NIS2 & PME #4 : NIS2, RGPD, DORA, CRA, CER : qui couvre quoi ?

NIS2 n’est pas seule dans le paysage régle­men­taire cyber. Plusieurs régle­men­ta­tions de cyber­sécu­rité européennes coex­is­tent. RGPD, DORA, CER, Cyber Resilience Act, et les démarch­es volon­taires comme ISO 27001 ou SOC 2, se chevauchent sou­vent dans les esprits, alors que cha­cune a un objet pré­cis.

Beau­coup d’organisations croient « être cou­vertes » par l’une parce qu’elles respectent l’autre. Mais c’est une erreur fréquente qui peut être coû­teuse.

Notre arti­cle les dis­tingue de manière syn­thé­tique, puis répond aux trois ques­tions que l’on nous pose le plus sou­vent.

Que vous soyez directe­ment soumis à la direc­tive NIS2, four­nisseur d’une entité assu­jet­tie, ou hors périmètre NIS2, cet arti­cle vous donne les clés pour com­pren­dre et anticiper les nou­velles normes de cyber­sécu­rité dans l’U­nion européenne.
Cet arti­cle fait par­tie de notre série “NIS2 & PME“. Pour clar­i­fi­er votre statut ou com­pren­dre les exi­gences de la direc­tive, vous pou­vez vous référ­er à l’article #1 : NIS2, quoi, quand, qui, com­ment ?.

Chaque texte a un objet propre

NIS2 encadre la cyber­sécu­rité glob­ale des entités. Elle est conçue comme le « socle com­mun », et vise un « niveau élevé com­mun de cyber­sécu­rité dans l’ensemble de l’Union ». Les autres textes ne la rem­pla­cent pas. Ils pré­cisent ou com­plè­tent un domaine spé­ci­fique. Le tableau ci-dessous réca­pit­ule qui cou­vre quoi.

Pour un panora­ma plus com­plet de la direc­tive (qui est con­cerné, quel cal­en­dri­er en France, quelles exi­gences, quelles sanc­tions), lire notre arti­cle NIS2 & PME #1 : NIS2, quoi, quand, qui, com­ment ? .

TexteNature & annéeCe qu’il cou­vreArtic­u­la­tion avec NIS2
NIS2
Net­work and Infor­ma­tion Secu­ri­ty Direc­tive 2
Direc­tive (UE) 2022/2555
(déc. 2022)
Cyber­sécu­rité glob­ale des entités essen­tielles et impor­tantes (18 secteurs)Socle com­mun : « niveau élevé com­mun de cyber­sécu­rité dans l’Union »
RGPD
Règle­ment Général sur la Pro­tec­tion des Don­nées
Règle­ment (UE) 2016/679
(avr. 2016)
Pro­tec­tion des don­nées à car­ac­tère per­son­nel et de la vie privéeCom­plé­men­taire, s’appliquent en par­al­lèle en cas de fuite de don­nées per­son­nelles
DORA
Dig­i­tal Oper­a­tional Resilience Act
Règle­ment (UE) 2022/2554
(déc. 2022)
Résilience opéra­tionnelle numérique du secteur financier Prime sur NIS2 pour la finance (texte sec­to­riel spé­cial­isé)
CER / REC Résilience des Entités Cri­tiquesDirec­tive (UE) 2022/2557
(déc. 2022)
Résilience physique des entités cri­tiques (risques non cyber : ex.sabotage, incendie, cat­a­stro­phe cli­ma­tique)Com­plète NIS2 qui cou­vre le volet « cyber »
CRA
Cyber Resilience Act
Règle­ment (UE) 2024/2847
(oct. 2024)
Sécu­rité intrin­sèque des pro­duits numériques (secu­ri­ty by design), et la respon­s­abil­ité des fab­ri­cants.Com­plète NIS2 côté pro­duits et fab­ri­cants
ISO 27001Référen­tiel volon­taire (norme inter­na­tionale)Sys­tème de man­age­ment de la sécu­rité de l’information (SMSI)Aide mais ne suf­fit pas, socle à cap­i­talis­er
SOC 2Référen­tiel volon­taire (rap­port d’attestation)Con­trôles de sécu­rité d’un prestataire de ser­vicesAide mais ne suf­fit pas, socle à cap­i­talis­er

Sources : textes européens cités, LINARIS

Les 3 questions que l’on nous pose le plus souvent

Le RGPD pro­tège un type de don­née : les don­nées à car­ac­tère per­son­nel et la vie privée des indi­vidus. NIS2, elle, pro­tège la sécu­rité numérique de l’organisation dans son ensem­ble, c’est à dire tous les sys­tèmes, toutes les don­nées, per­son­nelles ou non. Les deux ne se sub­stituent pas. En cas de cyber­at­taque avec fuite de don­nées per­son­nelles, RGPD et NIS2 s’appliquent en par­al­lèle, avec leurs noti­fi­ca­tions pro­pres (la CNIL d’un côté, l’autorité NIS2 de l’autre), mais les amendes RGPD et NIS2 ne se cumu­lent pas pour le même com­porte­ment (arti­cle 35 de NIS2). Respecter le RGPD ne suf­fit pas à être con­forme à NIS2, et l’inverse est tout aus­si vrai.

DORA régit la résilience opéra­tionnelle numérique du secteur financier. En tant que texte sec­to­riel spé­cial­isé, il prime sur NIS2 pour ce secteur (arti­cle 4 de NIS2). C’est à dire qu’une banque, un assureur ou un prestataire financier applique DORA, et non NIS2, même si son activ­ité entre con­ceptuelle­ment dans le périmètre de la direc­tive. Pour tous les autres secteurs, NIS2 reste le socle. Un point de vig­i­lance si vous êtes prestataire infor­ma­tique d’un acteur financier : les exi­gences DORA de votre client peu­vent vous être réper­cutées par con­trat, selon la même logique d’« effet domi­no » que NIS2.

Pour en savoir plus sur l’ef­fet domi­no, lire notre arti­cle “NIS2 & PME #3 : l’ef­fet domi­no du risque cyber four­nisseur”

Non. ISO 27001 et SOC 2 sont des démarch­es volon­taires et privées, sou­vent lim­itées à un périmètre de l’organisation. Si vous avez une cer­ti­fi­ca­tion ISO 27001 ou SOC2, cela peut vous faire gag­n­er du ter­rain opéra­tionnelle­ment, mais aucune ne vaut con­for­mité automa­tique. NIS2 ajoute des oblig­a­tions qui lui sont pro­pres, notam­ment une gou­ver­nance impli­quant explicite­ment la direc­tion (arti­cle 20), une noti­fi­ca­tion d’incident encadrée (24 h / 72 h / 1 mois) et l’enregistrement auprès de l’autorité com­pé­tente. Le bon réflexe est de cap­i­talis­er sur l’existant comme socle, puis combler l’écart spé­ci­fique à NIS2.

Pour en savoir plus sur les oblig­a­tions spé­ci­fiques de NIS2, lire notre arti­cle “NIS2 & PME #1 : NIS2, quoi, quand, qui, com­ment?”

En résumé

INIS2 est le socle com­mun de la cyber­sécu­rité dans l’Union européenne ; les autres textes ne la rem­pla­cent pas, ils la com­plè­tent ou la pré­cisent. Le RGPD pro­tège les don­nées per­son­nelles, DORA s’im­pose dans le secteur financier, la CER cou­vre le volet physique, le CRA la sécu­rité des pro­duits. ISO 27001 et SOC 2 sont des démarch­es volon­taires utiles, mais non suff­isantes. Le bon réflexe n’est pas de chercher le texte qui dis­penserait des autres, mais de car­togra­phi­er ses oblig­a­tions cumulées et de cap­i­talis­er sur l’existant pour combler l’écart pro­pre à NIS2.

Auteur
Lai Ly
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteurs Ser­vices Financiers

Con­tribu­teur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs E‑commerce, Indus­trie

Vous souhaitez savoir où vous en êtes côté cyber ?

LINARIS accom­pa­gne les dirigeants de PME vers une cyber­sécu­rité prag­ma­tique et effi­cace, alignée sur les bonnes pra­tiques des derniers référen­tiels, afin que leur PME, tout en étant pro­tégée, se con­stru­ise un avan­tage con­cur­ren­tiel de taille.

Deman­dez un diag­nos­tic cyber pour com­mencer.

Note d’édi­tion : Pour alléger la lec­ture, le mas­culin est employé dans cet arti­cle comme genre neu­tre. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique ; nous ne faisons aucune inter­pré­ta­tion juridique ou antic­i­pa­tion de la trans­po­si­tion française (voir notre men­tion com­plète ci-dessous)/

Disclaimer

Cet arti­cle est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à sa date de pub­li­ca­tion. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne saurait engager la respon­s­abil­ité de l’édi­teur quant à l’ex­haus­tiv­ité des infor­ma­tions fournies. Les men­aces cyber et les niveaux de risque évolu­ant con­stam­ment dans le temps, toute déci­sion prise sur la base de cette lec­ture relève de la seule respon­s­abil­ité du lecteur.
Note spé­ci­fique à la direc­tive NIS2 : Comme indiqué en intro­duc­tion, les élé­ments partagés dans cet arti­cle découlent directe­ment du texte européen (Direc­tive (UE) 2022/2555) et restent soumis aux décrets de la trans­po­si­tion française. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique. Il ne con­stitue pas un avis juridique et ne saurait en aucun cas rem­plac­er une analyse juridique per­son­nal­isée au cas par cas pour votre entre­prise.

Publications similaires