DORA n'entre pas dans le champ d'application de la directive NIS 2 sur la cybersécurité
Le 18 septembre 2023, la Commission européenne a publié des lignes directrices sur l'application de l'article 4 de la directive « Sécurité des réseaux et de l’information » (dite « directive NIS 2 », de son nom anglais Network and Information System Security) sur la cybersécurité (directive (UE) 2022/2555).
Les lignes directrices visent à clarifier l'application de l'article 4 de NIS 2, paragraphes 1 et 2, qui exclut les dispositions pertinentes de NIS 2 aux entités essentielles ou importantes soumises à des exigences équivalentes en vertu d'actes juridiques sectoriels de l'UE, et couvrent :
l'évaluation de l'équivalence des obligations d'adopter des mesures de gestion des risques de cybersécurité et de notifier les incidents significatifs ;
les conséquences de l'équivalence, notamment en ce qui concerne la supervision et l'application de la loi, ainsi que les stratégies nationales de cybersécurité.
Une annexe aux lignes directrices dresse une liste non exhaustive des actes juridiques de l'UE que la Commission considère comme relevant du champ d'application de l'article 4, qui ne mentionne pour l'instant que la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA). La Commission note, entre autres, que les États membres ne devraient pas appliquer les dispositions pertinentes de la NIS2 aux entités financières couvertes par DORA.