Alors qu’elles étaient déjà bien présentes ces dernières années, avec l’arrivée de l’intelligence artificielle, les cybermenaces se multiplient et touchent de plus en plus de grandes organisations et de structures plus modestes. Cette intensification des risques met en lumière la nécessité de mettre en place un cadre commun au sein de l’Union Européenne pour renforcer la résilience numérique des acteurs publics, mais aussi des entreprises.
A ce titre, les directives NIS 2 et DORA, applicables progressivement depuis la fin de l’année 2024 et depuis le début de l’année 2025, redéfinissent les exigences en matière de cybersécurité, de gestion des risques tiers et de supervision des prestataires. Aujourd’hui, comprendre leur portée permet aux organisations d’anticiper au mieux les obligations à venir, mais aussi d’adopter une stratégie plus mûre en matière de conformité réglementaire et de protection des systèmes d’information…
Une évolution réglementaire déjà prise en charge par des spécialistes ?
Les entreprises et les acteurs publics doivent désormais intégrer ces exigences renforcées en matière de gestion des risques liés aux prestataires, aux fournisseurs, mais aussi aux partenaires technologiques. Pour appréhender ce nouveau paradigme, certains acteurs spécialisés comme Infolegale apportent d’ores et déjà un appui méthodologique basé sur l’analyse des risques, la surveillance des tiers, et la maîtrise des données de conformité.
Ces spécialistes accompagnent notamment les entreprises dans la compréhension des nouveaux textes européens, et notamment les directives NIS 2 et DORA qui se trouvent au cœur de la stratégie de résilience numérique, tant pour sécuriser les opérations que structurer une gouvernance des risques.
Directives NIS 2 et DORA, de quoi s’agit-il ?
Dans le cadre de votre entreprise, il est tout à fait possible que vous soyez directement concerné par les directives NIS 2 et DORA, mais de quoi s’agit-il plus exactement ?
NIS 2
NIS 2 vise à améliorer la sécurité des réseaux et des systèmes d’information en étendant son périmètre à de nouveaux secteurs, notamment les collectivités, les administrations publiques, et certaines entreprises jugées comme stratégiques.
La directive, entrée en vigueur en France le 17 octobre 2024, cherche à harmoniser les pratiques de cybersécurité et à structurer une gestion proactive des risques tiers.
DORA
De son côté, DORA s’adresse plus particulièrement au secteur financier. Depuis le 17 janvier 2025, cette réglementation encadre la résilience numérique opérationnelle des entités financières, ainsi que la gestion des risques associés à leurs prestataires dans les TIC (Technologies de l’Information et de la Communication). Concrètement, elle insiste sur la nécessité d’un suivi contractuel et rigoureux, et sur un registre détaillé des relations avec les prestataires.
Une redéfinition de la gestion du risque des tiers ?
Les deux textes imposent une approche plus méthodique de l’évaluation et du suivi des tiers pour les organisations. Dans le cas de la directive NIS, cela se traduit par l’obligation d’évaluer les pratiques en ligne des fournisseurs, d’analyser les risques associés et de garantir la sécurité des échanges numériques. On retrouve une approche similaire pour DORA, même si la directive se concentre plutôt sur les TIC avec un registre contractuel, une formalisation des stratégies de sortie, ou encore un suivi précis des incidents.
Mais si ces obligations peuvent être vues comme des contraintes, les spécialistes y voient plutôt des leviers d’amélioration. Alors qu’on estime le coût moyen d’une cyberattaque à près de 4 millions d’euros pour les grandes organisations, ces directives invitent chaque entreprise et acteur public à évaluer dès aujourd’hui son écosystème…
Analyste économique et financier, je décrypte les tendances des marchés et les politiques économiques depuis plus de dix ans. Mon parcours m’a conduit à collaborer avec diverses institutions financières et médias spécialisés, où j’ai développé une expertise reconnue dans l’analyse des dynamiques économiques contemporaines.
