2025 a été l'année où trois réglementations européennes majeures sont entrées en application : DORA (17 janvier 2025), EAA (28 juin 2025), et la directive NIS2 dont la date limite de transposition (17 octobre 2024) est dépassée — la France achève sa transposition par la loi Résilience, attendue dans le courant 2026. Trois textes différents, trois logiques différentes, mais un point commun : ils structurent déjà la conformité numérique des entreprises, et beaucoup les découvrent en plein contrôle.
Cet article met les trois côte à côte : périmètre, obligations principales, contrôleurs, sanctions. Pour savoir lesquels vous concernent et dans quel ordre s'y attaquer.
Faits clés
- DORA : règlement UE 2022/2554, en application depuis le 17 janvier 2025, contrôlé par l'ACPR et l'AMF.
- NIS2 : directive UE 2022/2555 du 14 décembre 2022, date limite de transposition au 17 octobre 2024 (dépassée en France, transposition par la loi Résilience attendue en 2026).
- EAA : en application depuis le 28 juin 2025, contrôlé par DGCCRF, ARCOM et ARCEP.
- Sanctions DORA : jusqu'à 10 M€ ou 5 % du CA pour les entités financières, astreinte 1 %/jour du CA mondial pour les prestataires TIC critiques.
- Sanctions NIS2 : jusqu'à 10 M€ ou 2 % du CA mondial (entités essentielles), 7 M€ ou 1,4 % (entités importantes).
- Notification d'incident DORA : 4h après classification majeur, 24h max après détection, rapport intermédiaire à 72h, rapport final sous 1 mois.
Tableau comparatif
| DORA | NIS2 | EAA | |
|---|---|---|---|
| Domaine | Résilience numérique financière | Cybersécurité | Accessibilité numérique |
| Cibles | Banques, assurances, fintech, ESN financières | Opérateurs essentiels et importants, sous-traitants | Sites e-commerce et services numériques B2C > 10 sal. ou 2 M€ |
| Entrée en vigueur | 17 janvier 2025 | Transposition fr. en cours (loi Résilience, 2026) | 28 juin 2025 |
| Autorité | ACPR, AMF | ANSSI | DGCCRF, ARCOM, ARCEP |
| Sanctions | Jusqu'à 10 M€ ou 5 % du CA pour les entités financières ; astreinte 1 %/jour pour prestataires TIC critiques | Jusqu'à 10 M€ ou 2 % du CA mondial | Jusqu'à 37 500 € par manquement (personne morale), astreinte 3 000 €/jour |
DORA, la résilience numérique du secteur financier
Le règlement Digital Operational Resilience Act (UE 2022/2554) est entré en application le 17 janvier 2025. Il s'applique à une vingtaine de catégories d'entités financières régies par l'UE : banques, assurances, gestionnaires d'actifs, prestataires de services de paiement, plateformes crypto, etc. Il s'applique aussi, par ricochet, aux prestataires informatiques tiers critiques (cloud providers, éditeurs SaaS, infogestionnaires) qui les servent.
Les obligations principales :
- Gestion des risques TIC : cartographie des systèmes, classification des actifs, plan de continuité.
- Tests de résilience : tests vulnérabilités, scans, audits. Pour les acteurs majeurs, tests d'intrusion basés sur les menaces (TLPT) tous les 3 ans.
- Notification des incidents : tout incident TIC majeur doit faire l'objet d'une notification initiale dans les 4 heures suivant sa classification comme majeur, avec un délai maximum de 24h après détection. Rapport intermédiaire à 72h, rapport final sous 1 mois.
- Encadrement contractuel des sous-traitants TIC : clauses obligatoires sur les niveaux de service, l'audit, la réversibilité, la sécurité.
- Partage d'information : signalement des cybermenaces aux pairs et aux autorités.
L'ACPR et l'AMF contrôlent. Les sanctions pour les entités financières peuvent atteindre 10 M€ ou 5 % du chiffre d'affaires annuel. Pour les prestataires TIC désignés comme critiques, les autorités européennes de surveillance peuvent imposer une astreinte journalière jusqu'à 1 % du chiffre d'affaires mondial quotidien moyen, pendant 6 mois maximum.
NIS2, la cybersécurité élargie
La directive NIS2 (Network and Information Security 2 — UE 2022/2555) du 14 décembre 2022 multiplie par environ dix le nombre d'entités concernées par rapport à NIS1. La date limite de transposition était le 17 octobre 2024 ; en France, le projet de loi Résilience (qui transpose NIS2, la directive CER et complète DORA) achève son parcours parlementaire en 2026, avec une promulgation et des décrets ANSSI attendus en cours d'année. Même sans transposition définitive, l'ANSSI met déjà à disposition les ressources de mise en conformité (espace MonEspaceNIS2, Référentiel Cyber France).
Les seuils sont alignés sur la définition européenne de la PME :
- Entités essentielles : plus de 250 salariés ou plus de 50 M€ de CA dans 11 secteurs (énergie, transports, banques, santé, eau, infrastructures numériques…).
- Entités importantes : plus de 50 salariés ou plus de 10 M€ de CA dans 7 secteurs additionnels (services postaux, gestion des déchets, agroalimentaire, fabrication, numérique grand public, recherche, services de confiance).
Les obligations couvrent la gouvernance cyber (engagement explicite de la direction), la gestion des risques (politique de sécurité, MFA, gestion des vulnérabilités, sauvegardes, chiffrement), la notification des incidents en 24h avec rapport intermédiaire à 72h et rapport final sous 1 mois, et la sécurité de la chaîne d'approvisionnement.
L'ANSSI est l'autorité nationale compétente. Les sanctions peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1.4 % pour les importantes.
Pour le détail des seuils par secteur, voir notre guide dédié : NIS2 : votre PME est-elle concernée ?
EAA, l'accessibilité numérique pour le privé
L'European Accessibility Act étend les obligations d'accessibilité numérique au secteur privé depuis le 28 juin 2025. Sont concernées les entreprises de plus de 10 salariés ou plus de 2 M€ de CA qui commercialisent des biens ou services numériques auprès du grand public : e-commerce, banque en ligne, transport, édition numérique, billetterie, services de communication.
Les obligations sont à la fois techniques (conformité au RGAA, soit 106 critères WCAG 2.1 AA) et déclaratives (déclaration d'accessibilité publique, mention de conformité en page d'accueil, schéma pluriannuel sur 3 ans, point de contact pour signaler un problème).
La DGCCRF contrôle l'essentiel du périmètre, ARCOM et ARCEP interviennent selon le type de service. Le régime de sanctions, cadré par l'article L.412-13 du Code de la consommation, prévoit une amende administrative jusqu'à 37 500 € par manquement pour une personne morale (doublée en cas de récidive), une astreinte journalière jusqu'à 3 000 €, et un plafond cumulé pouvant atteindre 300 000 € pour des manquements systémiques.
Pour la checklist opérationnelle : Loi handicap et e-commerce : la checklist conformité 2026.
Comment les trois textes interagissent
Les périmètres se recoupent souvent. Une banque en ligne moyenne peut tomber sous les trois :
- DORA parce qu'elle est un établissement financier régulé ;
- NIS2 parce que les banques figurent dans les 11 secteurs essentiels ;
- EAA parce qu'elle vend des services numériques au grand public.
Sur certains sujets, les trois textes convergent (gestion des incidents, encadrement des sous-traitants, gouvernance). Sur d'autres, ils ajoutent leurs propres exigences sans se substituer : il faut donc cumuler. La bonne pratique est de monter une cartographie unique des obligations, de marquer pour chaque mesure les textes qu'elle couvre, et d'identifier les zones où un seul effort coche plusieurs cases.
Par où commencer en 2026
Trois priorités pour les entreprises qui découvrent le sujet :
- Identifier les textes applicables. Périmètre métier, seuils d'effectif et de chiffre d'affaires, secteur. Souvent un seul texte concerne, parfois deux ou trois.
- Faire un état des lieux. Audit cyber pour NIS2, audit a11y pour EAA, cartographie des risques TIC pour DORA. Même un audit léger donne une base de discussion utile.
- Mettre en place une gouvernance. Un référent par texte, un calendrier, un schéma de notification. La conformité n'est pas un projet ponctuel, c'est une fonction permanente.
Un dernier conseil : ne pas attendre le contrôle. Les trois autorités (ACPR, ANSSI, DGCCRF) sont en phase de montée en charge en 2026. Mieux vaut arriver avec une déclaration imparfaite et un plan d'action visible qu'avec un silence total.
Pour les volets infra et hébergement, on peut aussi lire : Héberger ses données en France et Cloud Act, RGPD et hébergement souverain.