NIS2 & PME #4 : NIS2, RGPD, DORA, CRA, CER : qui couvre quoi ?
NIS2 n’est pas seule dans le paysage réglementaire cyber. Plusieurs réglementations de cybersécurité européennes coexistent. RGPD, DORA, CER, Cyber Resilience Act, et les démarches volontaires comme ISO 27001 ou SOC 2, se chevauchent souvent dans les esprits, alors que chacune a un objet précis.
Beaucoup d’organisations croient « être couvertes » par l’une parce qu’elles respectent l’autre. Mais c’est une erreur fréquente qui peut être coûteuse.
Notre article les distingue de manière synthétique, puis répond aux trois questions que l’on nous pose le plus souvent.
Que vous soyez directement soumis à la directive NIS2, fournisseur d’une entité assujettie, ou hors périmètre NIS2, cet article vous donne les clés pour comprendre et anticiper les nouvelles normes de cybersécurité dans l’Union européenne.
Cet article fait partie de notre série “NIS2 & PME“. Pour clarifier votre statut ou comprendre les exigences de la directive, vous pouvez vous référer à l’article #1 : NIS2, quoi, quand, qui, comment ?.
Chaque texte a un objet propre
NIS2 encadre la cybersécurité globale des entités. Elle est conçue comme le « socle commun », et vise un « niveau élevé commun de cybersécurité dans l’ensemble de l’Union ». Les autres textes ne la remplacent pas. Ils précisent ou complètent un domaine spécifique. Le tableau ci-dessous récapitule qui couvre quoi.
Pour un panorama plus complet de la directive (qui est concerné, quel calendrier en France, quelles exigences, quelles sanctions), lire notre article NIS2 & PME #1 : NIS2, quoi, quand, qui, comment ? .
| Texte | Nature & année | Ce qu’il couvre | Articulation avec NIS2 |
| NIS2 Network and Information Security Directive 2 | Directive (UE) 2022/2555 (déc. 2022) | Cybersécurité globale des entités essentielles et importantes (18 secteurs) | Socle commun : « niveau élevé commun de cybersécurité dans l’Union » |
| RGPD Règlement Général sur la Protection des Données | Règlement (UE) 2016/679 (avr. 2016) | Protection des données à caractère personnel et de la vie privée | Complémentaire, s’appliquent en parallèle en cas de fuite de données personnelles |
| DORA Digital Operational Resilience Act | Règlement (UE) 2022/2554 (déc. 2022) | Résilience opérationnelle numérique du secteur financier | Prime sur NIS2 pour la finance (texte sectoriel spécialisé) |
| CER / REC Résilience des Entités Critiques | Directive (UE) 2022/2557 (déc. 2022) | Résilience physique des entités critiques (risques non cyber : ex.sabotage, incendie, catastrophe climatique) | Complète NIS2 qui couvre le volet « cyber » |
| CRA Cyber Resilience Act | Règlement (UE) 2024/2847 (oct. 2024) | Sécurité intrinsèque des produits numériques (security by design), et la responsabilité des fabricants. | Complète NIS2 côté produits et fabricants |
| ISO 27001 | Référentiel volontaire (norme internationale) | Système de management de la sécurité de l’information (SMSI) | Aide mais ne suffit pas, socle à capitaliser |
| SOC 2 | Référentiel volontaire (rapport d’attestation) | Contrôles de sécurité d’un prestataire de services | Aide mais ne suffit pas, socle à capitaliser |
Sources : textes européens cités, LINARIS
Les 3 questions que l’on nous pose le plus souvent
En résumé
INIS2 est le socle commun de la cybersécurité dans l’Union européenne ; les autres textes ne la remplacent pas, ils la complètent ou la précisent. Le RGPD protège les données personnelles, DORA s’impose dans le secteur financier, la CER couvre le volet physique, le CRA la sécurité des produits. ISO 27001 et SOC 2 sont des démarches volontaires utiles, mais non suffisantes. Le bon réflexe n’est pas de chercher le texte qui dispenserait des autres, mais de cartographier ses obligations cumulées et de capitaliser sur l’existant pour combler l’écart propre à NIS2.
Auteur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteurs Services Financiers
Contributeur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs E‑commerce, Industrie
Vous souhaitez savoir où vous en êtes côté cyber ?
LINARIS accompagne les dirigeants de PME vers une cybersécurité pragmatique et efficace, alignée sur les bonnes pratiques des derniers référentiels, afin que leur PME, tout en étant protégée, se construise un avantage concurrentiel de taille.
Demandez un diagnostic cyber pour commencer.
Note d’édition : Pour alléger la lecture, le masculin est employé dans cet article comme genre neutre. Ce contenu a une vocation purement pédagogique et pragmatique ; nous ne faisons aucune interprétation juridique ou anticipation de la transposition française (voir notre mention complète ci-dessous)/
Disclaimer
Cet article est fourni à titre informatif uniquement et reflète l’opinion de son auteur à sa date de publication. Il ne constitue pas un avis juridique ou réglementaire et ne saurait engager la responsabilité de l’éditeur quant à l’exhaustivité des informations fournies. Les menaces cyber et les niveaux de risque évoluant constamment dans le temps, toute décision prise sur la base de cette lecture relève de la seule responsabilité du lecteur.
Note spécifique à la directive NIS2 : Comme indiqué en introduction, les éléments partagés dans cet article découlent directement du texte européen (Directive (UE) 2022/2555) et restent soumis aux décrets de la transposition française. Ce contenu a une vocation purement pédagogique et pragmatique. Il ne constitue pas un avis juridique et ne saurait en aucun cas remplacer une analyse juridique personnalisée au cas par cas pour votre entreprise.
