Tour d’horizon juridique : NIS 2, DORA, Cyber Resilience Act (CRA)

par | Oct 16, 2025 | Propriété Intellectuelle, logicielle et industrielle, contentieux technologique

1) Panorama général : où se situent NIS 2, DORA et le CRA dans l’« édifice » cyber de l’UE

L’Union européenne a construit depuis 2016 un corpus normatif articulant trois axes complémentaires :

  • La cybersécurité des entités et des services (logique « opérateurs/secteurs ») : c’est l’objet de la directive (UE) 2022/2555 dite NIS 2 qui élargit et durcit les obligations de gestion des risques, de notification d’incidents et de supervision pour des milliers d’entités ; elle remplace NIS 1 (2016/1148). Texte au JOUE L 333 du 27 décembre 2022. URL : https://eur-lex.europa.eu/eli/dir/2022/2555/oj (publié le 27.12.2022). (EUR-Lex) 
  • La résilience opérationnelle numérique dans la finance (logique « secteur financier et prestataires TIC critiques ») : c’est le règlement (UE) 2022/2554 dit DORA, directement applicable depuis le 17 janvier 2025 (après publication au JOUE L 333 du 27 décembre 2022) et décliné par plusieurs règlements délégués/RTS applicables en 2024–2025. URL : https://eur-lex.europa.eu/eli/reg/2022/2554/oj (publié le 27.12.2022 ; application à compter du 17.01.2025). (EUR-Lex) 
  • La sécurité des produits numériques (logique « mise sur le marché/CE »), pour combler le « chaînon manquant » côté fabricants/éditeurs : c’est le règlement (UE) 2024/2847 dit Cyber Resilience Act (CRA), publié au JOUE le 20 novembre 2024, avec une entrée en application générale au 11 décembre 2027, et certaines obligations anticipées en 2026 (notification des vulnérabilités/incident graves, notification des organismes d’évaluation). URL : https://eur-lex.europa.eu/eli/reg/2024/2847/oj (publié le 20.11.2024 ; application 11.12.2027 ; art. 71 § 2 et considérant 126). (EUR-Lex) 

Ces trois textes dialoguent avec le RGPD, la directive CER 2022/2557 (résilience des entités critiques), l’eIDAS et le Cybersecurity Act de 2019 (cadre de certification), créant un continuum « produits → services/entités → secteur financier → surveillance de marché et supervision ». (EUR-Lex)

 

2) NIS 2 (directive (UE) 2022/2555) : champ, obligations, gouvernance et sanctions

2.1. Champ matériel et personnel

NIS 2 étend très fortement le périmètre par rapport à NIS 1 :

  • Secteurs « essentiels » et « importants » (Annexes I et II) : énergie, transport, banque/infrastructures de marchés, santé, eau, déchets, numérique (DNS, registres, clouds, centres de données, réseaux sociaux), administrations publiques, espace, etc. Le classement (« essential » vs « important ») conditionne l’intensité de la supervision (ex ante/ex post). URL : https://eur-lex.europa.eu/eli/dir/2022/2555/oj (Annexes I–II). (EUR-Lex) 
  • Seuils d’inclusion : logique par taille (moyennes/grandes entreprises au sens de la reco 2003/361/CE) avec exceptions par risque, et inclusion de prestataires numériques critiques (cloud, DNS, etc.). (EUR-Lex) 
  • Approche « supply chain » : obligation d’évaluer la qualité et la résilience des produits/services et des fournisseurs (contrats, pratiques de développement, sécurité des prestataires MSSP). (EUR-Lex) 

En France, l’ANSSI a ouvert un portail d’information et d’auto-positionnement « MonEspaceNIS2 ». URL : https://monespacenis2.cyber.gouv.fr/directive/ (page d’intro) et brochure 2024 : https://monespacenis2.cyber.gouv.fr/statique/Plaquette_NIS2_2024_English.pdf. (monespacenis2.cyber.gouv.fr)

État de la transposition en droit français

La date limite fixée par l’article 41 de NIS 2 était le 17 octobre 2024 (application des mesures nationales à compter du 18 octobre 2024). Au 7 mai 2025, la Commission a adressé à la France un avis motivé pour défaut de notification de transposition complète ; la page officielle « Shaping Europe’s digital future » tient l’état des lieux et indique le point de contact (ANSSI/CERT-FR). URL : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france (état au 07.05.2025). (Digital Strategy Europe)

2.2. Exigences de gestion des risques et de gouvernance

Les entités essentielles et importantes doivent mettre en œuvre des mesures de gestion des risques de cybersécurité proportionnées (gouvernance, politiques, sensibilisation, MFA/IAAM, segmentations, supervision, gestion de la continuité, tests, etc.). La directive dresse une liste de domaines et insiste sur la chaîne d’approvisionnement et la sécurité dès la conception. URL : texte NIS 2 (L 333/80 s.). (EUR-Lex)

La direction est responsable de l’approbation et de la surveillance des mesures ; elle peut être formée et s’expose à des sanctions en cas de manquement. (Articles sur la gouvernance et pouvoirs de supervision). URL : https://eur-lex.europa.eu/eli/dir/2022/2555/oj. (EUR-Lex)

2.3. Notification des incidents significatifs

NIS 2 harmonise un schéma en trois temps (plus un rapport final) :

  • Alerte précoce (« early warning ») dans les 24 h après prise de connaissance, avec indication du caractère illicite/volontaire et de l’éventuel impact transfrontalier ; 
  • Notification d’incident sous 72 h, avec évaluation initiale (gravité/impact, IOC) ; 
  • Rapports intermédiaires sur demande de l’autorité/CSIRT ; 
  • Rapport final sous un mois après la notification 72 h. URL : https://eur-lex.europa.eu/eli/dir/2022/2555/oj (passage « within 24 hours »/« within 72 hours », obligations d’information des destinataires et coordination ENISA/Etats). (EUR-Lex) 

Note : les prestataires de services de confiance (eIDAS) conservent une notification sous 24 h pour les incidents impactant les services de confiance. (EUR-Lex)

2.4. Supervision, enforcement et sanctions

  • Supervision plus stricte pour les « essential entities », ex post pour les « important ». Pouvoirs d’audit, d’injonction, de publication, y compris coordination avec la directive CER 2022/2557 et, pour certaines entités financières/CTPP sous DORA, information de l’Oversight Forum DORA (articulation NIS 2/DORA). URL : https://eur-lex.europa.eu/eli/dir/2022/2555/oj (art. 33 et renvois). (EUR-Lex) 
  • Sanctions : plafond harmonisé élevé (pouvant atteindre des pourcentages du CA mondial, selon l’option nationale) et pouvoirs correctifs. Les modalités exactes sont fixées par la loi nationale de transposition (en France : textes à suivre/compléter au vu de l’avis motivé de 2025). URL : texte NIS 2. (EUR-Lex) 

2.5. Autorités françaises et accompagnement

 

3) DORA (règlement (UE) 2022/2554) : exigences transversales pour le secteur financier

3.1. Calendrier et architecture réglementaire

Point de repère opérationnel : plusieurs autorités (p.ex. Banque centrale de Chypre) ont rappelé la date d’application 17.01.2025 pour toutes les entités financières concernées (banques, assurances, PSP, sociétés d’investissement, gestionnaires d’actifs, infrastructures de marché, etc.). URL : https://www.centralbank.cy/en/announcements/dora-05-12-2024. (Central Bank of Cyprus)

3.2. Obligations cœur de DORA

Gouvernance et gestion des risques TIC

  • Cadre documenté, rôles et responsabilités du management, cartographie des actifs/fonctions critiques, contrôles (IAM/MFA, durcissement, sauvegardes, segmentation, monitoring), test et amélioration continue. Les RTS 2024/1774 précisent les outils/méthodes/processus (rapports de revue, indicateurs, contrôles minimaux, cadre simplifié pour petites entités). URL : 2024/1774. (EUR-Lex) 

Gestion des tiers TIC (ICT TPP) & chaînes d’approvisionnement

  • Politique contractuelle obligatoire pour les fonctions critiques ou importantes, due diligence, gouvernance des sous-traitances en cascade, clauses contractuelles minimales (droits d’audit, d’accès, de tests, réversibilité/exit), suivi continu. Tout ceci est précisé par 2024/1773 (contenu de la politique et du cycle de vie contractuel). URL : 2024/1773. (EUR-Lex) 

Gestion des incidents et des menaces

Tests de résilience (incluant TLPT)

  • Programme pluriannuel de tests (vulnérabilités, plans DRP/BCP, scenarios) et, pour certaines entités d’importance systémique, tests « threat-led » (TLPT) alignés avec les cadres TIBER-EU ; critères d’éligibilité et modalités précisés par l’RTS 2025/1190 (18.06.2025). Réfs : actualités TLPT 18.06.2025. (TRECCERT GmbH) 

Cadre d’oversight des prestataires TIC tiers critiques (CTPP)

  • Mise en place d’un sur-contrôle européen coordonné par le Joint Oversight Forum (ESAs), ciblant les CTPP (ex. méga-clouds/infrastructures). NIS 2 prévoit la coordination des autorités lorsqu’une entité essentielle est aussi désignée CTPP sous DORA. URL : texte NIS 2 (renvoi à DORA Oversight Forum). https://eur-lex.europa.eu/eli/dir/2022/2555/oj. (EUR-Lex) 

3.3. Articulation DORA / NIS 2 / RGPD

  • Chevauchement : notification d’incidents. Une banque « essential » au sens NIS 2 relève aussi de DORA. Les schémas de notification sont distincts (NIS 2 : 24 h/72 h/1 mois ; DORA : critères matériels/flux sectoriels), mais les autorités européennes œuvrent à la rationalisation (ESAs). En pratique, prévoir une orchestration interne pour éviter les incohérences de fait/dates/indicateurs. URLs : NIS 2 (délais), DORA (art. 64, RTS 2024/1772). (EUR-Lex) 
  • Vie privée : si incident = violation de données, RGPD art. 33-34 s’ajoute (CNIL/individus). NIS 2 et DORA n’écartent pas le RGPD ; le CRA (infra) rappelle l’articulation « cybersécurité ↔ protection des données » (considérants/art. 71). URL : CRA art. 71/considérants. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

 

4) Cyber Resilience Act (règlement (UE) 2024/2847) : exigences « produits avec éléments numériques »

4.1. Calendrier et portée

  • Publication : JOUE L, 20.11.2024 (acte du 23.10.2024). Entrée en vigueur : 20e jour après publication. Application générale : 11 décembre 2027. Exceptions anticipées :
    • Article 14 (notification des vulnérabilités exploitées et incidents graves) : 11.09.2026 ; 
    • Chapitre IV (désignation/notification des organismes d’évaluation de la conformité) : 11.06.2026. URL : https://eur-lex.europa.eu/eli/reg/2024/2847/oj (art. 71 § 1-2 et considérant 126). (EUR-Lex) 
  • Champ : produits matériels et logiciels mis sur le marché de l’UE, dès lors qu’ils ont des « éléments numériques » (hors certains services purs : sites web non liés à la fonctionnalité du produit, ou services cloud hors responsabilité du fabricant). URL : CRA (sections champ/considérants). https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

Le CRA installe des exigences essentielles de cybersécurité (Annexe I) et introduit des obligations de cycle de vie (conception sécurisée, gestion des vulnérabilités, mises à jour de sécurité pendant une durée proportionnée et communiquée, PSIRT, SBOM/équivalents suivant normes, journalisation, sécurité des communications, etc.), avec une présomption de conformité via normes harmonisées et, à défaut, spécifications communes. Il prévoit aussi l’articulation avec la certification EUCC (Règlement 2019/881 et Règlement d’exécution (UE) 2024/482 sur le schéma Common Criteria), permettant, via actes délégués, une présomption de conformité CRA. URLs : CRA art./considérants ; EUCC 2024/482. https://eur-lex.europa.eu/eli/reg/2024/2847/oj ; https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj. (EUR-Lex)

4.2. Obligations clés des fabricants (et autres opérateurs économiques)

  • Avant mise sur le marché : évaluation de conformité (contrôle interne, examen UE de type ou assurance qualité complète selon la classe de risque), documentation technique, déclaration UE de conformité, marquage CE qui couvre aussi la dimension cybersécurité. 
  • Après mise sur le marché : vulnerability handling (processus, PSIRT), notification à l’autorité compétente/CSIRT coordonnateur et informations aux utilisateurs en cas de vulnérabilités activement exploitées ou d’incidents graves (dès 2026 pour ces volets), publication d’avis de sécurité et mises à jour correctives. 
  • Traçabilité/transparence : information sur la durée d’assistance/sécurité et les canaux de mise à jour.
     Références : CRA, notamment Articles 10–16, 14, Chapitres II–III, Annexe I. URL : JOUE 2024/2847. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 
  • Importateurs/distributeurs : vérifications de conformité (marquage CE, documentation, langue, gestion des risques), devoir d’agir en cas de non-conformité. 
  • Surveillance de marché : autorités nationales dotées de pouvoirs de contrôle/retrait, coopération et accès à l’information (y compris en matière de données personnelles en articulation RGPD). URL : CRA Chapitre V–VI. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

4.3. Catégorisation des produits (risque) et articulation IA

Le CRA classe certains produits comme à risque accru (p. ex. éléments critiques d’infrastructure, identifiants, routeurs, systèmes embarqués, etc.) pour lesquels les procédures d’évaluation sont plus robustes. En parallèle, pour les systèmes d’IA à haut risque (règlement (UE) 2024/1689), il prévoit des synergies : si le produit est un système d’IA à haut risque, les contrôles d’évaluation de conformité IA peuvent prévaloir ou s’articuler, et la présomption de conformité peut être acquise via la certification UE (EUCC) à un niveau substantiel au moins, sous réserve d’actes de la Commission. URL : CRA (considérants et art. 12 ; art. 71). https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex)

4.4. Notifications de vulnérabilités/incidents sous le CRA (à partir de 2026)

Le canal de notification dédié aux vulnérabilités activement exploitées et aux incidents graves (art. 14) s’applique à partir du 11.09.2026. Le dispositif s’interface avec ENISA (base européenne de vulnérabilités) et les CSIRTs nationaux (coordinators), ainsi qu’avec les autorités de surveillance de marché. Textes : CRA art. 14 et art. 71. URL : https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex)

 

5) Convergences, recoupements et lignes de partage

5.1. « Qui fait quoi ? » vu de la conformité d’entreprise

5.2. Notifications : harmoniser sans dupliquer

  • NIS 2 : 24 h/72 h/1 mois vers CSIRT/autorité (ANSSI/CERT-FR en FR), information des destinataires du service si nécessaire. (EUR-Lex) 
  • DORA : schéma sectoriel finance avec critères de matérialité normalisés par 2024/1772 (contenu/détails des rapports). (EUR-Lex) 
  • CRA : vulnérabilités activement exploitées et incidents graves à partir du 11.09.2026 (art. 14), avec interface EU database/CSIRT coordonnateur. (EUR-Lex) 

Conseil de méthode (juridique/compliance) :

  • établir une matrice de déclenchement (qui/notifie/quoi/à qui/délai/horodatage) couvrant RGPD (CNIL/individus), NIS 2, DORA et CRA, 
  • fixer un « clock start » unique (moment de « prise de connaissance »), 
  • désigner un Incident Manager autorisé à verrouiller la version des faits (éviter des écarts entre notifications). 

5.3. Chaîne d’approvisionnement

  • NIS 2 oblige les entités à évaluer et contracter avec vigilance (MSSP, éditeurs, hébergeurs), avec un accent fort sur le supply-chain risk. (EUR-Lex) 
  • DORA impose une politique tiers TIC détaillée (clauses, audit, exit, sous-traitance) via 2024/1773 et un oversight CTPP au niveau de l’UE. (EUR-Lex) 
  • CRA pousse les fabricants à intégrer la sécurité dès la conception et à maintenir des mises à jour dans la durée annoncée, réduisant le risque « en amont ». (EUR-Lex) 

5.4. Normes et présomptions de conformité

 

6) Focus France (2024-2025) : autorités, transposition et trajectoires pratiques

6.1. NIS 2 en France

6.2. DORA en France

  • DORA est un règlement : il s’applique directement depuis le 17.01.2025 aux entités financières françaises sous le regard de l’ACPR, de l’AMF et des autres autorités compétentes, avec des compléments sectoriels via la directive « DORA » 2022/2556 (transposition dans les corpus sectoriels). Rappel de la date d’application : communication d’autorités européennes/BC Chypre. URL : DORA art. 64 ; https://www.centralbank.cy/en/announcements/dora-05-12-2024. (EUR-Lex) 

6.3. CRA en France

  • Le CRA uniformise au niveau UE ; la France devra désigner ses autorités de surveillance de marché et organiser les flux CSIRT/ENISA (pour art. 14), ainsi que l’interop avec les schémas de certification (EUCC) et les règles « produits » (Règlement 2019/1020). URL : CRA (chapitres V–VI, art. 71). https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

 

7) Comparaison juridique structurée

Axe NIS 2 DORA CRA
Nature Directive (transposition nationale) Règlement (directement applicable) Règlement (directement applicable)
Objet Sécuriser les entités et leurs services dans secteurs essentiels/importants Résilience opérationnelle numérique des entités financières et CTPP Sécurité des produits avec éléments numériques (fabricants/importateurs/distributeurs)
Délais clefs Transposition 17.10.2024 (FR non pleinement notifiée au 07.05.2025) Application 17.01.2025 Application 11.12.2027 (art. 14 dès 11.09.2026 ; chap. IV dès 11.06.2026)
Notif. incidents 24 h (alerte), 72 h (notification), 1 mois (final) Critères/RTS (2024/1772) + canaux sectoriels Vulnérabilités activement exploitées/incidents graves (dès 09/2026)
Chaîne d’approv. Évaluation des fournisseurs/prestataires Politique tiers TIC, clauses minimales, audit, exit (2024/1773) Exigences de conception/cycle de vie produit, mises à jour sécurité
Supervision Autorités nationales (ANSSI) Autorités financières + Oversight ESAs des CTPP Surveillance de marché (autorités produits) + CSIRTs/ENISA

Sources : NIS 2 (dir. 2022/2555, JOUE 27.12.2022) ; DORA (règl. 2022/2554, art. 64, JOUE 27.12.2022 ; 2024/1772-1774, JOUE 25.06.2024 ; RTS TLPT 2025/1190, JOUE 18.06.2025) ; CRA (règl. 2024/2847, JOUE 20.11.2024). (EUR-Lex)

 

8) Impacts pratiques et clauses contractuelles types (dirigeants, DPO, RSSI, juristes)

8.1. Gouvernance et responsabilité des dirigeants

  • NIS 2 engage la direction : approbation de la politique, surveillance du dispositif et formation. En cas d’insuffisance manifeste, les autorités peuvent imposer des mesures et sanctions (y compris personnelles selon les lois nationales). URL : NIS 2 (gouvernance/sanctions). https://eur-lex.europa.eu/eli/dir/2022/2555/oj. (EUR-Lex) 
  • DORA exige un pilotage au plus haut niveau : responsabilité sur la stratégie TIC, les scénarios de continuité, la tolérance à l’interruption pour les fonctions critiques, l’appétence au risque ; rapports réguliers (format précisé par 2024/1774, art. 27). URL : 2024/1774. https://eur-lex.europa.eu/eli/reg_del/2024/1774/oj. (EUR-Lex) 
  • CRA déplace une partie du fardeau en amont : les fabricants doivent prouver la conformité (tech file, CE, surveillance post-market) ; les acheteurs publics/privés peuvent exiger des preuves (certif./déclaration, politiques de mise à jour, SBOM), voir considérants sur les marchés publics. URL : CRA. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

8.2. Notifications : concevoir un « playbook » multirégime

8.3. Clauses contractuelles « cyber » (fournisseurs/éditeurs/cloud/MSSP)

Sous NIS 2 (côté entités) et DORA (côté finance), prévoir au minimum :

  1. Droits d’audit & d’accès (y compris aux logs, aux sites et au personnel clé) et coopération lors d’incident (RTO/RPO, war room, conservation de preuves). DORA 2024/1773 liste les volets essentiels (gouvernance, due diligence, phase d’exit, sous-traitants en cascade). URL : https://eur-lex.europa.eu/eli/reg_del/2024/1773/oj. (EUR-Lex) 
  2. Sécurité by design et mises à jour : exigences de durcissement, de gestion des vulnérabilités (SLA correctifs, CVSS, SLA pour vulnérabilités activement exploitées), SBOM/inventaire composants ; aligner le vocabulaire avec le CRA pour les produits fournis. URL : CRA (Annexe I, exigences). https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 
  3. Notification : délais contractuels permettant de tenir NIS 2/DORA/RGPD/CRA, y compris alerte précoce interne (< 12 h) pour respecter les 24 h/72 h. URLs : NIS 2 ; DORA 2024/1772 ; CRA art. 14 (2026). (EUR-Lex) 
  4. Réversibilité/exit : restitution des données, déréférence-ment des accès, transfert de connaissances, support de migration, assistance en cas de cessation de service (obligations DORA détaillées). URL : 2024/1773. https://eur-lex.europa.eu/eli/reg_del/2024/1773/oj. (EUR-Lex) 
  5. Assurance : cap sur la responsabilité et garanties (cyber risk insurance) sans compromettre la possibilité de se conformer aux obligations légales (pas de clauses empêchant la notification). 

8.4. Chaîne d’approvisionnement et due diligence

  • NIS 2 : due diligence renforcée MSSP/éditeurs/cloud (sélection prudente, historique sécurité, pratiques de dev, tests). (EUR-Lex) 
  • DORA : due diligence tiers TIC, cartographie des dépendances pour fonctions critiques, concentration des risques (multi-cloud, plan d’exit testé, obligations de testing périodique). URLs : 2024/1773 ; 2024/1774. https://eur-lex.europa.eu/eli/reg_del/2024/1773/oj ; https://eur-lex.europa.eu/eli/reg_del/2024/1774/oj. (EUR-Lex) 
  • CRA : élever les exigences fournisseurs de composants (modules, bibliothèques), contrats d’approvisionnement prévoyant un support sécurité (durée, délais correctifs, divulgation responsable, métriques). (EUR-Lex) 

 

9) Secteur financier : « zoom » DORA (pratiques attendues)

9.1. Gestion des incidents : seuils et rapports (2024/1772)

  • Critères : nombre d’utilisateurs touchés, indisponibilité, pertes, données compromises, géographie, réputation. 
  • Matérialité : seuils et détails de contenu pour les rapports « major incidents ».
     URL : 2024/1772. https://eur-lex.europa.eu/eli/reg_del/2024/1772/oj. (EUR-Lex) 

9.2. TLPT (RTS 2025/1190) : gouvernance et périmètre

9.3. Tiers critiques (« CTPP ») : oversight européen

  • CTPP (clouds/hyperscalers, fournisseurs d’infrastructures) : désignation et surveillance par les ESAs (Joint Oversight Forum) ; pouvoirs pour exiger remédiations/tests. 
  • Lien NIS 2 : l’art. 33 NIS 2 exige l’information de l’Oversight Forum quand une entité essentielle est aussi CTPP sous DORA. URL : NIS 2 art. 33. https://eur-lex.europa.eu/eli/dir/2022/2555/oj. (EUR-Lex) 

 

10) Produits & marchés : « zoom » CRA (pratiques attendues)

10.1. Conformité CE : choix de la voie d’évaluation

  • Contrôle interne pour produits à risque standard si normes harmonisées disponibles et appliquées. 
  • Examen UE de type / assurance qualité complète pour certaines catégories à risque. 
  • Documentation technique détaillée (architecture sécurité, tests, gestion des vulnérabilités, journalisation, crypto). 
  • Déclaration UE + CE (guide d’apposition cohérent avec d’autres règlements « produits »).
     URL : 2024/2847 (chap. II–III, Annexes I–III). https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

10.2. Cycle de vie et « support sécurité »

  • Durée d’assistance minimale déclarée (et tenue) ; gestion responsable des vulnérabilités (process, PSIRT, coordination, publication d’avis) ; mises à jour offrant des correctifs sans dégradation de fonctionnalités de sécurité. 
  • Exploitations actives/incidents graves : notification (art. 14) dès 11.09.2026.
     URL : 2024/2847 art. 14/71. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 

10.3. Standards et certification

 

11) Programme d’action pour un acteur français (2025–2027)

11.1. Entreprise « non-finance » potentiellement NIS 2

  1. Cartographier l’éligibilité : secteur, taille, services fournis, dépendances (avec l’aide du portail ANSSI). URL : https://monespacenis2.cyber.gouv.fr/directive/. (monespacenis2.cyber.gouv.fr) 
  2. Gouvernance : mandat au comité cyber rattaché au CA/DG ; formation dirigeants (NIS 2). (EUR-Lex) 
  3. Politique de gestion des risques : aligner référentiels (ISO/NIST) sur les exigences NIS 2 (contrôles, journalisation, MFA, segmentation, sensibilisation). (EUR-Lex) 
  4. Supply chain : clauses minimales « NIS 2-ready » (notification, audit, SLA correctifs, SOC, EDR, buffers de journalisation). (EUR-Lex) 
  5. Playbook incidents : déclencheurs 24 h/72 h NIS 2, plus RGPD si données. (EUR-Lex) 

11.2. Acteur financier (banque/assurance/PSP/infra de marché)

  1. Conformité DORA « de base » (dès 17.01.2025) : politique TIC, métriques, revue annuelle (format/rapport — 2024/1774 art. 27), cartographie fonctions critiques. URLs : DORA ; 2024/1774. https://eur-lex.europa.eu/eli/reg/2022/2554/oj ; https://eur-lex.europa.eu/eli/reg_del/2024/1774/oj. (EUR-Lex) 
  2. Incidents : processus de classification (2024/1772), entraînement des équipes pour la cohérence des notifications avec NIS 2/RGPD. URL : 2024/1772. https://eur-lex.europa.eu/eli/reg_del/2024/1772/oj. (EUR-Lex) 
  3. Tiers TIC : politique/clauses (2024/1773), plans d’exit, exercices de réversibilité. URL : 2024/1773. https://eur-lex.europa.eu/eli/reg_del/2024/1773/oj. (EUR-Lex) 
  4. Tests : roadmap TLPT si éligible (RTS 2025/1190), coordination TIBER-EU. Réfs actualités 18.06.2025. (TRECCERT GmbH) 

11.3. Fabricant/éditeur (produits avec éléments numériques)

  1. Gap analysis CRA vs portfolio (classification risque, voies d’évaluation), plan CE. URL : CRA. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 
  2. Processus PSIRT + gestion vulnérabilités (politique, intake, triage, correction, publication, CVD), prêt pour 11.09.2026 (art. 14). (EUR-Lex) 
  3. Durée de support annoncée et tenue, pipeline de mises à jour sécurisé, journaux, SBOM (ou équivalents) selon normes. (EUR-Lex) 
  4. Contrats de distribution/import adaptés : responsabilités, information aux utilisateurs, obligations post-market, retrait/rappeI. (EUR-Lex) 

 

12) Questions récurrentes (FAQ juridique)

Q1 — Une même entité peut-elle être soumise à NIS 2 et DORA ?
 Oui : un établissement financier est « essential/important » sous NIS 2 et, en même temps, soumis à DORA. Il faut organiser des notifications cohérentes et une gouvernance unifiée. URLs : NIS 2 ; DORA/2024/1772. https://eur-lex.europa.eu/eli/dir/2022/2555/oj ; https://eur-lex.europa.eu/eli/reg_del/2024/1772/oj. (EUR-Lex)

Q2 — Le CRA remplace-t-il NIS 2 ?
 Non : CRA vise la mise sur le marché de produits ; NIS 2 vise la gestion des risques/notification par les entités fournissant des services. Les deux se cumulent : un cloud provider/fabricant doit livrer des produits conformes CRA, et ses clients « NIS 2 » garderont des obligations d’entité. URL : CRA ; NIS 2. https://eur-lex.europa.eu/eli/reg/2024/2847/oj ; https://eur-lex.europa.eu/eli/dir/2022/2555/oj. (EUR-Lex)

Q3 — Quelle est la date pivot pour les fabricants ?
 Le 11 décembre 2027 (application générale), avec des obligations avancées dès 2026 (art. 14 et Chapitre IV). URL : CRA art. 71. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex)

Q4 — Où en est la France pour NIS 2 ?
 La France n’avait pas notifié une transposition complète au 07.05.2025 (avis motivé). Point de contact : ANSSI/CERT-FR. URL : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france. (Digital Strategy Europe)

Q5 — Les normes techniques DORA sur incidents et tiers sont-elles en vigueur ?
 Oui : 2024/1772, 2024/1773 et 2024/1774 ont été publiés au JOUE le 25.06.2024 et sont en vigueur (application couplée à DORA depuis 17.01.2025). URLs :

Q6 — Et le cadre TLPT DORA ?
 Le RTS TLPT (règl. délégué 2025/1190) a été publié au JOUE le 18.06.2025 et est applicable depuis 08.07.2025. Réfs : annonces et analyses :
 https://treccert.com/threat-led-penetration-testing-tlpt-under-dora-is-now-in-effect/ ;
 https://tiber.info/blog/2025/06/18/the-dora-threat-led-penetration-testing-rts-has-been-published/. (TRECCERT GmbH)

 

13) Check-list « conformité pratique » (synthèse opérationnelle)

Gouvernance & risques

  • Mandater un comité cyber rattaché au Board ; définir appétence au risque et Seuils de matérialité. 
  • Rédiger/mettre à jour la Politique TIC (DORA) ou Politique de sécurité NIS 2 (non-finance) avec inventaire des contrôles minimaux (2024/1774). URL : 2024/1774. https://eur-lex.europa.eu/eli/reg_del/2024/1774/oj. (EUR-Lex) 

Supply chain & contrats

Incidents & notifications

Tests & amélioration continue

  • Programme annuel de tests (techniques/organisationnels), exercices crise et, si éligible, TLPT (RTS 2025/1190). Réfs : TLPT 18.06.2025. (TRECCERT GmbH) 

Surveillance de marché / post-market (CRA)

 

14) Références officielles (textes et pages institutionnelles, avec dates)

Directive NIS 2

Règlement DORA

Cyber Resilience Act (CRA)

 

15) Points d’attention contentieux et pénal-numérique (pratique française)

  • Base légale et faute : l’écart avéré aux exigences NIS 2/DORA/CRA peut étayer une faute civile (manquement à une obligation de sécurité) ; côté produit, le nouveau régime de responsabilité produit (dir. 2024/2853) interagit avec l’obligation de mises à jour de sécurité (CRA, considérants). URLs : CRA ; dir. 2024/2853. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 
  • Pénal : en cas d’incident grave suivi d’une non-notification, d’une dissimulation, ou d’une absence manifeste de mesures proportionnées, les autorités pourraient considérer la mise en danger ou certains délits informatiques (au cas par cas). L’obligation de conservation de preuves et de coopération avec l’autorité peut être contractualisée et processée (SOC/forensic). 
  • Preuves : tenir des journaux admissibles (intégrité, horodatage), chaîne de conservation (chain of custody), et documenter les décisions (pour démontrer la proportionnalité). 

 

16) Feuille de route intégrée 2025–2027 (entreprises multi-expositions)

  1. 2025
  2. 2026
    • CRA : art. 14 (vulnérabilités/incidents) 11.09.2026, chap. IV (organismes) 11.06.2026 : les fabricants/éditeurs doivent être opérationnels (PSIRT, canaux CVD, reporting). URL : CRA art. 71/14. https://eur-lex.europa.eu/eli/reg/2024/2847/oj. (EUR-Lex) 
    • TLPT : premières vagues selon RTS 2025/1190 (éligibles), articulation TIBER-EU. Réfs 18.06.2025. (TRECCERT GmbH) 
  3. 2027

 

Annexes — Liens actifs (URL complètes) et dates

Voir aussi :

La cybersécurité

Data Act et RGPD

Nouvelles règles européennes et produits défectueux

La règlementation IA