CloudSoul
Ressources · Blog · NIS2

NIS2 pour le secteur financier : comprendre la relation avec DORA

NIS2 et DORA pour le secteur financier : comprendre comment les cadres de cybersécurité se chevauchent pour les banques, les établissements de paiement et les entreprises d’investissement.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 22 May 2026 · 10 min de lecture
NIS2
NIS2 pour le secteur financier : comprendre la relation avec DORA

Qui devrait lire ceci : dirigeants des services financiers, responsables de la conformité, responsables des risques, responsables IT bancaires.

Le secteur financier occupe une position unique dans le paysage réglementaire NIS2 et plus largement UE. Les institutions financières sont simultanément soumises à NIS2 (en tant que fournisseurs de services essentiels désignés à l’Annexe I, Secteur 4) et à la loi sur la résilience opérationnelle numérique (DORA), une réglementation sectorielle spécifique traitant de la résilience opérationnelle dans la banque et la finance.

Ce régime réglementaire double est intentionnel : NIS2 établit une base large pour la cybersécurité dans les secteurs critiques, tandis que DORA fournit des exigences plus prescriptives et sectorielles spécifiques reflétant l’importance systémique des marchés financiers et le besoin d’une réponse réglementaire coordonnée au risque cyber du secteur financier.

Pour les responsables de la conformité et les responsables des risques dans les services financiers, comprendre la relation NIS2-DORA est essentiel. Les deux régimes ont des exigences chevauchantes (signalement d’incident, gouvernance, gestion des risques) mais aussi des exigences distinctes (DORA spécifie un testing particulier, des limites de concentration tiers et des exigences de résilience opérationnelle). Cet article décortique la relation NIS2-DORA, clarifie leur portée et leur interaction, et fournit des conseils pratiques pour concevoir un cadre de conformité satisfaisant les deux.

Désignation NIS2 : le secteur financier comme infrastructure critique

L’Annexe I, Secteur 4 de NIS2 désigne les institutions financières comme fournisseurs de services essentiels. Le secteur inclut :

  • Établissements de crédit (banques).
  • Entreprises d’investissement.
  • Établissements de paiement.
  • Établissements de monnaie électronique.
  • Certains prestataires de services sur crypto-actifs.
  • Compagnies d’assurance (dans certains États membres).

La raison de la désignation est claire : les services financiers sont essentiels au fonctionnement de l’économie de l’UE. La perturbation des systèmes bancaires, des systèmes de paiement ou des marchés se répercute rapidement à travers l’économie. Une attaque par rançongiciel affectant une grande banque affecte les clients, les entreprises et les autres institutions financières dépendant des services de la banque.

En tant que fournisseurs de services essentiels, les institutions financières sont soumises aux obligations centrales de NIS2 : mettre en œuvre des mesures de cybersécurité proportionnées, établir la gouvernance, gérer la réponse aux incidents, signaler les incidents significatifs et gérer le risque de cybersécurité tiers (articles 21-22).

DORA : résilience opérationnelle sectorielle spécifique

La loi sur la résilience opérationnelle numérique (DORA), qui a commencé à s’appliquer en 2023 et est en cours de déploiement progressif jusqu’en 2025, établit des exigences complètes de résilience opérationnelle pour les entités financières. La portée de DORA est plus étroite que celle de NIS2 (elle s’applique uniquement aux entités financières régulées) mais ses exigences sont plus prescriptives.

DORA exige des entités financières qu’elles :

Identifient les fonctions critiques ou importantes (CIF) : fonctions qui, si elles étaient perturbées, affecteraient substantiellement les opérations de l’entité ou du système financier.

Mettent en œuvre des mesures de résilience opérationnelle protégeant les CIF : mesures traitant les personnes, processus, technologie et infrastructure.

Testent la résilience opérationnelle par des tests de pénétration avancés guidés par la menace (TLPT) : simulant des attaques menées par des adversaires pour identifier les vulnérabilités et tester les procédures de réponse.

Gèrent le risque de résilience opérationnelle tiers : avec une attention particulière au risque de concentration (dépendance envers un petit nombre de prestataires) et à l’externalisation de fonctions critiques ou importantes.

Signalent les incidents, avec des catégories distinctes (incidents opérationnels ou de sécurité) et des délais de signalement spécifiques.

Les exigences de DORA sont plus spécifiques que celles de NIS2. Par exemple, DORA mandate des TLPT annuellement (avec quelques exemptions pour les petites entités), tandis que NIS2 utilise le langage de tests « proportionnés » sans prescrire de méthodologies particulières.

Chevauchement de portée et relation

La relation entre NIS2 et DORA est hiérarchique avec quelques interactions :

Toutes les entités régulées DORA (établissements de crédit, entreprises d’investissement, établissements de paiement et autres) sont également désignées fournisseurs de services essentiels NIS2. Une banque est soumise à la fois à NIS2 et à DORA.

DORA est plus prescriptif : il spécifie des exigences particulières (TLPT, catégories d’incidents définies, limites de concentration tiers) que NIS2 ne mandate pas. Dans les domaines où DORA est plus prescriptif, les normes DORA s’appliquent.

NIS2 a une portée plus large : il s’applique aux institutions financières et également à d’autres fournisseurs de services essentiels (énergie, santé, transport) non soumis à DORA. Pour les entités financières, NIS2 fournit une base ; DORA ajoute des exigences sectorielles spécifiques.

En pratique, les entités financières mettent en œuvre un programme de conformité satisfaisant les deux cadres. Cela se fait efficacement : les programmes se chevauchent substantiellement, donc la charge incrémentale de satisfaire les deux est gérable.

Gouvernance et responsabilité du conseil

NIS2 et DORA exigent tous deux la gouvernance au niveau du conseil et la responsabilité de la direction supérieure pour la cybersécurité et la résilience opérationnelle.

NIS2 exige que la direction supérieure établisse des structures de gouvernance de cybersécurité, avec une responsabilité claire pour la gestion des risques et la réponse aux incidents.

DORA exige que le conseil d’administration approuve, au moins annuellement, une stratégie de résilience opérationnelle, que la direction supérieure mette en œuvre la stratégie, et que des mécanismes spécifiques de supervision au niveau du conseil traitent la résilience opérationnelle. DORA exige également que le conseil reçoive des rapports réguliers sur les cyberincidents et les résultats des tests.

Pour les institutions financières, ces exigences sont complémentaires. Une structure de gouvernance unique doit traiter à la fois la cybersécurité (NIS2) et la résilience opérationnelle (DORA), avec une supervision du conseil sur les deux.

Évaluation et gestion des risques

Les deux régimes exigent l’évaluation des risques et des contrôles proportionnés.

NIS2 (article 21) exige la mise en œuvre de mesures techniques et organisationnelles proportionnées basées sur l’évaluation des risques.

DORA exige l’identification des fonctions critiques et importantes, l’évaluation des dépendances et vulnérabilités affectant ces fonctions, et la mise en œuvre de mesures de résilience les protégeant. DORA est plus spécifique : il exige le test de la résilience et la documentation des hypothèses sous-jacentes aux mesures de résilience.

Pour les entités financières, l’évaluation des risques doit cartographier les fonctions critiques vers les systèmes IT et opérationnels sous-jacents, identifier les menaces et vulnérabilités à ces systèmes, et mettre en œuvre des contrôles protégeant les fonctions critiques. La proportionnalité, sous les deux cadres, dépend de la criticité de la fonction : les fonctions plus critiques reçoivent des tests et une surveillance plus intensifs.

Signalement d’incident : catégories distinctes sous DORA

Une distinction importante entre NIS2 et DORA est dans le signalement d’incident :

NIS2 exige la notification des incidents « significatifs » (atteignant les critères de l’article 23(3)) dans les 24 heures aux autorités compétentes et aux CSIRT.

DORA exige le signalement des « incidents opérationnels ou de sécurité » avec des seuils et délais distincts. DORA définit les « incidents majeurs » (affectant les fonctions critiques, ou atteignant des seuils d’impact financier ou opérationnel définis) et exige le signalement dans des délais spécifiques (4 heures pour certains incidents).

Pour les entités financières, les cadres de classification d’incidents sont distincts. Un incident peut être significatif selon les critères de NIS2 mais ne pas atteindre le seuil d’incident majeur de DORA, ou vice versa. Les deux obligations de signalement peuvent être déclenchées par un seul incident.

Les entités financières doivent établir des procédures de réponse aux incidents intégrées qui :

  • Évaluent les incidents par rapport aux critères NIS2 et DORA.
  • Déterminent quelles notifications réglementaires sont requises.
  • Coordonnent la notification avec les régulateurs (garantissant qu’un seul incident n’est pas signalé de manière redondante ou contradictoire à différentes autorités).

Gestion du risque tiers et risque de concentration

NIS2 et DORA exigent tous deux la gestion du risque tiers, mais DORA ajoute des dispositions spécifiques traitant du risque de concentration.

NIS2 (article 22) exige que les entités s’assurent que les fournisseurs tiers mettent en œuvre des mesures de cybersécurité proportionnées.

DORA exige une évaluation détaillée du risque de résilience opérationnelle tiers, avec une attention particulière à :

Risque de concentration : lorsque les fonctions critiques dépendent d’un petit nombre de prestataires. Si un grand fournisseur cloud est compromis ou défaille, plusieurs institutions financières sont affectées. DORA exige que le risque de concentration soit identifié et, lorsque possible, atténué (par ex. par la diversité géographique, la redondance du service ou des limites contractuelles de concentration).

Externalisation de fonctions critiques ou importantes : lorsque les entités externalisent des fonctions critiques (par ex. services de données de marché, systèmes de règlement), des exigences supplémentaires s’appliquent, incluant l’autorisation préalable et la surveillance renforcée.

Risque sous-traitant : lorsque les prestataires tiers utilisent des sous-traitants, le risque de concentration peut se répercuter. DORA exige la visibilité sur les arrangements de sous-traitance.

Pour les entités financières, un programme unifié de gestion des tiers doit traiter à la fois les exigences NIS2 et DORA. La diligence raisonnable des fournisseurs, les exigences contractuelles et les procédures de surveillance doivent traiter les deux cadres. De plus, les décisions stratégiques sur quels services externaliser, et à quels prestataires, doivent tenir compte du risque de concentration et des implications de résilience opérationnelle.

Tests et vérification de la résilience opérationnelle

DORA est plus prescriptif sur les tests que NIS2. DORA exige :

Tests de pénétration avancés guidés par la menace (TLPT) : annuellement (avec exemptions pour les petites entités), les entités financières doivent mener des attaques simulées conçues par des experts externes en menaces, testant la capacité de l’entité à détecter et répondre aux menaces avancées.

Tests de scénarios : tester la résilience des fonctions critiques sous des scénarios définis (par ex. perte d’un grand prestataire, pannes prolongées, défaillances en cascade).

Tests de réponse et récupération d’incident : tests réguliers des procédures de réponse aux incidents et des processus de récupération.

NIS2 exige des tests, mais ne prescrit pas de méthodologies ou de fréquences spécifiques. Des tests « proportionnés » peuvent signifier des tests de pénétration annuels pour une grande institution mais trimestriels pour une plus petite.

Pour les entités financières, les exigences de tests de DORA établissent un plancher. Les entités doivent, au minimum, mener les tests requis par DORA. Selon la taille et le profil de risque, des tests supplémentaires (par ex. tests de pénétration plus fréquents, exercices de réponse aux incidents interfonctionnels) peuvent être proportionnés sous NIS2.

Supervision réglementaire et coordination

NIS2 et DORA sont mis en œuvre par différents canaux réglementaires :

NIS2 est mis en œuvre par les autorités nationales de cybersécurité, les régulateurs sectoriels et les autorités compétentes désignées par les États membres. Les régulateurs du secteur financier (autorités bancaires, autorités des marchés financiers) servent souvent comme autorités compétentes pour NIS2 dans le secteur financier.

DORA est mis en œuvre par les régulateurs financiers : la Banque centrale européenne (BCE) pour les banques dans la zone euro, l’Autorité bancaire européenne (ABE) pour les établissements de paiement et les entreprises d’investissement, et d’autres autorités financières.

Il y a un chevauchement significatif dans les régulateurs : le régulateur national d’une banque peut servir à la fois comme autorité compétente sous NIS2 et superviseur direct sous DORA. Cette coordination est bénéfique : un seul régulateur peut évaluer la conformité aux deux cadres et coordonner la supervision.

Cependant, les entités financières peuvent recevoir des demandes de plusieurs organes réglementaires (autorité compétente NIS2, CSIRT, régulateur DORA, etc.). Clarifier quelle autorité a autorité sur quels aspects de la conformité, et coordonner la communication, est important.

Points clés à retenir

  • Les institutions financières sont désignées comme fournisseurs de services essentiels sous NIS2 (Annexe I, Secteur 4) et sont soumises à des exigences plus prescriptives sous DORA. Toutes les entités régulées DORA sont également désignées NIS2.
  • Les deux cadres exigent gouvernance, évaluation des risques, contrôles proportionnés, signalement d’incident et gestion du risque tiers. NIS2 fournit une base ; DORA ajoute des exigences sectorielles spécifiques.
  • Les cadres de signalement d’incident diffèrent : NIS2 exige la notification des incidents significatifs dans les 24 heures ; DORA définit les incidents majeurs avec des délais de signalement distincts (par ex. 4 heures pour certains incidents). Les deux peuvent être déclenchés par un seul incident.
  • DORA spécifie les exigences de tests (TLPT annuel, tests de scénarios) et l’évaluation du risque de concentration plus prescriptivement que NIS2. Celles-ci doivent être intégrées dans un programme complet de tests et de résilience opérationnelle.
  • La gestion du risque tiers doit traiter les exigences des deux cadres, avec une attention particulière au risque de concentration sous DORA (où les fonctions critiques dépendent d’un petit nombre de prestataires).
  • La gouvernance au niveau du conseil doit traiter à la fois la cybersécurité (NIS2) et la résilience opérationnelle (DORA), avec des procédures de supervision intégrées et des rapports réguliers.
  • La supervision réglementaire peut être exercée par une seule autorité (le régulateur financier servant comme autorité compétente NIS2 et superviseur DORA) ou par plusieurs autorités. La coordination de la communication réglementaire est importante.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
NIS2 pour l'industrie manufacturière : automobile, électronique et machines
NIS2 · 27 May 2026

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.