Logo Baker Tilly
Services Bureaux Secteurs Profils Enjeux À propos Actualités Recrutement Espace client
Services Advisory RSE Digital Formation Corporate Finance Audit Juridique Expertise comptable et conseil Expertise RH & sociale Services
Bureaux Trouvez le bureau le plus proche Auvergne-Rhône-Alpes Bretagne Centre-Val de Loire Grand Est Hauts-de-France Ile-de-France Normandie Nouvelle-Aquitaine Occitanie Pays de la Loire
Secteurs Économie Sociale et Solidaire Industrie Santé Commerce et distribution Bâtiment et travaux publics Promotion immobilière CHR Notariat Agriculture Viticulture Art et culture Innovation & start-up
Profils Dirigeant & DG Direction finance DRH DSI Gestion de projet Entrepreneur
Enjeux Intégrer les enjeux de la transition digitale Mettre en place une stratégie RSE Se développer à l'international Passer à la facture électronique Innover, développer une start-up Créer ou reprendre une entreprise Gérer la comptabilité Externaliser la paie Auditer les comptes Former les équipes
À propos Qui sommes-nous ? Fondation Baker Tilly & Oratio Notre engagement RSE Politique RH Le groupe Baker Tilly Baker Tilly International Usurpation d’identité
Advisory Finance RSE RH Risques Partenaires & Outils Advisory
Corporate Finance Transaction services Évaluation d'entreprise Accompagnement à la cession (M&A) Corporate Finance
Audit Audit légal et contractuel Audit RSE Organisme Tiers Indépendant (OTI) Audit informatique & SI Audit
Expertise comptable et conseil Comptabilité et fiscalité Création d'entreprise Reprise d'entreprise Transmission d'entreprise Consolidation Pilotage et gestion d'entreprise Financement Patrimoine Assurances Conseil en développement international Formation Digital Expertise comptable et conseil
Expertise RH & sociale Gestion de la paie Rémunération du salarié et du dirigeant Protection sociale des salariés et du dirigeant Stratégie bilan retraite Accompagnement RH Intégration de nouveaux salariés Formation Digital RH Expertise RH
Auvergne-Rhône-Alpes Lyon Vienne
Bretagne Brest Dinan Hennebont Lorient Morlaix Quimperlé Redon Rennes Vannes
Centre-Val de Loire Amboise Bonneval Bourgueil Chartres Chinon Maintenon Tours
Grand Est Strasbourg
Hauts-de-France Lille
Ile-de-France Bièvres Clamart Dourdan Paris Rambouillet
Normandie Alençon
Nouvelle-Aquitaine Anglet Bayonne Cerizay La Rochelle Loudun Marennes Poitiers Rochefort Saint-Martin-de-Ré Saint-Pierre-d'Oléron Thouars
Occitanie Labège Toulouse
Pays de la Loire Angers Beaufort-en-Anjou Cholet Clisson Doué-la-Fontaine Le Mans Les Sables d'Olonne Le Lion d'Angers Machecoul Montaigu Nantes Pornic Saint-Gilles-Croix-de-Vie Saint-Nazaire Saint-Philbert-de-Grand-Lieu Saumur Sèvremoine Siège social Tiercé Vallet
Finance Pilotage de la performance Gestion des risques et contrôle interne Organisation et pilotage de la trésorerie Intégration de systèmes d'informations et assistance à matrîse d'ouvrage Independent Business Review (IBR) Facturation électronique Finance
RSE Bilan carbone® et stratégie climat Label Lucie 26000 RSE
RH Management de transition Temps partagé PCA RH & paie
Risques Cybersécurité Independent Business Review (IBR)
Audit légal et contractuel Audit légal Piste d'audit fiable Audit social Audit des programmes d'aides et de coopération internationales Audit légal
Audit RSE Label RSE CSRD
Organisme Tiers Indépendant (OTI) Vérification Sociétés à Mission Vérification DPEF
Comptabilité et fiscalité Présentation des comptes annuels Examen de Conformité Fiscale Situations intermédiaires et SIG Déclarations fiscales de l'entreprise Comptabilité et fiscalité
Financement Recouvrement de créances Affacturage Financement
Conseil en développement international Investir en France Démarrer une entreprise à l'étranger International
Digital Logiciel comptable Gestion des notes de frais
Gestion de la paie Externalisation de la paie Internalisation de la paie Externalisation partielle de la paie Paie internationale Gestion du personnel Gestion de la paie
Rémunération du salarié et du dirigeant Audit de la politique de rémunération CSE externalisé pour TPE et PME Statut social du dirigeant Rémunération
Accompagnement RH Diagnostic RH et audit social Document unique d'évaluation des risques professionnels Accompagnement data RH/BI Accompagnement RH
Digital RH SIRH Digital RH
Réseaux sociaux
linkedin facebook youtube instagram
Now, for tomorrow
English en
Français fr
Rechercher Rechercher
Quand les résultats de l'auto-complétion sont disponibles, utilisez les flèches haut et bas pour évaluer entrer pour aller à la page désirée. Utilisateurs et utilisatrices d‘appareils tactiles, explorez en touchant ou par des gestes de balayage.
Logo Baker Tilly
English en
Français fr
Recrutement Recrutement Espace client Espace client Nous contacter
AccueilActualitésDORA, CRA et NIS 2 : quelles implications pour les entreprises ?

Digital

DORA, CRA et NIS 2 : quelles implications pour les entreprises ?

Mis à jour le : 14 novembre 2025
back link

La sécurité numérique s’impose comme un enjeu majeur pour les entreprises en Europe, avec la mise en place de nouveaux textes réglementaires tels que DORA, NIS 2 et CRA ; des textes qui visent à renforcer la confiance dans les services publics numériques et dans une économie désormais largement digitalisée.

Mais, quels sont les impacts concrets de ces directives pour les entreprises ? Quels sont les domaines concernés et les étapes clés pour se préparer ? Nos experts vous répondent.

DORA, CRA et NIS 2 : ce qu’il faut retenir

DORA, CRA et NIS 2 marquent une étape importante dans le renforcement de la cybersécurité et de la résilience numérique en Europe. Ils participer à renforcer la stabilité des services essentiels des états de plus en plus dépendants du numérique et la confiance dans l’économie numérique.

Afin de faciliter leur compréhension, nous vous proposons un tableau synthétique regroupant les informations essentielles à retenir : entreprises concernées, principales exigences, date d’entrée en vigueur…

 

 

NIS 2

Network & Information Security 2

DORA

Digital Operational Resilience Act

CRA

Cyber Resilience Act

Type

Directive européenne

Règlement européen

Règlement européen

Entreprises concernées
  • Secteurs critiques*

ET

  • Chiffre d’affaires > 10 M€ OU effectif > 50 personnes
  • Chaine de sous-traitance
  • Secteur financier
  • Chaine de sous-traitance
  • Fabrication de produits, matériels et logiciels intégrant des éléments numériques
  • Chaîne de sous-traitance

Principales exigences
  • Gérer les risques de sécurité SI
  • Mettre en place une gouvernance adaptée
  • Informer des incidents de sécurité
  • Sécuriser toute la chaine de sous-traitance

 
  • Gérer le risque lié aux TIC et ceux liés aux prestataires tiers de services TIC
  • Gérer, classifier et notifier les incidents liés aux TIC
  • Réaliser des tests de résilience opérationnelle numérique
  • Mettre en place des dispositifs de partage d’informations
  • Mettre en place la cybersécurité dès la conception et, par défaut
  • Renforcer la gestion des vulnérabilités et la transparence
  • Évaluer régulièrement le niveau de sécurité

Date d’entrée en application

Octobre 2024

Janvier 2025

2027

Autorités en France

ANSSI

ACPR, AMF, Banque de France

ANSSI ? Nomination à confirmer

Sanctions

Minimum : 1,4 % du CA mondial ou 7 M€

Proportionnelles aux revenus

Maximum : 15 M€ ou 2,5 % du CA mondial

Remarque

Dans l’attente de la transposition nationale

–

–

ANSSI : Agence nationale de la sécurité des systèmes d’information  
ACPR : Autorité de contrôle prudentiel et de résolution 
AMF : Autorité des marchés financiers

*Détail des secteurs critiques concernés par NIS 2

schema cybersecurite

Impacts pour les entreprises

Chacun des 3 textes a des spécificités, mais un tronc commun fort s’appuyant sur 2 grands axes de travail :

Le management de la sécurité numérique

  • Mettre en place et maintenir une cartographie des systèmes d’information
  • Avoir une approche par les risques numériques et amélioration continue
  • Déployer une gouvernance et organisation (rôles et responsabilités) adaptées à l’entreprise
  • Formaliser et communiquer un corpus documentaire (politiques, procédures) et indicateurs de pilotage associés
  • Sensibiliser l’ensemble des parties prenante de l’organisation aux risques numériques

La sécurité opérationnelle

  • Renforcer les fondamentaux de cybersécurité en lien avec le guide d’hygiène de l’ANSSI
  • Mettre en place les principes de défense en profondeur pour se protéger contre les attaques complexes et/ou ciblées

Focus sur les exigences de sécurité opérationnelle en lien avec les 3 grandes étapes du déroulé d’une cyberattaque

 

1. Intrusion initiale

Vecteurs associés ci-dessous / portes d’entrée – surfaces d’attaque

2. Propagation de l’attaque

Vecteurs associés ci-dessous

3. Résilience pour l’entreprise ciblée

Vecteurs associés ci-dessous

Accès distants / VPN

Systèmes d’Identités / Annuaires

Analyse comportementale des composants (supervision)

Applications web gérées par la DSI et publiées sur internet

Applications et serveurs vulnérables ou obsolètes

Collecte et corrélation des logs des composants du SI

Poste de travail / navigation internet / mail malicieux (phishing, …)

Segmentation et cloisonnement du réseau

Plans de réponse

Interconnexion avec des tiers (infogérants…)

Comptes à privilèges, dont comptes de services

Sauvegarde et restauration

Environnement Cloud (O365, Salesforce…)

Trafic sortant vers internet

Continuité d’activité, gestion de crise et entrainement

Réseau Wifi

    

Equipement non géré par la DSI : poste personnel ou équipement de prestataires

    

Déploiement d’un outil infecté
(chaine de sous-traitance)

    

Intrusion physique
(siège, datacenter, …)

    

Conclusion

Les textes DORA, CRA et NIS 2 constituent une réponse de l’Union européenne face à l’accroissement des cyber-risques. En imposant des mesures strictes de sécurité et de résilience numérique, ils appellent les entreprises à une transformation digitale sécurisée pour renforcer la confiance des utilisateurs.

Ces nouvelles obligations sont à la fois une contrainte et une opportunité : les entreprises qui s’y conforment bénéficieront d’une meilleure sécurité opérationnelle, d’une confiance accrue de leurs clients et partenaires, et d’une résilience numérique renforcée face aux cybermenaces.

Il est donc essentiel pour les entreprises concernées d’agir dès maintenant pour assurer leur conformité et anticiper les risques numériques.

Service(s) associé(s)

Cybersécurité & transformation technologique

Partager cet article

Logo Facebook Logo X Logo Linkedin Logo Mail
Baker Tilly
Qui sommes-nous ? Tous nos cabinets comptables Le groupe Baker Tilly Baker Tilly International Fondation Baker Tilly & Oratio Organisme Tiers Indépendant
Conseil aux entreprises Facturation électronique Corporate Finance Service temps partagé Accompagnement international Digitalisation de l'entreprise
Expertise RH & sociale Gestion de la paie Intégration de SIRH Conseil RSE Audit RSE Commissariat aux comptes
Expertise comptable Conseil en financement Pilotage d’entreprise Création d'entreprise Intégration de logiciels
Now, for tomorrow Flèche vers le haut
Label
Logo Linkedin Logo Facebook Logo Youtube Logo Instagram

Ce site web a été développé dans une démarche d’écoconception.

En savoir plus sur l’écoconception

La société Baker Tilly STREGO qui exerce ses activités sous le nom de Baker Tilly est membre du réseau mondial de Baker Tilly International Ltd, dont les membres sont des entités juridiques distinctes et indépendantes.
Mentions légales • Politique de protection des données • Plan du site

© 2025 Baker Tilly | Tous droits réservés