laquelle votre appel d'offres demande une réponse ?*
Déposez vos fichiers ici ou
Types de fichiers acceptés : pdf, doc, docx, Taille maximale du fichier : 1 MB, Nombre maximal de fichiers : 4.
    Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
    Skip to content