.w-dropdown-list { transition-delay: 0.15s; }

DORA vs NIS2 :
Quelle réglementation s'applique ?

Dernière mise à jour : Juillet 2026
Temps de lecture : 30 minutes
Conforme aux attentes DORA 2026

Si votre entité détient un agrément ACPR ou AMF, c'est le règlement DORA qui s'applique à vous, pas NIS2, même si votre secteur (banque, assurance) figure dans la liste des 18 secteurs couverts par NIS2. DORA agit comme lex specialis pour la finance : l'Article 4 du règlement le fait primer sur NIS2 pour toutes les entités qu'il couvre.

Cette confusion revient systématiquement chez les directions informatiques d'entités financières françaises : sociétés de gestion, établissements de paiement, assureurs régionaux, cabinets de gestion de patrimoine. Les deux textes sont entrés en application à quelques années d'écart, couvrent tous deux la résilience numérique, et la France les transpose au sein du même véhicule législatif, la loi Résilience. De quoi entretenir l'ambiguïté sur qui applique quoi.

Thomas est DSI d'une compagnie d'assurance de 110 personnes à Rennes. Début 2026, son équipe a préparé un dossier de conformité NIS2
en s'appuyant sur le ReCyF de l'ANSSI, parce que le secteur "assurance" apparaît explicitement dans les 18 secteurs NIS2. Un échange avec l'ACPR lors d'un contrôle de routine lui a fait découvrir son erreur : son agrément ACPR le place sous DORA, pas sous NIS2. Six mois de préparation ont dû être réorientés vers l'Article 12 et les exigences DORA propres à son secteur.

À retenir :

  • DORA est lex specialis pour le secteur financier (Art. 4) : il supplante NIS2 pour toute entité sous agrément ACPR ou AMF.
  • NIS2 couvre 18 secteurs et 15 000 à 18 000 entités françaises ; DORA ne couvre que le secteur financier, sans seuil de taille minimal.
  • Sur la sauvegarde : DORA Art. 12 §5 exige explicitement une isolation physique des systèmes de restauration ; NIS2 et le ReCyF imposent
    la règle 3-2-1 sans cette précision.
  • Sanctions : DORA jusqu'à 10 M€ ou 5 % du chiffre d'affaires mondial ; NIS2 jusqu'à 10 M€ ou 2 % (entités essentielles) ou 7 M€ ou 1,4 % (entités importantes).
  • Un prestataire technique qui sert à la fois le secteur financier et un autre secteur régulé peut relever des deux régimes simultanément.

Pourquoi la confusion entre DORA et NIS2 est si fréquente

Les deux textes partagent un objectif commun : renforcer la résilience numérique des organisations face aux cyber-risques.
Tous deux imposent une gestion documentée des risques TIC, des tests de résilience, une notification rapide des incidents, et une vigilance sur la chaîne de sous-traitance.

En France, le calendrier accentue la confusion. Le projet de loi Résilience transpose simultanément NIS2, la directive REC sur les infrastructures critiques, et le règlement DORA. Les trois textes avancent donc dans le même véhicule législatif, adopté en première lecture au Sénat en octobre 2024, avec un examen en hémicycle désormais attendu en juillet 2026.

Autre source de confusion : la liste des 18 secteurs NIS2 inclut explicitement la banque et les infrastructures des marchés financiers. Un DSI qui consulte cette liste peut raisonnablement conclure que son entité relève de NIS2. C'est vrai pour le secteur, faux pour le régime applicable : DORA prend le relais dès qu'une entité financière détient l'agrément qui la place sous supervision ACPR ou AMF.

Le principe qui tranche : DORA est lex specialis pour la finance

L'Article 4 du règlement DORA règle la question sans ambiguïté. DORA fonctionne comme lex specialis, un texte spécial qui prime sur un texte général, pour tout ce qui concerne la résilience opérationnelle numérique du secteur financier. Une entité soumise à DORA n'a pas à appliquer NIS2 en parallèle pour ce périmètre.

Concrètement, si vous détenez l'un de ces agréments, DORA s'applique et NIS2 ne s'applique pas séparément à vous :

  • Établissement de crédit ou de paiement, agréé par l'ACPR.
  • Entreprise d'investissement ou société de gestion de portefeuille, agréée par l'AMF.
  • Entreprise d'assurance ou de réassurance, agréée par l'ACPR.
  • Prestataire de services sur crypto-actifs, agréé au titre de MiCA.

Cette bascule n'est pas une option de confort réglementaire, c'est une obligation légale. Rediriger votre dossier de conformité vers NIS2 alors que vous êtes sous agrément financier ne vous met pas en conformité, cela vous laisse simplement sans réponse aux exigences réelles de l'Article 12 sur la sauvegarde.

Pour le détail des obligations DORA propres à la sauvegarde, consultez notre guide DORA et sauvegarde et notre article sur les cinq obligations de l'Article 12.]

DORA vs NIS2 : le comparatif complet

Critère
DORA
NIS2 (France)
Champ d'application
Secteur financier uniquement (20+ catégories d'entités)
18 secteurs critiques, tous domaines confondus
Entités concernées en France
Toutes les entités financières agréées,
sans seuil de taille
15 000 à 18 000 entités, selon un seuil
d'effectif et de chiffre d'affaires
Entrée en vigueur
Directe depuis le 17 janvier 2025,
sans transposition
Transposition française en cours
(loi Résilience attendue en 2026)
Exigence sauvegarde
Art. 12 §5 : isolation physique et logique
explicite
Art. 21 et ReCyF : mesures techniques incluant
la règle 3-2-1
Autorité de contrôle
ACPR et AMF
ANSSI
Notification d'incident
4 heures (alerte initiale)
24 heures (alerte) puis 72 heures (rapport)
Sanctions maximales
10 M€ ou 5 % du chiffre d'affaires mondial
10 M€ ou 2 % (entités essentielles),
7 M€ ou 1,4 % (entités importantes)
Test de résilience obligatoire
TLPT tous les 3 ans pour
les entités significatives
Tests de pénétration réservés aux entités essentielles (objectifs 16 à 20 du ReCyF)
Principe de proportionnalité
Oui, Art. 4
Oui, obligations différenciées EE/EI

Sur le fond technique, les deux règlements convergent largement : sauvegardes isolées, testées, documentées, avec une chaîne de sous-traitance sous surveillance. La différence porte sur l'autorité de contrôle, le niveau de sanction, et la précision de l'exigence d'isolation physique, plus stricte et plus explicite sous DORA.

Entités à double exposition : quand faut-il appliquer les deux régimes ?

Le cas le plus fréquent de double exposition concerne les prestataires techniques. Un prestataire TIC qui fournit des services au secteur financier, sans être lui-même une entité financière agréée, peut relever à la fois de DORA (via ses obligations envers ses clients financiers) et de NIS2 (si son propre secteur d'activité entre dans le périmètre des 18 secteurs couverts).

Aurélie dirige une société d'infogérance de 40 personnes à Lyon, qui héberge à la fois des clients bancaires et des clients industriels. Fin 2025, elle a constaté que ses contrats avec ses clients bancaires intègrent désormais des clauses de résilience calquées sur DORA, tandis que son propre statut d'entité importante NIS2, du fait de son activité de fournisseur numérique, l'oblige en parallèle au ReCyF. Elle gère aujourd'hui deux référentiels de conformité en parallèle, avec un socle technique commun : sauvegardes immuables, isolation physique, tests documentés.

Cette situation n'est pas exceptionnelle pour les prestataires de services numériques, hébergeurs, et intégrateurs qui servent plusieurs secteurs régulés. Le bon réflexe : identifier séparément votre propre statut réglementaire (êtes-vous vous-même une entité NIS2 ?) et les exigences contractuelles que vos clients financiers vous imposent au titre de DORA. Les deux ne s'annulent pas, ils se cumulent.

Vous gérez des clients financiers et industriels avec la même infrastructure de sauvegarde ? Planifiez un point technique de 30 minutes
pour clarifier laquelle de vos obligations prime selon chaque relation contractuelle.

Sauvegarde : ce qui change concrètement entre DORA et NIS2

C'est le point technique où les deux règlements divergent le plus nettement, et celui qui a le plus d'impact sur votre architecture.

DORA, à l'Article 12 §5, est explicite : les systèmes utilisés pour la restauration doivent être « physiquement et logiquement séparés du système
TIC source ». Un tenant cloud isolé ne suffit pas seul, l'isolation physique est une condition à part entière, distincte de l'isolation logique.

NIS2, via l'Article 21 et le ReCyF de l'ANSSI, impose une règle 3-2-1 (trois copies, deux supports différents, une copie hors site) et des attendus d'immuabilité, sans formuler d'exigence d'isolation physique aussi explicite que DORA. Le cloisonnement réseau recommandé par le ReCyF peut être satisfait par une séparation logique robuste, sans nécessiter un équipement physiquement distinct dans tous les cas.

En pratique, une architecture conforme DORA (isolation physique systématique) satisfait aussi les attendus NIS2 sur la sauvegarde.
L'inverse n'est pas garanti : une architecture strictement conforme NIS2, avec une séparation uniquement logique, peut ne pas suffire pour DORA.

Pour les entités concernées par NIS2 uniquement, notre article NIS2 et backup : quelles obligations techniques concrètes ? détaille la règle 3-2-1
et les attendus du ReCyF. Pour les entités financières sous DORA, la checklist des 5 obligations de l'Article 12 (couvre l'isolation physique en détail.

Comment savoir lequel s'applique à vous : 4 questions à se poser

  1. Détenez-vous un agrément ACPR ou AMF ? Si oui, DORA s'applique directement, quel que soit votre effectif ou votre chiffre d'affaires.
  2. Votre activité relève-t-elle de l'un des 18 secteurs NIS2, sans agrément financier ? Si oui, c'est NIS2 qui s'applique, sous réserve des seuils d'effectif et de chiffre d'affaires.
  3. Êtes-vous prestataire technique d'une entité financière, sans être vous-même agréé ? Vérifiez vos contrats : des clauses de résilience calquées sur DORA peuvent s'appliquer contractuellement, en plus de votre statut NIS2 propre si votre secteur est couvert.
  4. Votre prestataire de sauvegarde ou de cloud est-il désigné prestataire TIC critique ? *Si oui, il a ses propres obligations de résilience. Si non, la responsabilité de la conformité de votre architecture reste entièrement la vôtre.
Pour approfondir votre situation spécifique selon votre secteur, consultez notre guide NIS2 France 2026 si vous n'êtes pas dans le secteur financier, ou notre guide DORA et sauvegarde(https://www.vytalx.fr/dora-sauvegarde-guide-operationnel-pour-entites-financieres) si vous détenez un agrément ACPR ou AMF.

Un doute sur le régime qui s'applique à votre entité ? Réservez 30 minutes avec notre équipe pour clarifier votre périmètre réglementaire exact avant d'engager un chantier de mise en conformité.

Questions fréquentes

Conclusion

La confusion entre DORA et NIS2 vient d'un chevauchement apparent : mêmes objectifs de résilience, même calendrier de transposition française, secteurs financiers listés dans les deux textes. Le critère qui tranche reste simple : un agrément ACPR ou AMF place votre entité sous DORA, qui prime sur NIS2 par principe de lex specialis.

Sur le plan technique, une architecture de sauvegarde conforme DORA, avec isolation physique systématique, couvre aussi largement les attendus NIS2. La bonne pratique consiste à identifier d'abord votre statut réglementaire exact, puis à construire une architecture qui satisfait le régime le plus exigeant des deux, plutôt que de traiter les deux textes comme des chantiers séparés.

Besoin de clarifier votre périmètre réglementaire avant d'engager un chantier de conformité ? Planifiez un audit technique de 30 minutes).
Nous identifions le régime applicable à votre entité et les briques de sauvegarde à déployer en conséquence.

Revoir votre architecture
de sauvegarde avec VYTALX
Un entretien dédié pour passer en revue vos workloads, vos contraintes 

(sites, bande passante, RPO/RTO) et confronter votre dispositif actuel 

aux capacités de notre plateforme de Backup managé.
Planifier une revue technique Backup