10 millions d'euros d'amende ou 2 % du CA mondial — et ce n'est que NIS 2

DORA (Digital Operational Resilience Act), NIS 2, ISO 27001, RGPD — chaque mois une nouvelle exigence, chaque manquement une sanction. Je vous guide de l'audit à la conformité.

Contact me

Vous vous posez ces questions ?

Quelles normes s'appliquent à mon entreprise ?

DORA, NIS 2, RGPD, ISO 27001, CIS Controls... La multiplication des référentiels rend difficile l'identification de vos obligations réelles — et de celles qui ne vous concernent pas.

Obligatoire ou recommandé ?

Certaines normes exposent à des sanctions pénales et financières sévères. D'autres sont de simples bonnes pratiques. Confondre les deux coûte cher — en sur-investissement ou en amende.

Quel est le risque financier ?

Les amendes prévues par les réglementations européennes sont massives :

DORA astreintes périodiques + retrait d'agrément possible
NIS 2 jusqu'à 10 M€ ou 2 % du CA mondial
RGPD jusqu'à 20 M€ ou 4 % du CA annuel mondial

Quel est le risque pour les dirigeants ?

DORA et NIS 2 introduisent la responsabilité personnelle des dirigeants : amendes nominatives, obligation de formation sur les risques cyber, destitution possible en cas de manquement grave.

Mon approche en 4 étapes

Une méthodologie structurée conforme à ISO 19011 (Lignes directrices pour l'audit des systèmes de management).

Audit

Contrôles sur pièces et sur site, entretiens avec les parties prenantes, collecte de preuves. Grille structurée de 100 à 160+ points de contrôle par norme.

Évaluation des écarts

Classification de chaque exigence : conforme, non conforme ou conformité partielle. Identification précise des lacunes et de leur criticité.

Feuille de route

Plan d'action priorisé par criticité, effort et délai réglementaire. Chaque écart est documenté avec une recommandation concrète et un responsable désigné.

Accompagnement projet

Pilotage de la mise en conformité : suivi d'avancement, arbitrages, coordination des parties prenantes. En option, selon disponibilités.

Option

Périmètre d'intervention

Un seul consultant pour DORA, NIS 2, ISO 27001 et ISO 22301 — pas de coordination entre 3 cabinets, pas de perte de contexte entre les phases.

ISO 27001 — SMSI

Système de Management de la Sécurité de l'Information · ISO 27001:2022 · ISO 27002 · ISO 27005 · ISO 19011

Implémentation SMSI : périmètre, politique, risques, DdA, 93 contrôles Annexe A
Audit interne ISO 19011 : cotation non-conformités, revue de direction
Remédiation, accompagnement certification et cycle triennal

DORA — Résilience opérationnelle numérique

Digital Operational Resilience Act · Règlement UE 2022/2554 · RTS/ITS · Circulaires CSSF

Gap analysis sur les 5 piliers : risques TIC, incidents, résilience, tiers, partage
Cotation de maturité 1 à 4 + plan de remédiation priorisé
Cadrage prestataire TIC critique : clauses, due diligence, stratégie de sortie

NIS 2 — Sécurité des réseaux et de l'information

Network and Information Security Directive 2 · Directive UE 2022/2555 · Art. 21 (10 mesures)

10 mesures Art. 21 : politiques, risques, incidents, continuité, supply chain
Notification d'incidents 24h / 72h + MFA, chiffrement, contrôle d'accès
Formation cybersécurité obligatoire des dirigeants

ISO 22301 — Continuité d'activité

ISO 22301:2019 · ISO 22313 · ISO 22317 (BIA) · ISO 27031 (préparation TIC)

BIA (Business Impact Analysis) : processus critiques, MTPD, RTO, RPO
BCP (Plan de continuité) + DRP (Plan de reprise IT)
Tests : tabletop exercise, test DRP, mesure RTO/RPO réels

Ce que je vous livre

Grille d'audit complète

100 à 160+ points de contrôle par norme, avec statut (conforme / non conforme / partiel) et preuves associées.

Rapport exécutif & PV de conformité

Synthèse pour la direction avec indicateurs clés, détail technique pour les équipes sécurité, et PV de clôture signé.

Feuille de route priorisée

Actions classées par criticité, effort estimé et délai réglementaire. Chaque action est traçable à un écart.

Modèles de politiques & décryptage normes

Templates prêts à l'emploi (PSSI, procédures incidents, DPIA) + présentations claires par norme pour la direction et les équipes métier.

Simulateur

Quelles réglementations cyber s'appliquent à vous ?

Répondez à quelques questions et découvrez immédiatement quels référentiels sont applicables ou recommandés pour votre organisation.

Votre organisation

Ce simulateur fournit une indication générale et ne constitue pas un avis juridique.

Où est situé votre siège social / activité principale ?*

Quel est votre secteur d'activité principal ?* Détermine NIS 2 (Annexe I/II), DORA (secteur financier)

Quelle est la taille de votre organisation ?* NIS 2 : <50 sal ET <10M€ = non concerné

Traitez-vous des données personnelles ?* Nom, email, téléphone, IP, cookies, données RH...

Détenez-vous un agrément financier (AMF, ACPR, CSSF...) ?* DORA cible exclusivement les entités financières régulées.

Fournissez-vous des services IT/Cloud à des clients ?* MSP, infogérance, SaaS, hébergement, conseil IT...

Êtes-vous prestataire TIC pour des entités financières régulées ? Sous-traitant IT critique pour banques, assureurs, SGP... → DORA s'applique

Votre entité est-elle fournisseur DNS, registre TLD, prestataire de confiance ou opérateur télécom ? Ces entités sont soumises à NIS 2 quelle que soit leur taille (Art. 2§2)

Continuité d'activité

Avez-vous des activités critiques nécessitant un plan de continuité ?*

Votre diagnostic compliance

Réglementation(s) applicable(s)

Recommandation(s)

Télécharger votre rapport

Recevez un PDF récapitulatif avec toutes les réglementations, risques et échéances.

Prêt à y voir clair sur votre conformité ?

Premier diagnostic de 30 minutes — gratuit, sans engagement

Contact me