NIS2, DORA et RGPD : Cartographie des Exigences Croisées et Stratégie de Conformité Unifiée

1. Introduction : le millefeuille réglementaire européen

En 2026, les organisations européennes font face à un triptyque réglementaire sans précédent. La directive NIS2 (Network and Information Security 2), le règlement DORA (Digital Operational Resilience Act) et le RGPD (Règlement Général sur la Protection des Données) imposent simultanément des exigences en matière de cybersécurité, de résilience numérique et de protection des données. Pour une banque, un opérateur d'énergie ou un fournisseur de services numériques, ces trois textes s'appliquent concurremment, créant un millefeuille d'obligations qui peut sembler insurmontable.

Pourtant, une analyse attentive révèle que ces réglementations partagent un socle commun considérable : gestion des risques, notification des incidents, gouvernance, audits et sanctions. L'erreur la plus coûteuse serait de traiter chaque texte en silo, avec des équipes distinctes, des processus parallèles et des outils dédiés. Le résultat : une duplication des efforts, des incohérences et un coût de conformité multiplié par trois.

Cet article propose une cartographie croisée des exigences NIS2, DORA et RGPD. L'objectif est triple : identifier les synergies exploitables, cartographier les divergences à gérer et proposer une stratégie de conformité unifiée qui satisfait les trois textes avec un effort optimisé. Nous détaillons également les rôles et responsabilités (RSSI, DPO, compliance officer), un calendrier de mise en conformité 2025-2026, une estimation du budget et du ROI, et une checklist opérationnelle de conformité triple.

Point clé : Une approche unifiée de la conformité NIS2/DORA/RGPD peut réduire les coûts de mise en conformité de 40 à 60 % par rapport à une approche en silo, tout en améliorant la cohérence et la robustesse des dispositifs de sécurité.

2. Vue d'ensemble des trois réglementations

2.1 NIS2 : la sécurité des réseaux et systèmes d'information

La directive NIS2 (Directive (UE) 2022/2555), entrée en vigueur le 16 janvier 2023 et devant être transposée en droit national avant le 17 octobre 2024, élargit considérablement le champ d'application de la directive NIS originale. En France, la transposition est désormais effective depuis début 2025, avec l'ANSSI comme autorité compétente.

NIS2 distingue deux catégories d'entités :

• Entités essentielles : énergie, transports, santé, eau potable, infrastructures numériques, espace, administration publique, secteur bancaire. Régime de supervision proactif, contrôles ex ante.
• Entités importantes : services postaux, gestion des déchets, fabrication, production alimentaire, fournisseurs numériques (SaaS, marketplaces, moteurs de recherche). Supervision réactive, contrôles ex post.

Les obligations principales : analyse de risques formalisée, mesures de sécurité proportionnées, notification des incidents significatifs à l'autorité compétente (alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois), gouvernance avec responsabilité de la direction, sécurité de la chaîne d'approvisionnement, et formation des dirigeants. Pour une analyse approfondie de la phase opérationnelle, consultez notre article sur NIS2 phase opérationnelle 2026.

2.2 DORA : la résilience opérationnelle numérique du secteur financier

Le règlement DORA (Règlement (UE) 2022/2554), applicable depuis le 17 janvier 2025, est un règlement (pas une directive) -- il s'applique directement sans transposition nationale. Il cible spécifiquement le secteur financier : banques, assurances, sociétés de gestion, prestataires de services de paiement, établissements de monnaie électronique, et de manière inédite, les prestataires tiers critiques de services TIC (cloud providers, data centers, éditeurs de logiciels).

DORA repose sur cinq piliers :

1. Gestion des risques liés aux TIC : cadre de gestion des risques incluant identification, protection, détection, réponse et récupération.
2. Gestion des incidents TIC : classification, notification (alerte initiale sous 4h pour incidents majeurs, rapport intermédiaire sous 72h, rapport final sous 1 mois), registre des incidents.
3. Tests de résilience opérationnelle numérique : tests de pénétration avancés (TLPT - Threat-Led Penetration Testing) obligatoires tous les 3 ans pour les entités significatives.
4. Gestion des risques liés aux prestataires tiers de services TIC : registre des contrats, clauses contractuelles obligatoires, stratégie de sortie, droits d'audit et d'accès.
5. Partage d'informations : échange volontaire de renseignements sur les cybermenaces entre entités financières.

Pour un bilan complet de conformité, voir notre article DORA 2026 : bilan de conformité.

2.3 RGPD : la protection des données personnelles

Le RGPD (Règlement (UE) 2016/679), applicable depuis le 25 mai 2018, reste la pierre angulaire de la protection des données en Europe. Son article 32 impose des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant le chiffrement, la pseudonymisation, la confidentialité, l'intégrité, la disponibilité des systèmes, et la capacité de rétablir les données après un incident.

Du point de vue cybersécurité, le RGPD impose :

• Notification de violation (Art. 33-34) : notification à l'autorité de contrôle (CNIL en France) dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles. Notification aux personnes concernées si risque élevé.
• Analyse d'impact (AIPD/DPIA) (Art. 35) : pour les traitements à risque élevé. Inclut une évaluation de la nécessité, de la proportionnalité et des mesures de sécurité.
• Privacy by Design & by Default (Art. 25) : intégration de la protection des données dès la conception des systèmes.
• Registre des traitements (Art. 30) : inventaire exhaustif des traitements de données personnelles.
• Désignation d'un DPO (Art. 37-39) : obligatoire pour les organismes publics, les traitements à grande échelle et le suivi systématique de personnes.

En 2026, la CNIL renforce ses contrôles sur la sécurité technique, comme détaillé dans notre article RGPD 2026 : sécurité et exigences CNIL.

3. Analyse croisée : convergences et divergences

3.1 Notification des incidents : trois régimes, un processus

La notification des incidents est le domaine où les trois textes convergent le plus -- et divergent le plus dans les détails. Chaque texte impose une obligation de notification, mais avec des délais, des destinataires et des critères de déclenchement différents.

Critère	NIS2	DORA	RGPD
Objet de la notification	Incident significatif affectant les services	Incident TIC majeur	Violation de données personnelles
Délai alerte initiale	24 heures	4 heures (incidents majeurs)	72 heures
Rapport détaillé	72 heures	72 heures	Inclus dans la notification
Rapport final	1 mois	1 mois	Sur demande de la CNIL
Autorité destinataire	CSIRT national (CERT-FR) + ANSSI	Autorité financière (ACPR/AMF)	CNIL
Notification aux personnes	Non (pas directement)	Non (sauf clients affectés)	Oui, si risque élevé (Art. 34)

3.2 Gestion des risques : trois approches, un framework

Les trois textes exigent une approche par les risques, mais avec des perspectives différentes :

• NIS2 : analyse de risques sur les réseaux et systèmes d'information, avec mesures de sécurité proportionnées. L'approche est similaire à ISO 27001 (identification des actifs, menaces, vulnérabilités, calcul du risque, traitement).
• DORA : cadre de gestion des risques TIC intégré dans la gouvernance globale de l'entité financière. Inclut explicitement la continuité d'activité, les plans de reprise et les tests de résilience (TLPT). L'approche est plus prescriptive que NIS2.
• RGPD : analyse d'impact relative à la protection des données (AIPD/DPIA) centrée sur les droits et libertés des personnes. La perspective est différente : le risque évalué n'est pas le risque pour l'organisation, mais le risque pour les individus dont les données sont traitées.

La synergie est évidente : un framework de gestion des risques unique basé sur ISO 27001 / ISO 27005 peut couvrir les trois exigences. L'analyse de risques ISO 27005 évalue les risques sur les actifs informationnels ; il suffit d'y intégrer une dimension "impact sur les données personnelles" (perspective RGPD) et une dimension "résilience opérationnelle" (perspective DORA) pour satisfaire les trois textes avec un seul exercice d'analyse.

3.3 Gouvernance et responsabilité de la direction

Les trois textes imposent une responsabilité au niveau de la direction (board-level accountability), mais avec des degrés d'exigence variables :

• NIS2 (Art. 20) : les organes de direction doivent approuver les mesures de gestion des risques, superviser leur mise en oeuvre et suivre une formation en cybersécurité. Ils sont personnellement responsables en cas de manquement. C'est le texte le plus explicite sur la responsabilité personnelle des dirigeants.
• DORA (Art. 5) : l'organe de direction est responsable du cadre de gestion des risques TIC. Il doit définir les rôles, approuver la stratégie de résilience et allouer les ressources. Obligation de formation spécifique sur les risques TIC.
• RGPD : le responsable de traitement (l'organisation) est responsable de la conformité. La responsabilité personnelle des dirigeants n'est pas explicitement prévue dans le texte, mais la CNIL peut sanctionner les personnes physiques selon le droit national. Le DPO rend compte "au niveau le plus élevé de la direction" (Art. 38).

3.4 Audits, contrôles et tests

Chaque texte prévoit des mécanismes d'audit et de contrôle, avec des niveaux de formalisme croissants :

Aspect	NIS2	DORA	RGPD
Audits de sécurité	Audits réguliers des mesures de sécurité (fréquence non spécifiée)	Programme de tests annuel obligatoire + TLPT tous les 3 ans	Évaluation régulière de l'efficacité des mesures (Art. 32.1.d)
Tests de pénétration	Implicite dans les mesures de sécurité	TLPT obligatoire, basé sur TIBER-EU, réalisé par des testeurs qualifiés	Non explicitement requis, mais recommandé par la CNIL
Contrôles de l'autorité	Inspections, audits de sécurité, scans ad hoc par l'ANSSI	Inspections par l'ACPR, audits sur pièces et sur place	Contrôles CNIL (sur place, en ligne, sur pièces, sur audition)
Certification	Possibilité de recourir à des certifications (ISO 27001, etc.)	Standards techniques de régulation (RTS/ITS)	Codes de conduite et certifications (Art. 40-43)

3.5 Sanctions : l'addition peut être salée

Un manquement à un seul incident peut entraîner des sanctions au titre des trois textes simultanément. Les sanctions ne se substituent pas -- elles se cumulent :

• NIS2 : jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles ; 7 millions ou 1,4 % pour les entités importantes. Plus : responsabilité personnelle des dirigeants et possibilité de suspension temporaire de l'exercice de fonctions de direction.
• DORA : sanctions définies par chaque État membre, incluant amendes, injonctions et publication des décisions. Les prestataires TIC critiques sont soumis à des astreintes journalières (jusqu'à 1 % du CA mondial quotidien).
• RGPD : jusqu'à 20 millions d'euros ou 4 % du CA mondial (le montant le plus élevé). En 2025, la CNIL a prononcé des sanctions cumulées dépassant 500 millions d'euros.

Pour une banque soumise aux trois textes, un incident majeur avec fuite de données personnelles pourrait théoriquement entraîner : 2 % CA (NIS2) + sanctions ACPR (DORA) + 4 % CA (RGPD) = potentiellement 6 % du CA mondial en amendes cumulées, sans compter les dommages réputationnels et les coûts de remédiation.

4. Stratégie de conformité unifiée : le framework intégré

4.1 Principe directeur : « Comply once, satisfy all »

L'approche unifiée repose sur un principe simple : identifier le dénominateur commun le plus exigeant pour chaque domaine, puis implémenter un dispositif unique qui satisfait simultanément les trois textes. Ce principe se décline en quatre piliers :

• Un framework de gestion des risques unique basé sur ISO 27005 / EBIOS RM, qui répond aux exigences NIS2 (Art. 21), DORA (Art. 6) et RGPD (Art. 32). L'analyse de risques intègre à la fois les risques cyber (NIS2/DORA) et les risques pour les personnes concernées (RGPD).
• Un processus de notification des incidents unifié avec un guichet unique interne capable de qualifier l'incident selon les trois grilles (NIS2 : incident significatif, DORA : incident majeur TIC, RGPD : violation de données personnelles) et de déclencher les notifications appropriées dans les délais les plus courts (24h NIS2).
• Un programme d'audit et de tests consolidé aligné sur le TLPT DORA (le plus exigeant), qui couvre automatiquement les exigences NIS2 et les recommandations RGPD.
• Une gouvernance intégrée avec un comité de pilotage unique réunissant RSSI, DPO, compliance officer et représentants métier, sous la responsabilité directe de la direction générale.

4.2 Architecture du système de management intégré

Le système de management intégré (SMI) se structure en trois couches :

Couche	Composants	Textes couverts
Gouvernance	Politique de sécurité unifiée, comité de pilotage, tableaux de bord, reporting direction	NIS2 Art. 20 + DORA Art. 5 + RGPD Art. 24
Opérations	Gestion des risques, gestion des incidents, continuité, gestion des tiers, tests	NIS2 Art. 21 + DORA Art. 6-15 + RGPD Art. 32-34
Conformité	Registre des traitements, registre des incidents, documentation, audits, certifications	NIS2 Art. 23 + DORA Art. 17-19 + RGPD Art. 30, 33-34

4.3 La matrice de couverture croisée

Le tableau suivant synthétise les principales exigences et indique comment un contrôle unique peut satisfaire plusieurs textes simultanément :

Contrôle unifié	NIS2	DORA	RGPD	ISO 27001
Analyse de risques formalisée	Art. 21.1	Art. 6.1	Art. 32.1	6.1.2
Politique de sécurité SI	Art. 21.2.a	Art. 9.4	Art. 24, 32	A.5.1
Gestion des incidents	Art. 21.2.b, 23	Art. 17-19	Art. 33-34	A.5.24-28
Plan de continuité / PRA	Art. 21.2.c	Art. 11-12	Art. 32.1.c	A.5.29-30
Gestion des fournisseurs	Art. 21.2.d	Art. 28-30	Art. 28	A.5.19-23
Chiffrement et contrôle d'accès	Art. 21.2.h-i	Art. 9.2	Art. 32.1.a	A.8.1, A.8.24
Formation et sensibilisation	Art. 20.2	Art. 13.6	Art. 39	A.6.3
Tests de sécurité / pentests	Art. 21 (implicite)	Art. 24-27 (TLPT)	Art. 32.1.d	A.8.8

5. Rôles et responsabilités : qui fait quoi ?

5.1 La matrice RACI de la conformité triple

La répartition des responsabilités entre les acteurs clés doit être formalisée dans une matrice RACI. Voici les principaux rôles :

Activité	Direction Générale	RSSI	DPO	Compliance Officer
Politique de sécurité SI	A	R	C	C
Analyse de risques cyber	I	R	C	C
AIPD (Analyse d'impact vie privée)	I	C	R	C
Notification incident NIS2/ANSSI	A	R	I	C
Notification violation RGPD/CNIL	A	C	R	C
Notification incident DORA/ACPR	A	R	I	R
Tests TLPT / Pentests	I	R	I	C
Gestion des sous-traitants TIC	A	R	R	R
Formation direction (NIS2 Art. 20.2)	R	A	C	C

Légende : R = Responsable (réalise), A = Accountable (rend compte), C = Consulté, I = Informé

5.2 Le RSSI : chef d'orchestre de la conformité technique

Le RSSI est le pivot opérationnel de la conformité triple. Ses responsabilités incluent :

• Gestion des risques : Piloter l'analyse de risques unifiée (cyber + vie privée), maintenir le registre des risques et proposer les plans de traitement au comité de pilotage.
• Incident response : Coordonner la réponse aux incidents et qualifier leur impact selon les trois grilles réglementaires (NIS2/DORA/RGPD) dans les premières heures.
• Mesures techniques : Définir, implémenter et superviser les mesures de sécurité techniques (chiffrement, contrôle d'accès, segmentation, monitoring, backup).
• Tests et audits : Planifier et superviser le programme de tests (pentests, TLPT, audits internes) et assurer le suivi des plans de remédiation.
• Reporting : Produire les tableaux de bord consolidés pour la direction et les régulateurs.

5.3 Le DPO : garant de la protection des données

Le DPO (Délégué à la Protection des Données) intervient sur les volets RGPD mais aussi sur les aspects « données personnelles » de NIS2 et DORA :

• Registre des traitements : Maintenir le registre RGPD Art. 30 et l'enrichir avec les traitements liés aux mesures NIS2/DORA (logs de sécurité, surveillance réseau).
• AIPD : Réaliser les analyses d'impact relatives à la protection des données pour les nouveaux traitements, y compris ceux imposés par NIS2/DORA.
• Notifications CNIL : Piloter les notifications de violation de données personnelles (72h RGPD) en coordination avec le RSSI.
• Droits des personnes : Gérer les demandes d'exercice de droits (accès, effacement, portabilité) qui peuvent être impactées par les obligations de conservation NIS2/DORA.

5.4 La direction générale : responsabilité personnelle

NIS2 et DORA imposent une responsabilité personnelle des dirigeants en matière de cybersécurité. Concrètement, la direction doit :

• Approuver les politiques de sécurité et de résilience (NIS2 Art. 20, DORA Art. 5)
• Suivre une formation en cybersécurité (NIS2 Art. 20.2) -- obligation personnelle, non délégable
• Superviser la mise en oeuvre des mesures de gestion des risques (NIS2 Art. 20.1)
• Rendre compte aux régulateurs en cas d'incident majeur
• Assumer les sanctions en cas de manquement, y compris la suspension temporaire de leurs fonctions (NIS2 Art. 32.5)

6. Calendrier de mise en conformité 2025-2026

6.1 Chronologie des échéances réglementaires

Le calendrier réglementaire impose des échéances qui se chevauchent :

Date	Échéance	Texte
25 mai 2018	Application du RGPD (en vigueur depuis 8 ans)	RGPD
17 janvier 2025	Application de DORA	DORA
17 octobre 2024	Date limite de transposition NIS2 par les États membres	NIS2
T1 2026	Transposition NIS2 effective en France (loi + décrets d'application)	NIS2
T2 2026	Premiers contrôles ANSSI (entités essentielles prioritaires)	NIS2
T2-T4 2026	Premiers contrôles ACPR sur la conformité DORA	DORA
2027	Premiers TLPT obligatoires (entités financières systémiques)	DORA

6.2 Plan d'action en 4 phases

Nous recommandons un plan d'action structuré en quatre phases :

Phase 1 : Diagnostic (Mois 1-2)

• Cartographier les activités soumises à chaque texte (périmètre NIS2, périmètre DORA, traitements RGPD)
• Réaliser un gap analysis croisé : pour chaque exigence des trois textes, évaluer le niveau de conformité actuel (conforme / partiellement conforme / non conforme)
• Identifier les synergies (contrôles existants qui couvrent déjà plusieurs textes) et les lacunes critiques
• Prioriser les actions par criticité et par délai réglementaire

Phase 2 : Fondations (Mois 3-6)

• Mettre en place la gouvernance intégrée (comité de pilotage, RACI, reporting)
• Rédiger ou mettre à jour la politique de sécurité SI unifiée
• Déployer le framework de gestion des risques unifié (EBIOS RM enrichi DORA/RGPD)
• Formaliser le processus de notification des incidents avec les trois grilles de qualification
• Former la direction générale (obligation NIS2 Art. 20.2)

Phase 3 : Implémentation (Mois 7-12)

• Déployer les mesures techniques manquantes (chiffrement, MFA, segmentation, monitoring)
• Mettre en place le programme de tests de sécurité (pentests annuels, préparation TLPT)
• Auditer et contractualiser les prestataires TIC critiques (DORA Art. 28-30)
• Déployer un plan de continuité et de reprise couvrant les trois textes
• Lancer les campagnes de sensibilisation du personnel

Phase 4 : Maturité et amélioration continue (Mois 12+)

• Réaliser un audit blanc croisé NIS2/DORA/RGPD
• Préparer les dossiers de conformité pour les régulateurs (ANSSI, ACPR, CNIL)
• Automatiser le reporting et les contrôles récurrents
• Envisager la certification ISO 27001 comme socle fédérateur
• Mettre en place un cycle d'amélioration continue (revue de direction semestrielle)

6.3 Budget et ROI de la conformité unifiée

Le coût de mise en conformité varie considérablement selon la taille de l'organisation et son niveau de maturité initial. Voici des ordres de grandeur pour une ETI (500-5 000 collaborateurs) :

Poste	Approche silo (x3)	Approche unifiée	Économie
Consulting / accompagnement	450-750 K€	200-350 K€	-50 %
Outillage GRC	150-300 K€	80-150 K€	-47 %
Mesures techniques	300-600 K€	250-500 K€	-17 %
Formation / sensibilisation	90-150 K€	40-70 K€	-55 %
Audits / certifications	120-200 K€	60-100 K€	-50 %
Total estimé	1,1 - 2,0 M€	630 K - 1,2 M€	-40 à -43 %

Le ROI de la conformité unifiée se calcule non seulement par les économies directes (40-43 % sur le budget de mise en conformité), mais aussi par les coûts évités : sanctions potentielles (jusqu'à 6 % du CA cumulé), coûts de remédiation post-incident (en moyenne 4,5 M€ pour un incident majeur selon IBM 2025), et préservation de la réputation.

7. Checklist opérationnelle de conformité triple

Cette checklist synthétise les actions prioritaires pour atteindre la conformité croisée NIS2/DORA/RGPD. Chaque item indique les textes couverts.

8. Conclusion : transformer la contrainte en avantage compétitif

Le triptyque NIS2/DORA/RGPD représente un défi de conformité sans précédent, mais aussi une opportunité stratégique. Les organisations qui adoptent une approche unifiée obtiennent trois bénéfices majeurs :

• Économie substantielle : 40 à 43 % d'économie sur le budget de mise en conformité par rapport à une approche en silo.
• Cohérence renforcée : Un système de management intégré élimine les contradictions, les redondances et les angles morts entre les textes.
• Avantage concurrentiel : La capacité à démontrer une conformité triple aux clients, partenaires et régulateurs devient un différenciateur commercial, en particulier dans les secteurs régulés (finance, santé, énergie).

Les clés du succès résident dans :

• L'engagement de la direction : Sans sponsor exécutif, aucun programme de conformité ne peut aboutir. NIS2 renforce cet impératif en engageant la responsabilité personnelle des dirigeants.
• Le choix d'un socle fédérateur : ISO 27001:2022 offre le meilleur rapport couverture/effort pour fédérer les trois textes.
• La priorisation pragmatique : Commencer par les exigences communes (gestion des risques, incidents, gouvernance) avant de traiter les spécificités de chaque texte.
• L'outillage GRC adapté : Un outil de gouvernance, risques et conformité capable de gérer plusieurs référentiels simultanément est indispensable.

Dernière réflexion : La conformité réglementaire n'est pas une fin en soi. C'est un levier de maturité qui, bien exécuté, améliore réellement la posture de sécurité de l'organisation. Les textes NIS2, DORA et RGPD, malgré leur complexité, poussent les organisations vers des pratiques que tout professionnel de la cybersécurité recommanderait indépendamment de toute obligation légale : gestion des risques, surveillance continue, tests réguliers, et gouvernance responsable.