NIS2 et DORA : structurer la résilience numérique avec les normes ISO
Dans l’économie numérique, la valeur ne tient pas seulement aux infrastructures : elle tient aux données sensibles, à la continuité des opérations et à la confiance : celle des clients, des partenaires et des autorités.
La menace n’est plus marginale. Elle est persistante, portée à la fois par des acteurs externes (cybercriminalité, concurrence, acteurs étatiques) et par des risques internes (erreur humaine, négligence, départ d’un collaborateur, accès non maîtrisé).
Le basculement est désormais largement intégré par les équipes sécurité : la question n’est pas si un incident surviendra, mais quand : et surtout avec quelle capacité de réaction, de continuité et de justification.
Avec NIS2 et DORA, l’Union européenne impose un nouveau standard : passer d’une cybersécurité fondée sur des contrôles et des outils à une approche pilotée, testée et démontrable.
Cet article propose une lecture volontairement opérationnelle : ce que NIS2 et DORA exigent réellement, où elles se recoupent, où elles divergent, et comment construire un socle de conformité capable de tenir en audit comme en situation de crise.
NIS2 et DORA : le cadre réglementaire (le « quoi »)
NIS2 : gouvernance de la sécurité des systèmes d’information et notification accélérée
La directive NIS2 impose un niveau renforcé de sécurité des réseaux et des systèmes d’information à un large ensemble d’entités qualifiées d’essentielles ou d’importantes.
● une gouvernance explicite, impliquant directement la direction et la responsabilité du management ;
● une gestion des risques fondée sur des mesures organisationnelles et techniques adaptées ;
● une gestion des incidents assortie d’obligations de notification selon des délais précis et documentés.
Sur ce dernier point, l’attente opérationnelle est clairement définie :
– une alerte précoce transmise dans un délai très court (24 heures) ;
– une notification plus complète dans un délai de 72 heures ;
– puis un rapport final transmis dans un délai maximal d’un mois après la détection de l’incident.
Cette séquence impose aux organisations une capacité de qualification rapide des incidents, de prise de décision, ainsi qu’une traçabilité complète des actions menées.
Dans la pratique, piloter un tel dispositif suppose des compétences spécifiques en gouvernance, gestion des risques et conformité réglementaire, telles que celles développées dans une formation NIS 2 Directive Lead Implementer, orientée conception, déploiement et maintien opérationnel de la conformité NIS2.
DORA : résilience opérationnelle numérique du secteur financier
Le règlement DORA, applicable depuis le 17 janvier 2025, concerne les entités financières et leurs prestataires critiques. Son objectif est explicite : garantir la résilience opérationnelle numérique, c’est-à-dire la capacité à résister, répondre et se rétablir après une perturbation liée aux technologies de l’information et de la communication (TIC).
DORA structure cette exigence autour de plusieurs piliers majeurs :
● la gestion des risques liés aux TIC, intégrée au pilotage global de l’organisation ;
● la gestion et la notification des incidents ;
● la réalisation de tests de résilience ;
● la maîtrise des tiers et prestataires TIC ;
● le partage d’informations dans certains cadres sectoriels.
Pour les acteurs du secteur financier, la compréhension et la mise en œuvre de ces exigences nécessitent une vision transverse de la résilience numérique, compétence au cœur des parcours tels que la formation DORA Lead Manager, dédiée au pilotage opérationnel du règlement.
Ce que NIS2 et DORA ont en commun : le socle attendu en audit
Malgré des périmètres différents, NIS2 et DORA convergent sur une logique centrale :
👉 la conformité ne se décrète pas, elle se démontre.
Dans les contrôles et audits, quatre attentes transverses se retrouvent systématiquement :
● une gouvernance formalisée, lisible et assumée ;
● une gestion des risques structurée, priorisée et suivie ;
● une gestion des actifs, permettant d’identifier, de classer et de maîtriser les ressources critiques ;
● une gestion des incidents conçue pour la vitesse, la coordination et la preuve ;
● une gestion des risques liés aux tiers.
Ces éléments ne relèvent plus du « bon niveau de maturité » : ils constituent le minimum défendable.
Là où NIS2 et DORA divergent réellement
La différence entre NIS2 et DORA ne tient pas tant à leur finalité qu’à leur périmètre, leur niveau d’exigence et leur focale.
NIS2 vise principalement à renforcer la sécurité des réseaux et des systèmes d’information sur un périmètre large d’organisations. Elle met l’accent sur la gouvernance, la prévention, la responsabilisation des dirigeants et des obligations de notification structurées. Le contrôle relève de l’ANSSI, avec des sanctions pouvant atteindre 2 % du chiffre d’affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes.
DORA, de son côté, cible spécifiquement les entités financières et va plus loin sur la résilience opérationnelle numérique. Le règlement repose fortement sur le principe de proportionnalité, mais introduit également une différence majeure par rapport à NIS2 : l’obligation de tests de résilience formalisés.
DORA impose en effet la réalisation de tests de résilience avancés, incluant des tests d’intrusion fondés sur les menaces (TLPT), à mener en environnement de production dans un délai maximal de trois ans après l’entrée en application du règlement. Le contrôle est assuré par l’ACPR et l’AMF, avec des sanctions pouvant atteindre 10 millions d’euros ou 5 % du chiffre d’affaires annuel total.
En synthèse, NIS2 fixe un socle commun de sécurité et de gouvernance des systèmes d’information, tandis que DORA impose un cadre plus exigeant de continuité et de résilience opérationnelle, notamment par l’introduction de tests de résilience obligatoires, en particulier face aux risques technologiques et aux prestataires critiques.
Le rôle central des normes ISO : transformer l’obligation en capacité
Les textes réglementaires définissent les obligations. Les normes ISO fournissent le cadre opérationnel permettant de les rendre cohérentes, pilotables et auditables.
ISO/IEC 27001 : le socle de gouvernance pour NIS2
La norme ISO/IEC 27001 structure un système de management de la sécurité de l’information (SMSI). Dans une logique NIS2, elle permet notamment de formaliser la gouvernance SSI, d’organiser la gestion des risques, de définir des politiques et contrôles cohérents et de produire des preuves exploitables en audit.
La mise en œuvre ou l’audit d’un SMSI conforme à ISO/IEC 27001 suppose une maîtrise approfondie de la norme et de ses exigences, généralement acquise à travers des parcours de formation ISO/IEC 27001 adaptés aux rôles de pilotage, de mise en œuvre ou d’audit.
ISO 22301 : la référence continuité au cœur de DORA
La norme ISO 22301 encadre la continuité d’activité. Elle est directement mobilisable pour répondre à l’esprit de DORA, en structurant l’identification des fonctions critiques, l’analyse d’impact sur l’activité, les stratégies de continuité et de reprise, ainsi que les exercices et tests.
Dans ce contexte, la maîtrise d’ISO 22301 permet de passer d’une obligation de résilience à une capacité réelle, testée et défendable, compétence qui repose largement sur des formations spécialisées ISO 22301 orientées pilotage, de mise en œuvre ou d’audit.
Pourquoi les normes ISO deviennent incontournables en pratique
Même si elles restent juridiquement volontaires, les normes ISO deviennent de facto indispensables dans un contexte NIS2/DORA. Sans cadre ISO, les organisations s’exposent à des dispositifs fragmentés, à une conformité essentiellement documentaire, à une démonstration fragile en audit et à une incapacité à tenir sous stress réel.
FAQ - NIS2, DORA et normes ISO
Quelle est la principale différence entre NIS2 et DORA en audit ?
En audit, NIS2 se concentre principalement sur la cybersécurité gouvernée, la prévention, la responsabilisation du management et la discipline de notification des incidents. DORA va plus loin sur la résilience opérationnelle numérique, en évaluant la capacité réelle à maintenir et restaurer les fonctions critiques, y compris en cas de défaillance d’un prestataire TIC.
Pourquoi la gestion des prestataires TIC est-elle centrale dans DORA et NIS2 ?
Les incidents majeurs proviennent de plus en plus de dépendances externes : hébergement, infogérance, cloud, services numériques critiques. NIS2 comme DORA exigent que ces dépendances soient identifiées, évaluées, contractualisées et suivies.
DORA est toutefois plus exigeant, car il impose une démonstration de maîtrise continue des prestataires critiques et de leur impact sur les fonctions essentielles.
ISO/IEC 27001 est-elle suffisante pour couvrir NIS2 et DORA ?
ISO/IEC 27001 constitue un socle essentiel, notamment pour la gouvernance de la sécurité de l’information, la gestion des risques et la production de preuves en audit. Cependant, à elle seule, elle ne couvre pas entièrement les exigences de résilience opérationnelle attendues par DORA.
C’est pourquoi elle est souvent complétée par ISO 22301, qui structure la continuité d’activité, les tests de crise et la capacité de reprise.
Quelles compétences sont réellement attendues des RSSI, consultants et auditeurs dans un contexte NIS2/DORA ?
Les textes ne suffisent plus. Les autorités et les organisations attendent désormais des profils capables de :
● interpréter finement les exigences réglementaires,
● maîtriser les référentiels ISO,
● traduire les obligations en dispositifs opérationnels concrets,
● produire une démonstration solide en audit et en situation de crise.
La valeur professionnelle se situe désormais à l’interface entre réglementation, normes et mise en œuvre terrain.
Conclusion
NIS2 et DORA imposent un nouveau standard européen : la résilience numérique doit être gouvernée, organisée et démontrable. Si leurs périmètres diffèrent, leur logique converge vers une même exigence : être capable de prouver, en audit comme en crise, la maîtrise des risques numériques.
Dans cette articulation, ISO/IEC 27001 et ISO 22301 constituent le socle opérationnel le plus robuste pour transformer les obligations réglementaires en une résilience numérique durable, cohérente et crédible, à condition de s’appuyer sur des compétences formées et certifiées.
