NIS 2 et DORA : ce que la conformité change pour votre continuité d’activité et votre gestion de crise

Pendant longtemps, la cybersécurité a été perçue comme une affaire d’experts techniques. NIS 2 et DORA changent la donne. Ces deux réglementations européennes déplacent le centre de gravité vers la résilience : non plus seulement empêcher l’incident, mais garantir que l’organisation continue de fonctionner et se rétablit quand il survient. Pour les dirigeants, c’est un changement de logique autant que de conformité.

NIS 2 et DORA : deux textes, une même obsession de résilience

NIS 2 : la cybersécurité étendue à toute l’économie

La directive NIS 2 élargit considérablement le périmètre de la précédente. En France, entre 15 000 et 18 000 entités seraient concernées, réparties en entités essentielles et entités importantes. Énergie, santé, transport, eau, administration, mais aussi industrie, agroalimentaire ou prestataires numériques : peu de secteurs y échappent. La transposition française, portée par une loi sur la résilience et la cybersécurité, est en cours d’achèvement, sous la supervision de l’ANSSI.

DORA : la résilience opérationnelle du secteur financier

Le règlement DORA, lui, s’applique depuis le 17 janvier 2025. Il vise les banques, assurances, gestionnaires d’actifs, prestataires de paiement et leurs fournisseurs de services numériques. Son exigence centrale : la continuité des activités en cas d’incident numérique, jusqu’à la restauration rapide des systèmes critiques. La supervision est assurée notamment par l’ACPR.

Le vrai dénominateur commun : continuité et gestion de crise

Du PCA et du PRA au PCRA

Au-delà de leurs différences de périmètre, NIS 2 et DORA convergent sur un point : ils sanctuarisent la continuité d’activité. Le plan de continuité d’activité (PCA) et le plan de reprise d’activité (PRA) ne suffisent plus pris isolément. Les deux textes appellent une logique intégrée, que l’on résume souvent par le PCRA : un plan de continuité et de reprise d’activité, pensé comme un tout, du maintien des fonctions vitales jusqu’au retour à la normale.

La gestion de crise cyber devient une obligation

C’est sans doute le changement le plus structurant. NIS 2 impose des exercices de gestion de crise cyber et des sauvegardes testées régulièrement. DORA exige un programme de tests rigoureux, jusqu’aux tests d’intrusion avancés (TLPT). Autrement dit, la gestion d’une crise cyber n’est plus une bonne pratique facultative : c’est une exigence vérifiable.

Ce que ces réglementations exigent concrètement

Cartographier les risques et les dépendances, y compris les tiers

Tout commence par une cartographie lucide : quels systèmes sont critiques, quelles données, quels prestataires. DORA insiste particulièrement sur le risque lié aux tiers, avec comités de pilotage, audits et clauses de continuité dans les contrats. Une dépendance à un fournisseur unique, fréquente, devient un point de fragilité à documenter et à sécuriser.

Des sauvegardes testées et une restauration sous délai

La sauvegarde n’a de valeur que si elle est restaurable. Les deux textes exigent de pouvoir remettre les systèmes en service dans des délais définis, ce qui suppose des sauvegardes récentes, protégées et surtout testées. C’est aussi ce que demandent désormais de nombreux assureurs.

Notifier les incidents dans les temps

NIS 2 fixe un rythme exigeant : une première notification dans les 24 heures suivant la prise de connaissance de l’incident, une notification complémentaire à 72 heures, puis un rapport final. Tenir ces délais en pleine crise suppose une chaîne de décision claire et une communication de crise déjà préparée.

Tester par l’exercice, pas seulement sur le papier

Un plan jamais éprouvé est un pari. Les exercices de crise réguliers, suivis d’un retour d’expérience (RETEX), sont le seul moyen de vérifier que les procédures tiennent et que la cellule de crise sait fonctionner sous pression.

Ce que nous observons sur le terrain

Dans les démarches de mise en conformité que nous accompagnons, un constat revient avec régularité : le PCA existe, mais il n’a jamais été confronté à un scénario cyber réaliste. Le document rassure ; l’épreuve, elle, révèle autre chose.

Lors des exercices que nous animons, le premier maillon qui cède est rarement technique. C’est la chaîne de décision : qui déclare la crise, qui décide d’arrêter un système, qui parle aux autorités et aux clients. Nous voyons aussi des organisations découvrir, le jour de l’incident, qu’une sauvegarde réputée fiable n’était pas restaurable, ou que le délai de notification de 24 heures était intenable faute de procédure. Ces écarts entre la conformité formelle et la résilience réelle sont précisément ce que NIS 2 et DORA cherchent à combler.

Par où commencer : une feuille de route pragmatique

Inutile de tout traiter d’un coup. Une démarche réaliste s’organise par étapes :

• déterminer si votre organisation est concernée, et à quel titre (entité essentielle, importante, ou périmètre DORA) ;
• cartographier les actifs critiques, les données et les dépendances, fournisseurs compris ;
• consolider le PCRA : continuité, sauvegardes testées, délais de restauration ;
• formaliser la gouvernance de crise et la procédure de notification ;
• éprouver le tout par un exercice, puis ajuster grâce au RETEX.

Cette progression a un avantage : elle transforme une contrainte réglementaire en capacité réelle de résister, ce qui sert l’organisation bien au-delà de la conformité, par exemple face à un rançongiciel dont le coût dépasse de loin celui de la préparation.

Conclusion : la conformité comme point de départ, pas comme finalité

NIS 2 et DORA ne demandent pas seulement des documents. Ils demandent une capacité démontrable à continuer et à se rétablir. La résilience devient un sujet de direction, mesurable et testable. Les organisations qui abordent ces textes comme une simple case à cocher passeront à côté de l’essentiel. Celles qui s’en saisissent pour muscler leur continuité et leur gestion de crise en sortiront durablement plus solides, conformité ou non.