Comprendre les différences entre le règlement DORA et la directive NIS 2

Deux législations européennes importantes ressortent à mesure que les réglementations en matière de cybersécurité évoluent : le Digital Operational Resilience Act (DORA) et la directive NIS 2. Si elles ont toutes deux pour but d’améliorer la cybersécurité, elles ciblent chacune différents secteurs et ont des objectifs et des exigences distincts. Ce billet de blog présente les principales différences entre le DORA et la directive NIS 2 et met en évidence la façon dont les solutions de WatchGuard peuvent aider les partenaires et les clients à se conformer à ces réglementations. 

Aperçu du DORA et de la directive NIS 2 

DORA : Applicable à compter du 17 janvier 2025, le DORA se concentre sur le secteur financier et vise à assurer la pérennité et la continuité de l’activité des organismes financiers pendant et après une cyberattaque. L’objectif principal est de maintenir la disponibilité et l’intégrité des services financiers, en insistant sur la résilience opérationnelle. 

NIS 2 : La directive NIS 2, qui doit être transposée dans les lois nationales d’ici octobre 2024, vise à harmoniser la cybersécurité dans l’ensemble de l’UE, en ciblant des entités essentielles dans divers secteurs tels que l’énergie, les transports, la santé et l’infrastructure numérique. Cette directive vise à accroître le niveau de cybersécurité global au sein de l’UE. 

Différences entre le Digital Operational Resilience Act (DORA) et la directive NIS 2 

          Portée et entités ciblées : 

• Le DORA s’applique à 21 entités financières, parmi lesquelles des banques, des sociétés d’investissement, des compagnies d’assurance et des prestataires de services TIC (technologies de l’information et de la communication).  
• La directive NIS 2 couvre un éventail plus large de secteurs et établit une distinction entre les entités essentielles (EE), telles que les fournisseurs d’énergie et de transport, et les entités importantes (IE), telles que les services postaux et les entreprises du secteur agro-alimentaire. 

          Objectifs : 

• Le DORA est axé sur la résilience opérationnelle du secteur financier. Il prévoit une gestion globale des risques liés aux TIC (technologies de l’information et de la communication), une gestion des incidents, des tests de résilience, une gestion des risques liés aux tiers et un partage des informations au sein du secteur financier. 
• La directive NIS 2 vise à améliorer la posture globale en matière de cybersécurité dans l’UE, et insiste sur la gouvernance et la détection et la réponse aux incidents, en sécurisant et en testant les périmètres et les actifs dans divers secteurs critiques. 

         Conformité et application : 

• Le DORA est un règlement qui sera directement applicable dans tous les États membres de l’UE sans nécessiter de transposition nationale. Il impose des tests de sécurité rigoureux, notamment des tests de résilience annuels et des tests d’intrusion axés sur les menaces tous les trois ans. 
• La directive NIS 2 est une directive nécessitant une transposition dans les lois nationales qui peut entraîner des différences dans son application. Elle impose des sanctions strictes en cas de non-conformité, y compris des amendes allant jusqu’à 2 % du chiffre d’affaires annuel mondial des entités essentielles. 

        Gestion des risques liés aux fournisseurs tiers : 

• Le DORA exige des entités financières qu’elles gèrent les risques posés par les fournisseurs de services TIC tiers en instaurant des contrats solides et une surveillance continue. 
• La directive NIS 2 s’attelle également à la sécurité de la chaîne d’approvisionnement, dans un contexte toutefois plus large, avec un impact sur divers secteurs au-delà des services financiers. 

Solutions WatchGuard pour la conformité 

WatchGuard propose une gamme de produits pour aider les partenaires et leurs clients à se conformer aux exigences des réglementations DORA et NIS 2 : 

       Gestion des risques liés aux TIC : 

• Firewalls intégrant des fonctionnalités comme Gateway AntiVirus et DNSWatch. 
• Solutions Endpoint Security (EPP, EDR, EPDR, Advanced EPDR) incluant des tableaux de bord des risques et des évaluations des vulnérabilités. 
• Gestion des correctifs et chiffrement complet pour la protection des données. 

     Gestion des incidents : 

• Monitoring continu des menaces avec EDR et ThreatSync+ NDR. 
• Monitoring et réponse aux incidents 24 h/24 et 7 j/7 avec WatchGuard MDR. 

     Tests de résilience : 

• ThreatSync+ NDR pour simuler des attaques et identifier les vulnérabilités. 
• Solutions Endpoint Security pour les tests de résilience et les analyses criminalistiques. 

    Gestion des risques liés aux fournisseurs tiers : 

• Les contrôles d’accès au réseau et ThreatSync+ NDR permettent de surveiller l’activité des tiers. 
• AuthPoint MFA pour sécuriser l’accès des tiers. 

Services de sécurité managés pour les partenaires 

Afin de réduire la charge de travail de leurs clients et garantir une bonne gestion de la sécurité, les partenaires peuvent offrir les services gérés suivants en plus des produits et services WatchGuard : 

• Monitoring de la sécurité 24 h/24, 7 j/7 
• Threat hunting et réponse aux incidents 
• Gestion des correctifs 
• Évaluations de la sécurité 
• Génération de rapports de conformité 
• Gestion de la protection des endpoints 
• Formation et sensibilisation des utilisateurs 

En combinant les solutions de sécurité complètes de WatchGuard avec les services managés, les partenaires peuvent aider leurs clients à renforcer leur posture en matière de cybersécurité et à assurer la conformité avec les réglementations DORA et NIS 2. 

Pour plus d’informations, lisez notre billet de blog sur le DORA et accédez au livre blanc ici.