Comment la directive NIS 2 s'articule-t-elle avec le règlement Digital Operational Resilience Act (DORA) ?
La directive NIS 2 et le règlement DORA ne partagent pas les mêmes objectifs. La directive NIS 2 vise à renforcer le niveau de cybersécurité global au sein de l’Union Européenne en visant les entités essentielles et les entités importantes de 18 secteurs, tandis que le règlement DORA vise à assurer l’intégrité et la disponibilité du secteur financier en adressant 21 types d’entités définies précisément dans le règlement.
Le règlement DORA est un acte juridique sectoriel de l’Union européenne, considéré comme une « lex specialis » de la directive NIS 2 pour le secteur financier : ce principe signifie qu’une loi spécifique prime sur tout ou partie de la loi généraliste. Cela implique donc que les 21 types d’entités du secteur financier concernées par DORA n’appliqueront pas les mesures de la directive concernant la gestion des risques de cybersécurité, les obligations d’information ainsi que la supervision (au sens du contrôle) et l’exécution mais celles du règlement DORA.
Par ailleurs, conformément à l’article 4 de la directive NIS 2, lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union européenne.
Dans le cas plus complexe où votre entité relèverait des secteurs « infrastructures numériques » ou « gestion des services TIC » régulés par la directive NIS 2, mais qu’elle travaillerait pour le secteur financier, les obligations de la directive NIS 2 s’appliquent. Toutefois, les mesures de gestion des risques en matière de cybersécurité à mettre en œuvre sont celles prévues par l’acte d’exécution, conformément à l’article 21.5 de la directive, même si le règlement DORA s’applique aux acteurs du secteur financier et concerne effectivement la chaîne de sous-traitance. Néanmoins, un chantier de coopération entre les autorités NIS 2 et les autorités DORA est actuellement mené pour la régulation des tiers critiques du secteur. Son contenu pourra être précisé ultérieurement.
De manière générale, des travaux sont actuellement en cours entre l’ANSSI et les administrations françaises qui assurent la transposition de ce texte. La directive NIS 2 prévoit un fonctionnement coopératif entre les autorités nationales NIS 2 et les autorités d’autres réglementations, en particulier avec la Commission nationale de l’informatique et des libertés (CNIL) au regard du RGPD, l’Autorité de contrôle prudentiel et de résolution (ACPR), l’Autorité des Marchés Financiers (AMF) ainsi que la Banque de France pour le règlement Digital Operationnel Resilience Act (DORA).
Le texte de règlement DORA est disponible au lien suivant : Publications Office (europa.eu)
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Le règlement DORA est un acte juridique sectoriel de l’Union européenne, considéré comme une « lex specialis » de la directive NIS 2 pour le secteur financier : ce principe signifie qu’une loi spécifique prime sur tout ou partie de la loi généraliste. Cela implique donc que les 21 types d’entités du secteur financier concernées par DORA n’appliqueront pas les mesures de la directive concernant la gestion des risques de cybersécurité, les obligations d’information ainsi que la supervision (au sens du contrôle) et l’exécution mais celles du règlement DORA.
Par ailleurs, conformément à l’article 4 de la directive NIS 2, lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union européenne.
Dans le cas plus complexe où votre entité relèverait des secteurs « infrastructures numériques » ou « gestion des services TIC » régulés par la directive NIS 2, mais qu’elle travaillerait pour le secteur financier, les obligations de la directive NIS 2 s’appliquent. Toutefois, les mesures de gestion des risques en matière de cybersécurité à mettre en œuvre sont celles prévues par l’acte d’exécution, conformément à l’article 21.5 de la directive, même si le règlement DORA s’applique aux acteurs du secteur financier et concerne effectivement la chaîne de sous-traitance. Néanmoins, un chantier de coopération entre les autorités NIS 2 et les autorités DORA est actuellement mené pour la régulation des tiers critiques du secteur. Son contenu pourra être précisé ultérieurement.
De manière générale, des travaux sont actuellement en cours entre l’ANSSI et les administrations françaises qui assurent la transposition de ce texte. La directive NIS 2 prévoit un fonctionnement coopératif entre les autorités nationales NIS 2 et les autorités d’autres réglementations, en particulier avec la Commission nationale de l’informatique et des libertés (CNIL) au regard du RGPD, l’Autorité de contrôle prudentiel et de résolution (ACPR), l’Autorité des Marchés Financiers (AMF) ainsi que la Banque de France pour le règlement Digital Operationnel Resilience Act (DORA).
Le texte de règlement DORA est disponible au lien suivant : Publications Office (europa.eu)
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 07/06/2024
Merci !