NIS2, RGPD, DORA : 3 réglementations, 3 périmètres, et beaucoup de recoupements

NIS2 : la sécurité des SI critiques

Périmètre : tous les opérateurs des Annexes 1 et 2 dépassant 50 salariés ou 10M€ de CA. Couvre l'énergie, la santé, l'eau, les transports, la finance, le numérique, l'agroalimentaire, la recherche, etc.

Obligation principale : mettre en œuvre les 10 mesures de l'Article 21 (gouvernance, gestion des risques, incidents, continuité, chaîne d'approvisionnement, etc.). Notifier l'autorité compétente sous 24h en cas d'incident significatif.

Autorité : ANSSI en France, BSI en Allemagne, ACN en Italie, INCIBE en Espagne, CNCS au Portugal, CCB en Belgique.

Sanctions : 10M€ ou 2% du CA pour les EE, 7M€ ou 1.4% pour les EI.

RGPD : la protection des données personnelles

Périmètre : toute organisation traitant des données personnelles, quel que soit son secteur ou sa taille. Une TPE de 3 personnes qui collecte des emails clients est concernée.

Obligation principale : disposer d'une base légale pour chaque traitement, respecter les droits des personnes (Art. 15-22), notifier la CNIL sous 72h en cas de violation, désigner un DPO si requis.

Autorité : CNIL en France, BfDI en Allemagne, AEPD en Espagne, etc.

Sanctions : 20M€ ou 4% du CA mondial.

DORA : la résilience opérationnelle financière

Périmètre : tous les établissements financiers régulés (banques, assurances, fintech, PSP, gestionnaires d'actifs, plateformes crypto) + les prestataires TIC critiques qui les servent.

Obligation principale : registre des prestataires TIC, cartographie des fonctions critiques, plan de résilience opérationnelle, tests de pénétration TLPT pour les grandes entités, notification d'incident.

Autorité : ACPR + AMF en France, BaFin en Allemagne, supervisées par l'ABE/EIOPA/ESMA et la BCE.

Sanctions : variables selon les États membres, mais alignées sur celles de l'AMF/ACPR.

Matrice de cumul

Une PME industrielle 60 salariés (hors finance) → NIS2 (EI) + RGPD (toujours). Pas de DORA.

Une fintech 25 salariés → DORA (toujours, sans seuil) + RGPD. Pas de NIS2 si en dessous des seuils.

Une banque > 50 salariés → NIS2 (EE Annexe 1 finance) + DORA + RGPD. DORA prévaut sur NIS2 pour les exigences cyber spécifiques (principe lex specialis), mais NIS2 reste applicable pour les autres aspects.

Un hôpital → NIS2 (EE Annexe 1 santé) + RGPD (très fort enjeu données patient). Pas de DORA.

Une start-up SaaS B2B 30 salariés → RGPD seulement. Pas de NIS2 direct mais demandes contractuelles fortes des clients NIS2.

Comment piloter les trois en parallèle

L'erreur classique : créer 3 dossiers séparés avec 3 outils différents. C'est ingérable et redondant.

L'approche efficace : un outil unique qui mappe les questions communes. ~60% des exigences NIS2 recoupent des exigences RGPD (sécurité Art. 32, notification, gouvernance). ~70% des exigences DORA cyber recoupent NIS2.

CyberSCV propose nativement la gestion parallèle NIS2 + RGPD (et bientôt DORA) dans une plateforme unique. Une réponse à une question commune se propage entre les trois référentiels — vous évitez de tout ressaisir.