.w-dropdown-list { transition-delay: 0.15s; }
Si votre entité détient un agrément ACPR ou AMF, c'est le règlement DORA qui s'applique à vous, pas NIS2, même si votre secteur (banque, assurance) figure dans la liste des 18 secteurs couverts par NIS2. DORA agit comme lex specialis pour la finance : l'Article 4 du règlement le fait primer sur NIS2 pour toutes les entités qu'il couvre.
Cette confusion revient systématiquement chez les directions informatiques d'entités financières françaises : sociétés de gestion, établissements de paiement, assureurs régionaux, cabinets de gestion de patrimoine. Les deux textes sont entrés en application à quelques années d'écart, couvrent tous deux la résilience numérique, et la France les transpose au sein du même véhicule législatif, la loi Résilience. De quoi entretenir l'ambiguïté sur qui applique quoi.
Thomas est DSI d'une compagnie d'assurance de 110 personnes à Rennes. Début 2026, son équipe a préparé un dossier de conformité NIS2
en s'appuyant sur le ReCyF de l'ANSSI, parce que le secteur "assurance" apparaît explicitement dans les 18 secteurs NIS2. Un échange avec l'ACPR lors d'un contrôle de routine lui a fait découvrir son erreur : son agrément ACPR le place sous DORA, pas sous NIS2. Six mois de préparation ont dû être réorientés vers l'Article 12 et les exigences DORA propres à son secteur.
Les deux textes partagent un objectif commun : renforcer la résilience numérique des organisations face aux cyber-risques.
Tous deux imposent une gestion documentée des risques TIC, des tests de résilience, une notification rapide des incidents, et une vigilance sur la chaîne de sous-traitance.
En France, le calendrier accentue la confusion. Le projet de loi Résilience transpose simultanément NIS2, la directive REC sur les infrastructures critiques, et le règlement DORA. Les trois textes avancent donc dans le même véhicule législatif, adopté en première lecture au Sénat en octobre 2024, avec un examen en hémicycle désormais attendu en juillet 2026.
Autre source de confusion : la liste des 18 secteurs NIS2 inclut explicitement la banque et les infrastructures des marchés financiers. Un DSI qui consulte cette liste peut raisonnablement conclure que son entité relève de NIS2. C'est vrai pour le secteur, faux pour le régime applicable : DORA prend le relais dès qu'une entité financière détient l'agrément qui la place sous supervision ACPR ou AMF.
L'Article 4 du règlement DORA règle la question sans ambiguïté. DORA fonctionne comme lex specialis, un texte spécial qui prime sur un texte général, pour tout ce qui concerne la résilience opérationnelle numérique du secteur financier. Une entité soumise à DORA n'a pas à appliquer NIS2 en parallèle pour ce périmètre.
Concrètement, si vous détenez l'un de ces agréments, DORA s'applique et NIS2 ne s'applique pas séparément à vous :
Cette bascule n'est pas une option de confort réglementaire, c'est une obligation légale. Rediriger votre dossier de conformité vers NIS2 alors que vous êtes sous agrément financier ne vous met pas en conformité, cela vous laisse simplement sans réponse aux exigences réelles de l'Article 12 sur la sauvegarde.
Pour le détail des obligations DORA propres à la sauvegarde, consultez notre guide DORA et sauvegarde et notre article sur les cinq obligations de l'Article 12.]
Sur le fond technique, les deux règlements convergent largement : sauvegardes isolées, testées, documentées, avec une chaîne de sous-traitance sous surveillance. La différence porte sur l'autorité de contrôle, le niveau de sanction, et la précision de l'exigence d'isolation physique, plus stricte et plus explicite sous DORA.
Le cas le plus fréquent de double exposition concerne les prestataires techniques. Un prestataire TIC qui fournit des services au secteur financier, sans être lui-même une entité financière agréée, peut relever à la fois de DORA (via ses obligations envers ses clients financiers) et de NIS2 (si son propre secteur d'activité entre dans le périmètre des 18 secteurs couverts).
Aurélie dirige une société d'infogérance de 40 personnes à Lyon, qui héberge à la fois des clients bancaires et des clients industriels. Fin 2025, elle a constaté que ses contrats avec ses clients bancaires intègrent désormais des clauses de résilience calquées sur DORA, tandis que son propre statut d'entité importante NIS2, du fait de son activité de fournisseur numérique, l'oblige en parallèle au ReCyF. Elle gère aujourd'hui deux référentiels de conformité en parallèle, avec un socle technique commun : sauvegardes immuables, isolation physique, tests documentés.
Cette situation n'est pas exceptionnelle pour les prestataires de services numériques, hébergeurs, et intégrateurs qui servent plusieurs secteurs régulés. Le bon réflexe : identifier séparément votre propre statut réglementaire (êtes-vous vous-même une entité NIS2 ?) et les exigences contractuelles que vos clients financiers vous imposent au titre de DORA. Les deux ne s'annulent pas, ils se cumulent.
Vous gérez des clients financiers et industriels avec la même infrastructure de sauvegarde ? Planifiez un point technique de 30 minutes
pour clarifier laquelle de vos obligations prime selon chaque relation contractuelle.
C'est le point technique où les deux règlements divergent le plus nettement, et celui qui a le plus d'impact sur votre architecture.
DORA, à l'Article 12 §5, est explicite : les systèmes utilisés pour la restauration doivent être « physiquement et logiquement séparés du système
TIC source ». Un tenant cloud isolé ne suffit pas seul, l'isolation physique est une condition à part entière, distincte de l'isolation logique.
NIS2, via l'Article 21 et le ReCyF de l'ANSSI, impose une règle 3-2-1 (trois copies, deux supports différents, une copie hors site) et des attendus d'immuabilité, sans formuler d'exigence d'isolation physique aussi explicite que DORA. Le cloisonnement réseau recommandé par le ReCyF peut être satisfait par une séparation logique robuste, sans nécessiter un équipement physiquement distinct dans tous les cas.
En pratique, une architecture conforme DORA (isolation physique systématique) satisfait aussi les attendus NIS2 sur la sauvegarde.
L'inverse n'est pas garanti : une architecture strictement conforme NIS2, avec une séparation uniquement logique, peut ne pas suffire pour DORA.
Pour les entités concernées par NIS2 uniquement, notre article NIS2 et backup : quelles obligations techniques concrètes ? détaille la règle 3-2-1
et les attendus du ReCyF. Pour les entités financières sous DORA, la checklist des 5 obligations de l'Article 12 (couvre l'isolation physique en détail.
Pour approfondir votre situation spécifique selon votre secteur, consultez notre guide NIS2 France 2026 si vous n'êtes pas dans le secteur financier, ou notre guide DORA et sauvegarde(https://www.vytalx.fr/dora-sauvegarde-guide-operationnel-pour-entites-financieres) si vous détenez un agrément ACPR ou AMF.
Un doute sur le régime qui s'applique à votre entité ? Réservez 30 minutes avec notre équipe pour clarifier votre périmètre réglementaire exact avant d'engager un chantier de mise en conformité.
Non. Le secteur bancaire et assurantiel figure dans la liste des secteurs NIS2, mais l'Article 4 de DORA fait primer ce règlement sur NIS2 pour les entités qu'il couvre. Une banque ou une compagnie d'assurance sous agrément ACPR applique DORA, pas NIS2, pour sa résilience opérationnelle numérique.
C'est un principe juridique selon lequel un texte spécial (DORA, dédié au secteur financier) prime sur un texte général (NIS2, transversal à 18 secteurs) lorsque les deux pourraient s'appliquer au même sujet. L'Article 4 de DORA formalise explicitement cette primauté pour la résilience numérique des entités financières.
Un prestataire n'est directement soumis à DORA que s'il est désigné prestataire TIC critique par les autorités européennes, ce qui concerne un nombre restreint d'acteurs. En revanche, ses clients financiers peuvent lui imposer contractuellement des exigences calquées sur DORA, indépendamment
de ce statut, pour sécuriser leur propre chaîne de sous-traitance.
Pour une entité financière agréée, seul DORA s'applique sur la résilience numérique, donc seules ses sanctions sont pertinentes. Pour un prestataire
à double exposition, relevant à la fois de son propre statut NIS2 et d'obligations contractuelles DORA, les deux régimes de sanction peuvent théoriquement s'appliquer selon la source du manquement.
Le critère décisif est la détention d'un agrément ACPR ou AMF. S'il existe, DORA s'applique, sans exception liée à la taille de l'entité.
En l'absence d'un tel agrément, vérifiez si votre secteur d'activité figure dans la liste des 18 secteurs NIS2 et si vous dépassez les seuils d'effectif
ou de chiffre d'affaires applicables.
La confusion entre DORA et NIS2 vient d'un chevauchement apparent : mêmes objectifs de résilience, même calendrier de transposition française, secteurs financiers listés dans les deux textes. Le critère qui tranche reste simple : un agrément ACPR ou AMF place votre entité sous DORA, qui prime sur NIS2 par principe de lex specialis.
Sur le plan technique, une architecture de sauvegarde conforme DORA, avec isolation physique systématique, couvre aussi largement les attendus NIS2. La bonne pratique consiste à identifier d'abord votre statut réglementaire exact, puis à construire une architecture qui satisfait le régime le plus exigeant des deux, plutôt que de traiter les deux textes comme des chantiers séparés.
Besoin de clarifier votre périmètre réglementaire avant d'engager un chantier de conformité ? Planifiez un audit technique de 30 minutes).
Nous identifions le régime applicable à votre entité et les briques de sauvegarde à déployer en conséquence.