SaaSFort Un CTO de fintech découvre une mauvaise configuration d’accès privilégié en production à 14h03 un mardi. À 14h30, trois régulateurs attendent théoriquement des artefacts différents selon des délais différents. DORA veut une classification d’incident ICT en quelques heures et un rapport d’incident majeur sous 4 jours ouvrés. NIS2 veut une alerte précoce sous 24 heures au CSIRT national. Le RGPD veut une notification de violation de données personnelles sous 72 heures si des données d’un résident de l’UE ont été exposées.
Même incident. Trois régulateurs. Trois cadences de dépôt. La plupart des fintechs qui travaillent sur DORA depuis janvier 2025 sont surprises d’apprendre que NIS2 (octobre 2026) n’absorbe pas leur travail DORA — et inversement. Elles se chevauchent à environ 65 %. Les 35 % restants sont là où vivent les constats d’audit.
Voici la carte côte à côte.
Une phrase chacun
DORA (Règlement UE 2022/2554, applicable depuis le 17 janvier 2025) est le corpus de règles harmonisé de l’UE pour la résilience opérationnelle numérique des entités financières et de leurs prestataires ICT tiers critiques — banques, fintechs, assureurs, et le SaaS qui les sert.
NIS2 (Directive UE 2022/2555, transposition nationale 2025-2026) est le cadre de cybersécurité plus large de l’UE pour les entités « essentielles » et « importantes » à travers 18 secteurs — y compris l’infrastructure numérique, la banque, les infrastructures de marché financier et les services managés.
Quand les deux s’appliquent, DORA est lex specialis pour le risque ICT et la notification d’incident en finance. L’article 1(2) de NIS2 défère explicitement à DORA sur ces sujets — mais les autres obligations NIS2 (gouvernance, chaîne d’approvisionnement au-delà de l’ICT, formation, enregistrement) s’appliquent toujours.
La carte côte à côte
Les 12 dimensions qui décident de quel cadre vous documentez les preuves, et où :
| Dimension | DORA | NIS2 |
|---|---|---|
| Instrument juridique | Règlement 2022/2554 (directement applicable, sans transposition) | Directive 2022/2555 (transposition nationale requise) |
| Date d’effet | 17 janvier 2025 | Dépend de l’État membre — Allemagne 1er octobre 2026 |
| Régulateur principal | ANC sectorielles (BaFin en Allemagne, AMF/ACPR en France) | Autorités nationales de cybersécurité (BSI, ANSSI, ACN) |
| Périmètre | ~22 000 entités financières + prestataires ICT tiers critiques | ~160 000 entités UE dans 18 secteurs |
| Cadre de gestion des risques | Article 6 — bien plus prescriptif | Article 21(2) — 10 mesures obligatoires, fondé sur des principes |
| Classification d’incident | Article 18 — seuils quantitatifs | Article 23(3) — test qualitatif « incident significatif » |
| Notification initiale | « Dès que possible » en quelques heures | Alerte précoce sous 24 heures |
| Rapport intermédiaire | 72 heures | 72 heures |
| Rapport final | 1 mois (extension à 6 semaines possible) | 1 mois |
| Test d’intrusion piloté par la menace | TLPT tous les 3 ans pour entités systémiques | Non requis |
| Chaîne d’approvisionnement / tiers | Articles 28-30 — registre ICT tiers explicite, stratégies de sortie | Article 21(2)(d) — mesure de sécurité de la chaîne |
| Responsabilité personnelle de la direction | Article 5 — approbation et supervision du conseil | Transposition nationale — devoir de direction non délégable + interdiction temporaire de gestion (article 32(6)) |
Le partage visuel délibéré : DORA est plus prescriptif sur le détail ICT ; NIS2 est plus large en portée sectorielle et d’obligations.
Où elles se chevauchent (≈65 %)
Le socle commun est réel. Une fintech avec des programmes DORA matures a déjà fait l’essentiel de l’article 21 de NIS2 — mais la correspondance n’est pas automatique. Vous devez re-citer les mêmes preuves sous des identifiants de contrôle différents et les soumettre sous une gouvernance différente.
Chevauchement concret :
- Politique et méthodologie de gestion des risques — les cadres DORA article 6 satisfont NIS2 article 21(2)(a). Mêmes preuves, dépôt différent.
- Procédures de gestion des incidents — la classification + workflow DORA satisfont NIS2 article 21(2)(b). Les dépôts vont toujours à deux régulateurs.
- Continuité d’activité et PRA — DORA articles 11-14 satisfont NIS2 article 21(2)(c). Même documentation RTO/RPO, fenêtre d’audit différente.
- Cryptographie, MFA, contrôle d’accès — DORA article 9 satisfait NIS2 article 21(2)(h/i/j). Une base technique, deux pistes de reporting.
- Gestion des vulnérabilités — la gestion des vulnérabilités DORA satisfait NIS2 article 21(2)(e/f). Même sortie de scanner, deux cadres de conformité.
Le scan SaaSFort mappe chaque constat à l’article 21 de NIS2 et aux articles DORA — les deux citations apparaissent dans l’export PDF de conformité NIS2 et l’API live /api/nis2/controls/dora. Un scan, deux artefacts prêts pour le régulateur.
Où DORA va plus loin
DORA couvre explicitement un terrain que NIS2 laisse fondé sur des principes :
- Test d’intrusion piloté par la menace (TLPT) — requis tous les 3 ans pour les entités systémiques (article 26). NIS2 n’a pas d’équivalent.
- Registre ICT tiers — l’article 28(3) de DORA impose un registre structuré de chaque contrat ICT. NIS2 article 21(2)(d) exige une « sécurité de la chaîne » sans en prescrire le format.
- Risque de concentration — DORA articles 28-29 traitent la dépendance excessive à un fournisseur ICT unique. NIS2 ne le formalise pas.
- Désignation de prestataire ICT tiers critique — DORA articles 31-44 créent un régime de surveillance piloté par les AES. NIS2 n’a pas de parallèle.
- Stratégies de sortie — les minima contractuels DORA incluent les scénarios de sortie et de résiliation. NIS2 laisse cela à la continuité d’activité générale.
Si vous livrez du SaaS aux banques, les obligations contractuelles DORA s’imposent à vous, désigné CTPP ou non — vos clients exigeront les minima contractuels en aval.
Où NIS2 va plus loin
NIS2 couvre un terrain que DORA ne touche pas car la portée de DORA s’arrête à la finance :
- Formation cybersécurité — NIS2 article 20(2) exige une formation cybersécurité régulière pour les organes de direction. DORA attend la compétence ; NIS2 prescrit une formation documentée tous les 3 ans (les guidances précisent : participants, contenu, formateur, durée).
- Obligation d’enregistrement — les entités NIS2 doivent s’enregistrer auprès des autorités nationales. DORA n’a pas d’analogue.
- Responsabilité personnelle avec non-délégabilité — certaines transpositions rendent la supervision cybersécurité non délégable pour les dirigeants. DORA article 5 exige la supervision du conseil ; la transposition NIS2 va plus loin avec des cascades de responsabilité personnelle. Voir notre guide de la responsabilité personnelle des dirigeants.
- Interdiction temporaire de gestion — l’article 32(6) de NIS2 permet aux superviseurs de suspendre les dirigeants pour non-conformité grave. DORA n’a pas d’option d’application équivalente.
- Chaîne d’approvisionnement plus large — NIS2 article 21(2)(d) couvre tous les fournisseurs, pas seulement ICT. Prestataires de bureaux, coursiers, prestataires de nettoyage qui touchent des zones sensibles — tous dans le périmètre.
La séquence de dépôt si les deux s’appliquent
Un incident ICT significatif chez une fintech déclenche la chronologie suivante (heures DORA arrondies pour la clarté ; consultez les RTS pour les chiffres exacts) :
| T+ | Action | Destinataire | Base d’autorité |
|---|---|---|---|
| Prise de connaissance | Escalade interne, déclaration écrite de prise de connaissance | Interne | Les deux régimes — départ du chronomètre |
| ~4 heures | Notification initiale DORA (si classé majeur) | BaFin | DORA Art. 19 + RTS |
| 24 heures | Alerte précoce NIS2 | Portail de notification national | NIS2 Art. 23(4)(a) |
| 72 heures | Rapport intermédiaire DORA + notification d’incident NIS2 | BaFin + autorité nationale | DORA Art. 19 + NIS2 Art. 23(4)(b) |
| 72 heures (si données personnelles) | Notification de violation RGPD | APD | RGPD Art. 33 |
| 1 mois | Rapport final NIS2 | Autorité nationale | NIS2 Art. 23(4)(c) |
| 1 mois (extensible à 6 sem.) | Rapport final DORA | BaFin | DORA Art. 19 |
Trois dépôts, un incident. Le bundle gratuit de préparation aux incidents inclut les modèles NIS2 24h/72h/1 mois — associez-le à votre workflow de classification DORA et votre playbook de violation RGPD pour couvrir le trio.
Plan d’action pour les fintechs dans le périmètre des deux
Si les deux s’appliquent (la plupart des banques, grandes fintechs, prestataires de paiement réglementés), la séquence à plus fort effet de levier :
- Mappez vos preuves DORA à l’article 21 de NIS2 — la plupart des contrôles satisfont déjà NIS2 ; ce qui manque est la gouvernance, la formation et l’enregistrement. Utilisez le modèle Excel gratuit de self-audit NIS2 article 21 pour identifier les écarts en une heure.
- Enregistrez-vous auprès de l’autorité si ce n’est pas fait — vous êtes exposé à des amendes d’enregistrement de 500 K€ indépendantes de tout incident.
- Documentez la formation de la direction requise — DORA attend la compétence mais NIS2 prescrit des attestations. L’écart d’audit que la plupart des firmes DORA-matures ont est exactement celui-ci.
- Construisez le playbook d’incident à double dépôt — votre workflow DORA va à BaFin ; votre workflow NIS2 à l’autorité nationale. Le même incident déclenche les deux. Pré-rédigez les modèles.
- Lancez un scan externe — DORA article 9 et NIS2 article 21(2)(e/f) exigent tous deux la gestion des vulnérabilités. Un scan SaaSFort couvre les deux citations en un rapport.
FAQ
Si je suis conforme DORA, suis-je automatiquement conforme NIS2 ?
Non. DORA couvre le risque ICT et la notification d’incident de façon exhaustive pour la finance — cela satisfait le cœur technique de l’article 21 de NIS2. Mais NIS2 ajoute les attestations de formation de la direction, l’enregistrement, une portée de chaîne d’approvisionnement plus large et des dispositions de responsabilité personnelle que DORA ne traite pas. Prévoyez ~30-40 % de travail NIS2 supplémentaire par-dessus un programme DORA mature.
Auprès de quel régulateur dois-je déposer en premier lors d’un incident ?
DORA. Le chronomètre de notification initiale DORA est plus rapide (heures) que l’alerte précoce NIS2 sous 24 heures. Déposez DORA en premier, puis NIS2 dans sa fenêtre. Si des données personnelles sont impliquées, le chronomètre RGPD de 72 heures court en parallèle de la notification d’incident NIS2 de 72 heures.
Les amendes sont-elles cumulatives ?
Oui. DORA article 50 autorise des sanctions administratives selon le droit national. NIS2 impose jusqu’à 10 M€ ou 2 % du CA mondial pour les entités essentielles (7 M€ / 1,4 % pour les importantes). Le RGPD ajoute jusqu’à 20 M€ ou 4 %. Le même incident peut déclencher des amendes de trois régimes pour différents aspects du manquement.
Le statut lex specialis de DORA signifie-t-il que je peux ignorer l’article 23 de NIS2 si je dépose sous DORA ?
Pour la notification d’incident dans le périmètre de DORA — oui, NIS2 défère à DORA (article 1(2)). Mais cela ne couvre que la notification d’incident. Les autres obligations NIS2 (enregistrement, formation, gouvernance, chaîne d’approvisionnement plus large) s’appliquent indépendamment.
Ma fintech a moins de 50 salariés. Sommes-nous encore dans le périmètre ?
Probablement oui pour DORA (pas de seuil de taille minimum pour beaucoup d’entités financières). Pour NIS2, les seuils de taille (50+ salariés / 10 M€ de CA) s’appliquent mais avec des exceptions sectorielles. La voie prudente est de s’enregistrer et d’évaluer l’article 21 même en cas de limite.
Et les autres États membres de l’UE ?
DORA est uniforme dans l’UE (règlement, sans transposition). La transposition NIS2 varie — France, Italie, Espagne sont à des échéances différentes avec des choix d’implémentation différents. Le tableau à 12 dimensions ci-dessus tient à travers les États membres ; les noms des régulateurs et les échéances changent.
Un scan, deux cadres de conformité. Lancez un scan SaaSFort gratuit — chaque constat mappe à l’article 21 de NIS2 et aux articles DORA, exportable en PDF NIS2 et interrogeable via /api/nis2/controls/dora. Les nouveaux comptes obtiennent un essai Growth de 14 jours. Pour les preuves internes, le modèle Excel gratuit de self-audit NIS2 article 21 couvre les 10 mesures.
Ready to put this into practice?
Two ways to start — pick what fits. Free Scan if you want to see your security grade in 60s with no commitment. Free 14-day Growth trial if you're ready to monitor multiple domains, export NIS2 reports, and download Deal Reports — no credit card required.
No credit card · Cancel anytime · GDPR-ready · EU-hosted