2025 est l’année de la convergence réglementaire. Entre DORA (Digital Operational Resilience Act), NIS2 et les exigences de l’ISO 27001, les entreprises doivent prouver qu’elles maîtrisent leurs risques cyber. Mais faut-il tout reconstruire à chaque fois ? Bonne nouvelle : un mapping entre les trois référentiels est non seulement possible, mais recommandé. Cela permet d’éviter les doublons et de bâtir un seul système de management de la sécurité.
Comprendre le paysage réglementaire
DORA : le Digital Operational Resilience Act
DORA est un règlement européen spécifique au secteur financier. Il impose :
- Un cadre de gestion des risques TIC
- Des tests réguliers de résilience opérationnelle (y compris des tests de pénétration avancés)
- La gestion des tiers critiques avec clauses contractuelles obligatoires
- Un reporting rapide aux autorités en cas d’incident majeur
NIS2 : la directive de cybersécurité pour les secteurs essentiels
NIS2 élargit le champ de la cybersécurité à de nombreux secteurs : santé, énergie, transport, numérique… Les obligations principales :
- Gouvernance de la cybersécurité (responsabilité du management)
- Mesures techniques et organisationnelles minimales
- Notification des incidents majeurs en 24h
- Sanctions financières en cas de non-conformité
ISO 27001 : la norme internationale de référence
ISO 27001 n’est pas une loi, mais une norme de certification volontaire. Elle définit un Système de Management de la Sécurité de l’Information (SMSI) qui couvre :
- Politique et gouvernance sécurité
- Analyse et traitement des risques
- Contrôles de sécurité (Annexe A : 93 mesures ISO 27002:2022)
- Amélioration continue (PDCA)
Points communs entre DORA, NIS2 et ISO 27001
Ces trois cadres se rejoignent sur plusieurs piliers :
- Gouvernance : implication du COMEX et définition de rôles clairs
- Gestion des risques : identification, évaluation et traitement
- Continuité d’activité : PCA, PRA, tests réguliers
- Gestion des incidents : détection, réponse et notification
- Gestion des tiers : évaluation des fournisseurs critiques
Tableau comparatif : DORA, NIS2 et ISO 27001
| Thème | DORA | NIS2 | ISO 27001 |
|---|---|---|---|
| Gouvernance | Obligatoire, rôle du conseil | Obligatoire, responsabilité DG | Clause 5 : leadership et engagement |
| Gestion des risques | Article 5 : cadre obligatoire | Mesures proportionnées au risque | Clause 6 : planification + ISO 27005 |
| Incident response | Notification à l’autorité compétente | Notification en 24h obligatoire | A.5.24 + procédure de réponse |
| Continuité / PCA | Tests de résilience réguliers | Plans obligatoires | A.5.30 + tests réguliers |
| Gestion des tiers | Contrats TIC obligatoires + registre | Évaluation fournisseurs | A.5.19 + processus de sélection |
Conclusion : une entreprise certifiée ISO 27001 couvre déjà 70-80 % des exigences DORA/NIS2. Ce qui reste : le reporting réglementaire, les tests de résilience avancés et l’adaptation de la gouvernance pour répondre aux nouvelles obligations légales.
Bonnes pratiques pour réussir son mapping
- Éviter les silos : construire un seul SMSI qui couvre tous les référentiels
- Prioriser les écarts critiques : sanctions financières ou image
- Documenter la conformité : matrices de mapping, preuves d’audit
- Former le management : sensibilisation DG/COMEX sur leurs responsabilités
- Mettre en place une supervision continue : SIEM, SOC, indicateurs
Découvrez notre approche complète : audit de conformité et gap analysis.
L’approche RM3A
Chez RM3A, nous aidons nos clients à :
- Évaluer leur maturité (ISO 27001, NIS2, DORA)
- Construire un plan d’action unifié pour réduire les coûts
- Préparer les comités de direction et les autorités de supervision
- Former les équipes sur la conformité et la réponse à incident
Prêt à évaluer votre conformité DORA/NIS2/ISO 27001 ?
Planifier un workshop avec RM3A
FAQ : DORA, NIS2 et ISO 27001
DORA remplace-t-il ISO 27001 ?
Non, DORA est un règlement obligatoire, ISO 27001 reste une norme volontaire. Les deux sont complémentaires.
Si je suis certifié ISO 27001, suis-je conforme NIS2 ?
Pas totalement. Vous devrez ajouter les obligations légales : notification 24h, désignation d’autorité, sanctions DG.
Quelles sanctions en cas de non-conformité ?
NIS2 prévoit des amendes allant jusqu’à 2 % du CA annuel mondial. DORA peut entraîner des restrictions d’activité.
Quels secteurs sont concernés ?
DORA : secteur financier. NIS2 : secteurs essentiels et importants (santé, transport, énergie, numérique…).
Quel est le délai pour être conforme ?
DORA : janvier 2025. NIS2 : transposition au plus tard en octobre 2024 avec application en 2025.
