Se connecter
logiciel rgpd
  1. 1 - Quel est le champ d'application de DORA et NIS 2 ?
    1. 2 - Quels sont les objectifs de DORA et NIS 2 ?
      1. 3 - Quelle sont les principales obligations ?
        1. 4 - Quelles peuvent être les sanctions ?
          1. 5 - Quels outils utiliser ?

            DORA vs. NIS 2 : entre sécurité numérique et résilience opérationnelle

            October 4, 2024

            Le Règlement DORA (Digital Operational Resilience Act) et la Directive NIS 2 (Network and Information Security Directive 2) sont deux régulations importantes dans le domaine de la sécurité numérique et de la résilience opérationnelle au sein de l'Union européenne, mais elles ciblent des secteurs et des objectifs légèrement différents.

            Voici une comparaison entre ces deux directives : 

            Quel est le champ d'application de DORA et NIS 2 ?

            • DORA : Concerne spécifiquement les services financiers et vise à renforcer la résilience opérationnelle numérique des institutions financières (banques, assureurs, prestataires de services de paiement, etc.) au sein de l'UE. Elle couvre aussi les prestataires tiers de services TIC critiques pour ces institutions. Elle s'appliquera directement à partir du 17 janvier 2025.

            • NIS 2 : S'applique à un champ beaucoup plus large. Elle couvre une variété de secteurs critiques comme l'énergie, les transports, la santé, les infrastructures numériques, l'eau, et plus encore. Cette directive doit être transposée dans les lois nationales des États membres avant octobre 2024. Elle concerne aussi bien les grandes que les moyennes entreprises de ces secteurs.

               

            Quels sont les objectifs de DORA et NIS 2 ?

            • DORA : L'objectif principal est de garantir que les institutions financières au sein de l'UE peuvent résister, réagir et se remettre des incidents liés aux technologies numériques. DORA s'appuie sur la gestion des risques TIC, les tests de résilience, la surveillance des tiers et la notification d'incidents.

            • NIS 2 : Vise à améliorer le niveau de cybersécurité dans l'ensemble de l'UE en harmonisant les normes de sécurité et en renforçant la coopération entre les États membres. NIS 2 vise à renforcer la résilience des infrastructures critiques et la réponse aux incidents.

            Quelle sont les principales obligations ?

            DORA :

            • Gestion des risques TIC : Les institutions financières doivent élaborer une politique complète de gestion des risques pour identifier, évaluer, et traiter les risques TIC (Technologies de l'Information et de la Communication) qui menacent la continuité de leurs opérations.

            • Tests réguliers de résilience numérique : Mise en place de tests fréquents, incluant des tests de pénétration, pour évaluer la robustesse des systèmes et identifier les vulnérabilités.

            • Notification des incidents : Obligation de signaler aux autorités compétentes les incidents significatifs qui pourraient impacter la résilience numérique ou perturber les services financiers. La notification doit être effectuée rapidement, souvent dans un délai de 72 heures.

            • Surveillance des prestataires tiers critiques : Les entreprises doivent suivre et contrôler les fournisseurs externes qui fournissent des services critiques pour leurs systèmes numériques, tels que les services cloud ou les infrastructures de réseau. Elles doivent s'assurer que ces prestataires respectent également les normes de résilience.

            NIS 2 :

            • Gestion des risques des systèmes d’information : Implémentation d’un cadre de gestion des risques couvrant les infrastructures critiques (réseaux, systèmes d’information) avec des mesures visant à minimiser les risques, notamment via des audits de sécurité.

            • Notification des incidents de cybersécurité : Les entreprises doivent déclarer les cyber-incidents majeurs aux autorités nationales dans les 24 à 72 heures suivant leur découverte. Cela inclut les violations de données ou toute atteinte significative aux infrastructures.

            • Mesures techniques et organisationnelles : Adoption de solutions techniques (chiffrement, segmentation réseau, authentification multifactorielle) et organisationnelles (politiques de sécurité, formation du personnel) pour prévenir et atténuer les cyberattaques.

            • Coopération avec les autorités et création de CSIRT : Renforcement des liens entre les autorités nationales pour créer des équipes nationales de réponse aux incidents (CSIRT - Computer Security Incident Response Team), afin de répondre efficacement aux cyberattaques et coordonner les actions transfrontalières.

             

            Quelles peuvent être les sanctions ?

            • DORA : Les sanctions peuvent inclure des amendes et la suspension d’accès à des infrastructures essentielles. Les états membres et les autorités compétentes sont libres de fixer la sanction adéquate.

            • NIS 2 : Les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel, en fonction de l’entité et de la gravité des manquements.

             

            Quels outils utiliser ?

            Grâce à des logiciels de conformité globale, comme Witik, il est possible de réaliser des audits internes, ainsi que des audits de vos tiers, pour s'assurer de la conformité avec DORA et NIS 2. Witik offre des modèles de questionnaires d'audit prédéfinis, permettant de simplifier le processus de vérification et de gestion des risques, en facilitant l'identification des écarts et en assurant une réponse proactive aux exigences réglementaires. Ces outils vous permettent de gagner du temps tout en maintenant un haut niveau de conformité.

             

            En résumé, DORA est spécifiquement centrée sur la résilience opérationnelle des institutions financières face aux risques liés aux technologies numériques, tandis que NIS 2 a un champ d'application plus large couvrant les secteurs critiques pour renforcer la cybersécurité à travers l'UE. Les deux directives visent à améliorer la sécurité numérique et la gestion des risques, mais avec des focus différents selon les industries qu'elles régulent.

            La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

            Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

            Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

            • All rights reserved ©Witik 2024