Introduction

Les entites du secteur financier europeen font face a une superposition reglementaire en matiere de cybersecurite et de resilience operationnelle. Deux textes majeurs se chevauchent : le reglement DORA (Digital Operational Resilience Act, reglement (UE) 2022/2554) et la directive NIS2 (directive (UE) 2022/2555 concernant des mesures destinees a assurer un niveau eleve commun de cybersecurite). Ces deux textes, adoptes le meme jour – le 14 decembre 2022 – et entres en application respectivement le 17 janvier 2025 et le 18 octobre 2024 (pour la transposition), poursuivent des objectifs convergents mais distincts.

La question centrale pour les acteurs financiers est celle de l’articulation entre ces deux cadres : comment eviter la double conformite inutile tout en respectant les exigences de chacun ? Le legislateur europeen a prevu un mecanisme de coordination fonde sur le principe de lex specialis, mais sa mise en oeuvre pratique souleve des questions concretes. Consultez notre guide DORA pour le cadre general du reglement et notre analyse de la directive NIS2 pour le contexte de cette seconde reglementation.

Le principe de lex specialis

Fondement juridique

Le considerant 16 du reglement DORA et l’article 4 de la directive NIS2 posent explicitement le principe : DORA est lex specialis par rapport a NIS2 pour le secteur financier.

Cela signifie que lorsque DORA traite d’un sujet couvert egalement par NIS2, ce sont les dispositions de DORA qui s’appliquent en priorite aux entites financieres. NIS2 ne s’applique que pour les aspects qu’elle couvre et que DORA ne couvre pas, ou pour les entites du secteur financier qui ne seraient pas dans le perimetre de DORA.

L’article 4, paragraphe 2, de NIS2 est precis : lorsqu’un acte juridique sectoriel de l’Union impose des exigences au moins aussi strictes que celles de NIS2 en matiere de gestion des risques de cybersecurite ou de notification d’incidents, les dispositions correspondantes de NIS2 ne s’appliquent pas.

Consequences pratiques

Pour les entites financieres soumises a DORA, le principe de lex specialis a les consequences suivantes :

• Les exigences de gestion des risques TIC de DORA (articles 5 a 16) se substituent aux exigences de gestion des risques de cybersecurite de NIS2 (article 21).
• Les obligations de notification d’incidents de DORA (articles 17 a 23) se substituent aux obligations de notification de NIS2 (article 23).
• Les obligations de DORA en matiere de tests de resilience (articles 24 a 27), de gestion du risque lie aux prestataires TIC (articles 28 a 44) et de partage d’informations (article 45) n’ont pas d’equivalent direct dans NIS2 et s’appliquent de maniere autonome.

En revanche, certaines dispositions de NIS2 qui ne trouvent pas d’equivalent dans DORA continuent de s’appliquer aux entites financieres.

Ce que NIS2 ajoute a DORA

Gouvernance et responsabilite des dirigeants

NIS2 impose que les organes de direction des entites essentielles et importantes approuvent les mesures de gestion des risques de cybersecurite, supervisent leur mise en oeuvre et puissent etre tenus responsables en cas de manquement (article 20). DORA contient des dispositions similaires a son article 5, paragraphe 2, qui confie a l’organe de direction de l’entite financiere la responsabilite ultime de la gestion des risques TIC.

Sur ce point, les deux textes convergent largement. L’entite financiere qui se conforme aux exigences de gouvernance de DORA satisfait, en principe, les exigences equivalentes de NIS2.

Formation des dirigeants

L’article 20, paragraphe 2, de NIS2 impose que les membres des organes de direction suivent une formation pour acquerir des connaissances et des competences suffisantes en matiere de cybersecurite. DORA ne contient pas d’obligation explicite de formation des dirigeants sur les risques TIC, meme s’il leur confie une responsabilite globale.

Ce point constitue un ajout de NIS2 qui pourrait s’appliquer aux entites financieres. Les entreprises du secteur financier soumises a DORA ont interet a integrer cette obligation de formation dans leur programme de conformite.

Cooperation et partage d’informations a l’echelle nationale

NIS2 instaure un cadre de cooperation entre les Etats membres via les CSIRT (Computer Security Incident Response Teams), le reseau des CSIRT et le groupe de cooperation NIS. Elle impose egalement aux entites essentielles et importantes de participer a des mecanismes de partage d’informations sur les cybermenaces.

DORA prevoit son propre mecanisme de partage d’informations sur les cybermenaces (article 45) et un cadre de coordination entre les autorites de surveillance financiere. Les deux mecanismes coexistent et se completent.

Securite de la chaine d’approvisionnement

NIS2 impose aux entites essentielles et importantes de prendre en compte la securite de leur chaine d’approvisionnement dans leur gestion des risques (article 21, paragraphe 2, point d). DORA traite cette question de maniere beaucoup plus detaillee a travers son cadre de gestion du risque lie aux prestataires tiers de services TIC (articles 28 a 44), incluant le regime de surveillance des prestataires critiques.

Sur ce point, DORA va plus loin que NIS2. Les entites financieres qui se conforment aux exigences de DORA en matiere de gestion des prestataires TIC satisfont les exigences de NIS2 en matiere de chaine d’approvisionnement.

Notification des incidents : deux regimes distincts

Le regime de DORA

DORA impose aux entites financieres de notifier les incidents majeurs lies aux TIC a leur autorite de surveillance competente (article 19). Le cadre de notification comprend :

• Une notification initiale transmise dans un delai court apres la classification de l’incident.
• Un rapport intermediaire detaillant l’evolution de l’incident.
• Un rapport final analysant les causes profondes et les mesures correctives.

Les criteres de classification des incidents majeurs sont definis par les normes techniques de reglementation (RTS) adoptees par les AES. Ils prennent en compte l’impact sur les services financiers, le nombre de clients affectes, la duree de l’incident et sa propagation geographique.

Le regime de NIS2

NIS2 impose aux entites essentielles et importantes de notifier les incidents significatifs a leur CSIRT ou a leur autorite competente (article 23). Le cadre de notification comprend :

• Une alerte precoce dans les 24 heures suivant la prise de connaissance de l’incident.
• Une notification d’incident dans les 72 heures.
• Un rapport final dans un delai d’un mois.

Articulation entre les deux regimes

Pour les entites financieres soumises a DORA, le regime de notification de DORA prevaut. Elles ne sont pas tenues de notifier le meme incident aux autorites NIS2. Toutefois, il existe des zones de friction pratiques :

• Les delais ne sont pas identiques. DORA prevoit un cadre a trois etapes dont les delais sont precises par les RTS, tandis que NIS2 prevoit des delais fixes (24h, 72h, 1 mois).
• Les autorites destinataires different : l’autorite de surveillance financiere pour DORA, le CSIRT ou l’autorite NIS pour NIS2.
• Les criteres de classification ne sont pas les memes. Un incident peut etre “majeur” au sens de DORA sans etre “significatif” au sens de NIS2, et inversement.

En pratique, les entites financieres doivent s’assurer que leur processus de gestion des incidents couvre les deux cadres, meme si la notification formelle se fait principalement au titre de DORA. Les autorites financieres et les autorites NIS sont tenues de cooperer et de s’echanger les informations relatives aux incidents (article 19, paragraphe 8, de DORA).

Perimetre d’application : zones de chevauchement

Entites couvertes par les deux textes

La plupart des entites financieres soumises a DORA sont egalement des entites essentielles ou importantes au sens de NIS2. L’annexe I de NIS2 inclut le secteur bancaire et les infrastructures de marches financiers parmi les secteurs hautement critiques. L’annexe II inclut les prestataires de services numeriques et d’autres categories pouvant englober certains acteurs financiers.

Categorie	Couvert par DORA	Couvert par NIS2	Regime applicable
Etablissements de credit	Oui	Oui (Annexe I, secteur 3)	DORA (lex specialis)
Infrastructures de marche	Oui	Oui (Annexe I, secteur 4)	DORA (lex specialis)
Entreprises d’assurance	Oui	Potentiellement (selon transposition)	DORA (lex specialis)
Prestataires TIC critiques	Oui (surveillance DORA)	Potentiellement (selon activite)	DORA pour la surveillance, NIS2 possible en complement
Fournisseurs cloud generiques	Non (sauf contrats DORA)	Oui (Annexe I, secteur 8)	NIS2

Prestataires TIC : une double casquette

La situation des prestataires tiers de services TIC merite une attention particuliere. Un fournisseur cloud designe comme prestataire TIC critique au sens de DORA est soumis au regime de surveillance de DORA. Mais ce meme fournisseur est egalement, en tant que prestataire de services d’informatique en nuage, une entite essentielle au sens de NIS2.

Dans ce cas, les deux regimes coexistent :

• Le regime de surveillance DORA s’applique pour ce qui concerne les services fournis aux entites financieres.
• Le regime NIS2 s’applique pour l’ensemble de l’activite du prestataire, y compris les services fournis a des entites non financieres.

Le prestataire doit donc se conformer aux deux cadres, mais les exigences de DORA prevalent pour la partie financiere de son activite.

Strategie pratique de mise en conformite

Approche integree

Plutot que de traiter DORA et NIS2 comme deux projets de conformite separes, les entites financieres ont interet a adopter une approche integree.

Etape 1 : Cartographie des obligations. Identifiez les obligations de chaque texte applicables a votre organisation. Utilisez une matrice de correspondance pour reperer les chevauchements et les specificites de chaque cadre.

Etape 2 : Identification des ecarts. Determinez les obligations de NIS2 qui ne sont pas couvertes par DORA et qui s’appliquent donc en complement. En pratique, ces ecarts sont limites mais non negligeables (formation des dirigeants, cooperation avec les CSIRT nationaux).

Etape 3 : Cadre de gouvernance unique. Mettez en place un cadre de gouvernance des risques TIC qui repond simultanement aux exigences des deux textes. La politique de gestion des risques TIC de DORA peut servir de base et etre completee par les elements supplementaires exiges par NIS2. La certification ISO 27001 peut faciliter cette demarche integree en fournissant un cadre de reference commun.

Etape 4 : Processus de notification harmonise. Concevez un processus de gestion et de notification des incidents qui couvre les deux cadres. Meme si la notification formelle se fait au titre de DORA, le processus interne doit integrer les criteres de classification de NIS2 pour detecter les cas ou une notification NIS2 complementaire pourrait etre necessaire.

Etape 5 : Gestion des prestataires. Integrez les exigences contractuelles de DORA (article 30), les exigences de sous-traitance au sens de l’article 28 du RGPD et les exigences de securite de la chaine d’approvisionnement de NIS2 (article 21.2.d) dans un cadre contractuel unifie vis-a-vis de vos prestataires TIC.

Matrice de correspondance

Domaine	DORA	NIS2	Prevaut
Gestion des risques TIC	Articles 5-16	Article 21	DORA
Notification d’incidents	Articles 17-23	Article 23	DORA
Tests de resilience	Articles 24-27	–	DORA (pas d’equivalent NIS2)
Gestion des prestataires TIC	Articles 28-44	Article 21.2.d	DORA (plus detaille)
Partage d’informations	Article 45	Article 29	Complementaires
Gouvernance / responsabilite	Article 5	Article 20	Convergents
Formation des dirigeants	–	Article 20.2	NIS2 (ajout)
Cooperation avec CSIRT	–	Articles 10-14	NIS2 (ajout)
Sanctions	Autorites financieres	Autorites NIS nationales	Paralleles

Le regime de sanctions

Sanctions DORA

DORA confie aux autorites de surveillance financiere nationales le pouvoir de sanctionner les entites financieres non conformes. Les sanctions applicables sont celles prevues par les legislations sectorielles existantes (CRD, MiFID II, Solvabilite II…). DORA n’instaure pas de regime de sanctions autonome mais renforce les pouvoirs de supervision existants.

Pour les prestataires TIC critiques, les AES peuvent imposer des astreintes en cas de non-conformite persistante.

Sanctions NIS2

NIS2 prevoit des sanctions administratives pouvant atteindre :

• 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entites essentielles.
• 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entites importantes.

Pour les entites financieres, la question de savoir si les sanctions NIS2 s’appliquent en complement ou en substitution de celles de DORA depend de la transposition nationale. En France, la loi de transposition de NIS2 precise les autorites competentes et les modalites de sanction applicables au secteur financier.

Risque de double sanction

Le principe de lex specialis devrait en theorie eviter les doubles sanctions pour les memes manquements. Toutefois, si un manquement releve d’une obligation NIS2 non couverte par DORA, l’entite financiere pourrait etre sanctionnee au titre de NIS2 par l’autorite NIS competente, en complement des sanctions prononcees par l’autorite financiere au titre de DORA pour d’autres manquements.

Conclusion

L’articulation entre DORA et NIS2 repose sur un principe clair – DORA est lex specialis pour le secteur financier – mais sa mise en oeuvre pratique exige une analyse fine des obligations de chaque texte. Les entites financieres ne peuvent pas se contenter de se conformer a DORA en ignorant NIS2 : certaines obligations de NIS2 s’appliquent en complement, et la cooperation avec les autorites NIS nationales s’inscrit dans le cadre general de la cybersecurite.

L’approche recommandee est une strategie de conformite integree, fondee sur une cartographie precise des obligations, un cadre de gouvernance unique et des processus harmonises. Consultez notre guide DORA et notre analyse de la directive NIS2 pour approfondir chacun de ces cadres reglementaires.