Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/DORA et NIS2 : articulation et double conformité financière
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

DORA est lex specialis par rapport a NIS2. Comment articuler les deux règlements dans le secteur financier.

Par Thiébaut DevergrannePublie le 12 fevrier 2026Mis a jour le 12 fevrier 202612 min de lecture
Sommaire
  1. Introduction
  2. Le principe de lex specialis
  3. Ce que NIS2 ajouté a DORA
  4. Notification des incidents : deux régimes distincts
  5. Périmètre d’application : zones de chevauchement
  6. Stratégie pratique de mise en conformité
  7. Le régime de sanctions
  8. Conclusion

Introduction

Les entités du secteur financier européen font face à une superposition réglementaire en matière de cybersécurité et de résilience opérationnelle. Deux textes majeurs se chevauchent : le règlement DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554) et la directive NIS2 (directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité). Ces deux textes, adoptés le même jour – le 14 décembre 2022 – et entres en application respectivement le 17 janvier 2025 et le 18 octobre 2024 (pour la transposition), poursuivent des objectifs convergents mais distincts.

La question centrale pour les acteurs financiers est celle de l’articulation entre ces deux cadres : comment éviter la double conformité inutile tout en respectant les exigences de chacun ? Le législateur européen a prévu un mécanisme de coordination fondé sur le principe de lex specialis, mais sa mise en oeuvre pratique soulevé des questions concrètes. Consultez notre guide DORA pour le cadre général du règlement et notre analyse de la directive NIS2 pour le contexte de cette seconde réglementation.

Le principe de lex specialis

Fondement juridique

Le considérant 16 du règlement DORA et l’article 4 de la directive NIS2 posent explicitement le principe : DORA est lex specialis par rapport à NIS2 pour le secteur financier.

Cela signifie que lorsque DORA traité d’un sujet couvert également par NIS2, ce sont les dispositions de DORA qui s’appliquent en priorité aux entités financières. NIS2 ne s’applique que pour les aspects qu’elle couvre et que DORA ne couvre pas, ou pour les entités du secteur financier qui ne seraient pas dans le périmètre de DORA.

L’article 4, paragraphe 2, de NIS2 est précis : lorsqu’un acte juridique sectoriel de l’Union impose des exigences au moins aussi strictes que celles de NIS2 en matière de gestion des risques de cybersécurité ou de notification d’incidents, les dispositions correspondantes de NIS2 ne s’appliquent pas.

Conséquences pratiques

Pour les entités financières soumises à DORA, le principe de lex specialis à les conséquences suivantes :

  • Les exigences de gestion des risques TIC de DORA (articles 5 à 16) se substituent aux exigences de gestion des risques de cybersécurité de NIS2 (article 21).
  • Les obligations de notification d’incidents de DORA (articles 17 à 23) se substituent aux obligations de notification de NIS2 (article 23).
  • Les obligations de DORA en matière de tests de résilience (articles 24 à 27), de gestion du risque lie aux prestataires TIC (articles 28 à 44) et de partagé d’informations (article 45) n’ont pas d’équivalent direct dans NIS2 et s’appliquent de manière autonome.

En revanche, certaines dispositions de NIS2 qui ne trouvent pas d’équivalent dans DORA continuent de s’appliquer aux entités financières.

Ce que NIS2 ajouté a DORA

Gouvernance et responsabilité des dirigeants

NIS2 impose que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en oeuvre et puissent être tenus responsables en cas de manquement (article 20). DORA contient des dispositions similaires à son article 5, paragraphe 2, qui confié à l’organe de direction de l’entité financière la responsabilité ultime de la gestion des risques TIC.

Sur ce point, les deux textes convergent largement. L’entité financière qui se conforme aux exigences de gouvernance de DORA satisfait, en principe, les exigences équivalentes de NIS2.

Formation des dirigeants

L’article 20, paragraphe 2, de NIS2 impose que les membres des organes de direction suivent une formation pour acquérir des connaissances et des compétences suffisantes en matière de cybersécurité. DORA ne contient pas d’obligation explicite de formation des dirigeants sur les risques TIC, même s’il leur confié une responsabilité globale.

Ce point constitue un ajout de NIS2 qui pourrait s’appliquer aux entités financières. Les entreprises du secteur financier soumises à DORA ont intérêt à intégrer cette obligation de formation dans leur programme de conformité.

Cooperation et partagé d’informations à l’échelle nationale

NIS2 instaure un cadre de coopération entre les États membres via les CSIRT (Computer Security Incident Response Teams), le réseau des CSIRT et le groupe de coopération NIS. Elle impose également aux entités essentielles et importantes de participer à des mécanismes de partagé d’informations sur les cybermenaces.

DORA prévoit son propre mécanisme de partagé d’informations sur les cybermenaces (article 45) et un cadre de coordination entre les autorités de surveillance financière. Les deux mécanismes coexistent et se completent.

Sécurité de la chaîne d’approvisionnement

NIS2 impose aux entités essentielles et importantes de prendre en compte la sécurité de leur chaîne d’approvisionnement dans leur gestion des risques (article 21, paragraphe 2, point d). DORA traité cette question de manière beaucoup plus détaillée à travers son cadre de gestion du risque lie aux prestataires tiers de services TIC (articles 28 à 44), incluant le régime de surveillance des prestataires critiques.

Sur ce point, DORA va plus loin que NIS2. Les entités financières qui se conforment aux exigences de DORA en matière de gestion des prestataires TIC satisfont les exigences de NIS2 en matière de chaîne d’approvisionnement.

Notification des incidents : deux régimes distincts

Le régime de DORA

DORA impose aux entités financières de notifier les incidents majeurs liés aux TIC à leur autorité de surveillance compétente (article 19). Le cadre de notification comprend :

  • Une notification initiale transmise dans un délai court après la classification de l’incident.
  • Un rapport intermédiaire détaillant l’évolution de l’incident.
  • Un rapport final analysant les causes profondes et les mesures correctives.

Les critères de classification des incidents majeurs sont définis par les normes techniques de réglementation (RTS) adoptées par les AES. Ils prennent en compte l’impact sur les services financiers, le nombre de clients affectés, la durée de l’incident et sa propagation géographique.

Le régime de NIS2

NIS2 impose aux entités essentielles et importantes de notifier les incidents significatifs à leur CSIRT ou à leur autorité compétente (article 23). Le cadre de notification comprend :

  • Une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident.
  • Une notification d’incident dans les 72 heures.
  • Un rapport final dans un délai d’un mois.

Articulation entre les deux régimes

Pour les entités financières soumises à DORA, le régime de notification de DORA prévaut. Elles ne sont pas tenues de notifier le même incident aux autorités NIS2. Toutefois, il existe des zones de friction pratiques :

  • Les délais ne sont pas identiques. DORA prévoit un cadre a trois étapes dont les délais sont précises par les RTS, tandis que NIS2 prévoit des délais fixés (24h, 72h, 1 mois).
  • Les autorités destinataires différent : l’autorité de surveillance financière pour DORA, le CSIRT ou l’autorité NIS pour NIS2.
  • Les critères de classification ne sont pas les mêmes. Un incident peut être “majeur” au sens de DORA sans être “significatif” au sens de NIS2, et inversement.

En pratique, les entités financières doivent s’assurer que leur processus de gestion des incidents couvre les deux cadres, même si la notification formelle se fait principalement au titre de DORA. Les autorités financières et les autorités NIS sont tenues de coopérer et de s’echanger les informations relatives aux incidents (article 19, paragraphe 8, de DORA).

Périmètre d’application : zones de chevauchement

Entites couvertes par les deux textes

La plupart des entités financières soumises à DORA sont également des entités essentielles ou importantes au sens de NIS2. L’annexe I de NIS2 inclut le secteur bancaire et les infrastructures de marchés financiers parmi les secteurs hautement critiques. L’annexe II inclut les prestataires de services numériques et d’autres catégories pouvant englober certains acteurs financiers.

Catégorie Couvert par DORA Couvert par NIS2 Régime applicable
Etablissements de crédit Oui Oui (Annexe I, secteur 3) DORA (lex specialis)
Infrastructures de marché Oui Oui (Annexe I, secteur 4) DORA (lex specialis)
Entreprises d’assurance Oui Potentiellement (selon transposition) DORA (lex specialis)
Prestataires TIC critiques Oui (surveillance DORA) Potentiellement (selon activité) DORA pour la surveillance, NIS2 possible en complement
Fournisseurs cloud generiques Non (sauf contrats DORA) Oui (Annexe I, secteur 8) NIS2

Prestataires TIC : une double casquette

La situation des prestataires tiers de services TIC mérite une attention particulière. Un fournisseur cloud désigné comme prestataire TIC critique au sens de DORA est soumis au régime de surveillance de DORA. Mais ce même fournisseur est également, en tant que prestataire de services d’informatique en nuage, une entité essentielle au sens de NIS2.

Dans ce cas, les deux régimes coexistent :

  • Le régime de surveillance DORA s’applique pour ce qui concerne les services fournis aux entités financières.
  • Le régime NIS2 s’applique pour l’ensemble de l’activité du prestataire, y compris les services fournis à des entités non financières.

Le prestataire doit donc se conformer aux deux cadres, mais les exigences de DORA prévalent pour la partie financière de son activité.

Stratégie pratique de mise en conformité

Approche intégrée

Plutôt que de traiter DORA et NIS2 comme deux projets de conformité séparés, les entités financières ont intérêt à adopter une approche intégrée.

Étape 1 : Cartographie des obligations. Identifiez les obligations de chaque texte applicables à votre organisation. Utilisez une matrice de correspondance pour repérer les chevauchements et les spécificités de chaque cadre.

Étape 2 : Identification des écarts. Déterminez les obligations de NIS2 qui ne sont pas couvertes par DORA et qui s’appliquent donc en complement. En pratique, ces écarts sont limités mais non negligeables (formation des dirigeants, coopération avec les CSIRT nationaux).

Étape 3 : Cadre de gouvernance unique. Mettez en place un cadre de gouvernance des risques TIC qui répond simultanément aux exigences des deux textes. La politique de gestion des risques TIC de DORA peut servir de base et être complétée par les éléments supplémentaires exigés par NIS2. La certification ISO 27001 peut faciliter cette démarche intégrée en fournissant un cadre de référence commun.

Étape 4 : Processus de notification harmonise. Concevez un processus de gestion et de notification des incidents qui couvre les deux cadres. Même si la notification formelle se fait au titre de DORA, le processus interne doit intégrer les critères de classification de NIS2 pour détecter les cas où une notification NIS2 complémentaire pourrait être nécessaire.

Étape 5 : Gestion des prestataires. Intégrez les exigences contractuelles de DORA (article 30), les exigences de sous-traitance au sens de l’article 28 du RGPD et les exigences de sécurité de la chaîne d’approvisionnement de NIS2 (article 21.2.d) dans un cadre contractuel unifie vis-à-vis de vos prestataires TIC.

Matrice de correspondance

Domaine DORA NIS2 Prevaut
Gestion des risques TIC Articles 5-16 Article 21 DORA
Notification d’incidents Articles 17-23 Article 23 DORA
Tests de résilience Articles 24-27 DORA (pas d’équivalent NIS2)
Gestion des prestataires TIC Articles 28-44 Article 21.2.d DORA (plus détaillé)
Partage d’informations Article 45 Article 29 Complementaires
Gouvernance / responsabilité Article 5 Article 20 Convergents
Formation des dirigeants Article 20.2 NIS2 (ajout)
Cooperation avec CSIRT Articles 10-14 NIS2 (ajout)
Sanctions Autorités financières Autorités NIS nationales Paralleles

Le régime de sanctions

Sanctions DORA

DORA confié aux autorités de surveillance financière nationales le pouvoir de sanctionner les entités financières non conformes. Les sanctions applicables sont celles prévues par les legislations sectorielles existantes (CRD, MiFID II, Solvabilite II…). DORA n’instaure pas de régime de sanctions autonome mais renforcé les pouvoirs de supervision existants.

Pour les prestataires TIC critiques, les AES peuvent imposer des astreintes en cas de non-conformité persistante.

Sanctions NIS2

NIS2 prévoit des sanctions administratives pouvant atteindre :

  • 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles.
  • 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités importantes.

Pour les entités financières, la question de savoir si les sanctions NIS2 s’appliquent en complement ou en substitution de celles de DORA dépend de la transposition nationale. En France, la loi de transposition de NIS2 précise les autorités compétentes et les modalités de sanction applicables au secteur financier.

Risque de double sanction

Le principe de lex specialis devrait en théorie éviter les doubles sanctions pour les mêmes manquements. Toutefois, si un manquement relève d’une obligation NIS2 non couverte par DORA, l’entité financière pourrait être sanctionnée au titre de NIS2 par l’autorité NIS compétente, en complement des sanctions prononcées par l’autorité financière au titre de DORA pour d’autres manquements.

Conclusion

L’articulation entre DORA et NIS2 repose sur un principe clair – DORA est lex specialis pour le secteur financier – mais sa mise en oeuvre pratique exige une analyse fine des obligations de chaque texte. Les entités financières ne peuvent pas se contenter de se conformer a DORA en ignorant NIS2 : certaines obligations de NIS2 s’appliquent en complement, et la coopération avec les autorités NIS nationales s’inscrit dans le cadre général de la cybersécurité.

L’approche recommandée est une stratégie de conformité intégrée, fondée sur une cartographie précise des obligations, un cadre de gouvernance unique et des processus harmonises. Consultez notre guide DORA et notre analyse de la directive NIS2 pour approfondir chacun de ces cadres réglementaires.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

AML et données personnelles : durées de conservation et RGPD

8 fevrier 2026 · 11 min