La directive CER et DORA sont deux réglementations majeures de l’UE visant à rendre les organisations plus résilientes de différentes manières. Mais comment savoir laquelle s’applique à votre entreprise ? Et si l’une (ou les deux) s’applique, quelles mesures devriez-vous prendre dès maintenant pour vous conformer ?

Que sont CER et DORA ?

De manière générale, CER et DORA visent à renforcer la résilience, mais elles abordent différents types de risques dans différents secteurs :

  • La directive sur la résilience des entités critiques (CER) concerne la résilience physique des organisations dans les secteurs critiques. Elle se concentre sur les menaces physiques, comme le terrorisme, les catastrophes naturelles et les perturbations de la chaîne d’approvisionnement.
  • La loi sur la résilience opérationnelle numérique (DORA) cible spécifiquement le secteur financier et se concentre sur la résilience numérique. Elle garantit que les institutions financières, ainsi que leurs partenaires technologiques, sont préparées aux risques cyber, comme le piratage et les défaillances systémiques.

CER et DORA soulignent toutes deux la nécessité d’une cybersécurité et d’une résilience solides pour les services critiques dans l’UE. Ces lois contribuent à maintenir la stabilité et la sécurité des systèmes face aux menaces graves.

Alors, êtes-vous concerné ?

Laquelle de ces réglementations s’applique à votre entreprise ? Voici comment le déterminer :

    • Énergie
    • Transport
    • Services bancaires
    • Infrastructure des marchés financiers
    • Santé
    • Production, transformation et distribution alimentaire à grande échelle
    • Eau potable
    • Eaux usées
    • Infrastructure numérique
    • Administration publique
    • Espace
  • DORA, en revanche, est spécifique au secteur financier, notamment :
    • Banques
    • Sociétés d’investissement
    • Compagnies d’assurance
    • Fournisseurs de services TIC pour ces institutions

Si vous travaillez dans une institution financière et opérez dans un secteur critique, comme la banque, les deux réglementations peuvent s’appliquer à vous. De plus, même si CER et DORA couvrent des domaines différents (physique vs numérique), elles se chevauchent en ce qui concerne la gestion des risques liés aux tiers. Les deux exigent que vous évaluiez la résilience de vos fournisseurs, pas seulement celle de votre entreprise.

Quelle est la différence entre CER et DORA ?

Bien que les deux cadres aient des objectifs similaires, ils diffèrent aussi à plusieurs égards. Voici comment ils se comparent en termes de portée et d’exigences :

Directive CER DORA
Focus Résilience physique des infrastructures critiques Résilience numérique et gestion des TIC
Industries 11 secteurs critiques Secteur financier
Risques principaux traités Menaces physiques Menaces cyber
Organisme d’application principal Régulateurs nationaux dans chaque pays de l’UE Autorités européennes de surveillance (AES) et régulateurs financiers nationaux

Sanctions en cas de non-conformité

 Les autorités nationales peuvent imposer des amendes ou révoquer des licences Lourdes sanctions financières et mesures réglementaires
Exigence Directive CER DORA
Évaluations des risques Obligatoires tous les quatre ans, couvrant les risques physiques pour les opérations Surveillance et tests continus obligatoires des risques TIC
Signalement des incidents Les incidents de sécurité physique doivent être signalés aux autorités nationales Les incidents de cybersécurité et liés aux TIC doivent être signalés aux régulateurs financiers
Signalement des incidents Les entités doivent développer des stratégies de continuité pour les infrastructures physiques critiques Les entreprises doivent assurer une résilience opérationnelle numérique complète, y compris les redondances système
Risques liés aux tiers et à la chaîne d’approvisionnement Les fournisseurs critiques doivent être évalués pour leur résilience en matière de sécurité physique Surveillance obligatoire des fournisseurs TIC tiers, y compris les services cloud

Que devez-vous faire maintenant ?

Que vous vous conformiez à DORA, que vous vous prépariez à CER, ou les deux, voici cinq étapes pour prendre de l’avance :

1. Confirmez si vous êtes concerné.

  • Si vous êtes dans un secteur critique, CER s’applique à vous.
  • Si vous êtes dans le secteur financier, DORA s’applique à vous.

Si vous avez encore des doutes, consultez vos équipes de conformité ou juridiques pour confirmation.

2. Identifiez les bonnes parties prenantes.

Ces réglementations vont impacter plusieurs départements. Vous devrez impliquer les équipes de gestion des risques, de gestion de la continuité des activités (BCM), de l’IT, de la conformité et de la gestion des risques tiers (TPRM). Plus précisément, elles impliqueront :

  • CER : Les équipes de gestion des risques d’entreprise (ERM), BCM et gestion de la chaîne d’approvisionnement.
  • DORA : Les équipes risques, cybersécurité, IT et conformité.

3. Effectuez une analyse des écarts.

Évaluez où vos systèmes actuels présentent des lacunes par rapport aux exigences de l’une ou l’autre réglementation. Concentrez-vous sur les domaines suivants :

  • Évaluations des risques physiques (CER)
  • Surveillance continue et tests des systèmes numériques (DORA)
  • Évaluations des fournisseurs tiers (les deux)

4. Intégrez les équipes.

Pour rationaliser la conformité avec CER et/ou DORA, intégrez vos fonctions de gouvernance, de risque et de conformité (GRC) avec vos efforts de BCM et de résilience.

  • Systèmes partagés : Mettez en place un logiciel unifié de GRC et de résilience pour suivre les évaluations des risques, les risques tiers, les incidents et le statut de conformité dans les deux domaines. Cela garantit que les données ERM, TPRM et de conformité sont toutes connectées et fournissent une source unique de vérité.
  • Alignement régulier : Planifiez des réunions transversales régulières entre les équipes risques, conformité, IT, cybersécurité et BCM. Cela maintient tout le monde aligné sur les progrès, les échéances et les domaines d’amélioration.

5. Créez une feuille de route de conformité.

DORA est entrée en vigueur en 2025. CER, quant à elle, a un calendrier de conformité avec des échéances commençant en 2026 et se poursuivant jusqu’en 2027. Prendre de l’avance aidera votre entreprise à éviter une précipitation de dernière minute.

Comment le logiciel de gestion des risques aide

Se tenir à jour avec les nouvelles réglementations peut être intimidant, mais les bons outils peuvent simplifier le processus. Voici comment un logiciel de gestion des risques peut renforcer votre conformité :

  • Centralisez toutes vos données de risque : Obtenez une vue d’ensemble de votre conformité aux deux réglementations en ayant vos données de risque – physiques, numériques, tierces et plus – en un seul endroit.
  • Effectuez des analyses d’écarts et une surveillance continue : Avec DORA, c’est crucial pour la gestion continue des risques TIC, tandis que pour CER, cela aide à suivre et évaluer la résilience de la sécurité physique.
  • Automatisez le reporting et le suivi des incidents : Les deux réglementations exigent un reporting rapide des incidents ; le logiciel automatise ce processus, garantissant que les incidents sont suivis et signalés rapidement.
  • Collaborez entre équipes : La conformité nécessite l’apport de plusieurs équipes, et une plateforme de gestion des risques permet à toutes les parties prenantes de collaborer sur la même plateforme et assure l’alignement.
  • Gérez vos risques tiers : Une plateforme logicielle peut évaluer et surveiller la résilience de vos fournisseurs à travers les systèmes physiques et numériques.

DORA est déjà en vigueur, et les échéances CER approchent rapidement. C’est maintenant le moment d’évaluer votre position face aux risques, d’aligner vos équipes et de vous assurer que votre stratégie de conformité est en place. En comprenant quelles réglementations s’appliquent à vous, quelles actions entreprendre et comment rationaliser le processus, vous pouvez vous assurer que votre organisation est conforme – et résiliente.

Pour plus d’informations sur la résilience, lisez GRC : Le Guide Définitif, et apprenez-en plus sur l’opérationnalisation de ces réglementations dans votre entreprise en téléchargeant nos fiches d’information sur la directive CER et DORA.