NIS2-guide
Retour au blog
Secteur financier
DORA vs NIS2 : guide pratique pour banques, assurances et fintech (2026)

DORA vs NIS2 : guide pratique pour banques, assurances et fintech (2026)

9 min de lecture
AD

Alexandre Durand

Directeur éditorial — Expert cybersécurité

Lundi matin, 9h. Le RSSI d'une banque française reçoit deux courriers. Le premier de l'ACPR rappelle que le règlement DORA (règlement (UE) 2022/2554) s'applique pleinement depuis le 17 janvier 2025. Le second de l'ANSSI signale que la transposition NIS2 française couvre désormais ses activités. Question simple, réponse complexe : faut-il appliquer les deux textes, ou un seul prévaut-il ?

Cette confusion est répandue. Selon les orientations conjointes de l'ENISA et des trois autorités européennes de surveillance (EBA, EIOPA, ESMA), la réponse dépend d'un principe juridique précis : la *lex specialis*. Voici comment articuler concrètement les deux régimes pour une banque, une compagnie d'assurance ou une fintech opérant en Europe.

DORA et NIS2 : deux textes, deux logiques

DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554) est un règlement européen, donc directement applicable dans tous les États membres sans transposition nationale. Adopté en décembre 2022, applicable depuis le 17 janvier 2025, il vise spécifiquement le secteur financier — banques, compagnies d'assurance, sociétés de gestion, prestataires de services de paiement, plateformes de crypto-actifs, contreparties centrales et plus de 20 catégories d'entités financières au total.

NIS2 (directive 2022/2555) est une directive — elle exige une transposition par chaque État membre. Son champ couvre 18 secteurs hautement critiques et critiques, parmi lesquels figurent le secteur bancaire et les infrastructures des marchés financiers. La transposition aurait dû être achevée le 17 octobre 2024 ; en mai 2026, plusieurs pays sont encore en retard.

L'angle d'attaque diffère : DORA traite la résilience opérationnelle numérique de bout en bout (gestion des risques TIC, tests, incidents, prestataires tiers, partage d'informations). NIS2 fixe un cadre général de cybersécurité applicable à tous les secteurs critiques.

Tableau de bord de surveillance des risques opérationnels en temps réel
Tableau de bord de surveillance des risques opérationnels en temps réel

Lex specialis : DORA prévaut sur NIS2 pour les entités financières

Le considérant 28 et l'article 4 de DORA, combinés à l'article 4 de la directive 2022/2555, sont explicites : pour les entités financières dans le champ de DORA, ce sont les obligations DORA en matière de gestion des risques TIC, de notification des incidents et de surveillance des prestataires tiers qui s'appliquent — pas celles de NIS2.

Concrètement, une banque française couverte par DORA n'a pas à dupliquer ses processus pour répondre à NIS2 sur ces sujets. L'ACPR est l'autorité compétente sur ces aspects, l'ANSSI s'efface.

Mais attention : NIS2 reste pertinent pour les activités annexes non couvertes par DORA. Une compagnie d'assurance qui héberge elle-même un centre de données partagé avec d'autres entités, ou une banque qui édite un logiciel commercialisé à des tiers, conserve des obligations NIS2 sur ces périmètres spécifiques.

Les 6 différences clés à connaître

1. Entités couvertes

DORA cible explicitement 21 catégories d'entités financières, des établissements de crédit aux gestionnaires de fonds alternatifs en passant par les contreparties centrales et les administrateurs d'indices de référence critiques. Les microentreprises sont en principe exclues, mais aucune autre limite quantitative ne s'applique aux entités plus grandes.

NIS2 couvre 18 secteurs avec des seuils dimensionnels (50 salariés, 10 M€ de chiffre d'affaires). Les entités "essentielles" sont les grandes organisations des secteurs hautement critiques ; les entités "importantes" regroupent le reste.

2. Notification des incidents : 4 heures vs 24 heures

C'est la différence opérationnelle la plus marquante.

Sous DORA (article 19), un incident TIC majeur doit être notifié à l'autorité compétente dans un délai aussi court que 4 heures après sa classification comme majeur — avec un plafond absolu de 24 heures suivant la détection. Le rapport intermédiaire est dû sous 72 heures, le rapport final sous 1 mois.

Sous NIS2 (article 23, directive 2022/2555), l'alerte initiale est exigée sous 24 heures, le rapport complet sous 72 heures et le rapport final sous 1 mois.

DORA est donc nettement plus strict sur le délai initial. Pour les détails opérationnels du circuit NIS2, voir notre [guide de notification des incidents en 72h](/fr/blog/nis2-notification-incidents-72h-guide-pratique).

3. Surveillance des prestataires tiers TIC

DORA introduit un régime sans équivalent : un registre d'information obligatoire de tous les contrats avec des prestataires TIC (article 28). Les prestataires "critiques" — typiquement les hyperscalers cloud, les gros outsourceurs — seront supervisés directement par les autorités européennes via le cadre de surveillance (Oversight Framework). L'EBA, l'EIOPA et l'ESMA partagent ce rôle.

NIS2 (article 21(2)(d)) impose une évaluation des risques fournisseurs et des clauses contractuelles, mais sans registre centralisé ni supervision européenne directe. Pour les bonnes pratiques contractuelles côté NIS2, voir notre [article sur la chaîne d'approvisionnement](/fr/blog/nis2-chaine-approvisionnement-fournisseurs).

4. Tests de pénétration TLPT

DORA exige des tests TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités financières d'importance significative — principalement les grandes banques et infrastructures de marché. Ces tests, encadrés par le cadre TIBER-EU de la BCE, simulent des attaques réelles avec accès aux systèmes en production.

NIS2 mentionne les tests de sécurité dans les mesures techniques de l'article 21 mais sans niveau de profondeur prescrit ni fréquence imposée.

Réunion du comité d'audit examinant le cadre de résilience opérationnelle
Réunion du comité d'audit examinant le cadre de résilience opérationnelle

5. Partage d'informations (threat intelligence)

DORA encourage formellement le partage d'informations de cyber-menaces entre entités financières (article 45) via des dispositifs sectoriels comme FS-ISAC ou les CERT financiers nationaux. NIS2 prévoit également des dispositifs de partage volontaire (article 29) mais sans cadre sectoriel financier dédié.

6. Sanctions

DORA n'harmonise pas les sanctions au niveau européen ; chaque État membre fixe les amendes. En France, l'ACPR peut prononcer des sanctions atteignant 10 % du chiffre d'affaires annuel pour les manquements graves.

NIS2 (article 34) plafonne les amendes à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 millions ou 1,4 % pour les entités importantes. Pour le détail des sanctions et de la responsabilité personnelle des dirigeants, voir notre [analyse des sanctions NIS2](/fr/blog/sanctions-nis2-dirigeants-risques).

Comment articuler les deux conformités en pratique

Pour une banque ou une compagnie d'assurance dans le champ de DORA, l'approche pragmatique consiste à construire un programme unifié, avec DORA comme socle principal et NIS2 traité par exception sur les périmètres résiduels.

*Étape 1 — Cartographier les activités.* Les activités financières principales (octroi de crédit, gestion d'actifs, paiements, négociation) relèvent de DORA. Les activités annexes (édition logicielle commerciale, services cloud à des tiers non financiers, infrastructures télécoms internes) peuvent rester sous NIS2.

*Étape 2 — Aligner les délais sur les plus stricts.* Si DORA impose 4 heures et NIS2 impose 24 heures, votre dispositif de réponse doit fonctionner à 4 heures. Le rapport final NIS2 (1 mois) coïncide avec celui de DORA, donc pas de conflit.

*Étape 3 — Un registre tiers unique.* Créez un registre des prestataires TIC qui satisfait aux exigences DORA (article 28) — ce niveau de détail couvre largement ce que NIS2 demande.

*Étape 4 — Gouvernance partagée.* Les responsabilités du conseil d'administration sont quasi identiques dans les deux textes. Voir notre [analyse de l'article 20 NIS2](/fr/blog/nis2-article-20-gouvernance-dirigeants-responsabilites) — ces obligations s'appliquent aussi sous DORA via les orientations EBA sur la gouvernance des risques TIC.

*Étape 5 — Tests et résilience.* Établissez un programme de tests qui satisfait au TLPT DORA (le plus exigeant) — il couvrira mécaniquement les exigences NIS2.

Calendrier 2026 et risques de non-conformité

DORA est applicable depuis le 17 janvier 2025. Il n'y a plus de période transitoire. Les autorités européennes ont commencé leurs premières inspections au premier trimestre 2025 ; les rapports d'incidents majeurs sont exigés en temps réel.

Pour NIS2, la transposition française est en place depuis 2023, mais plusieurs États membres restent en retard. La Commission européenne a engagé en 2025 des procédures d'infraction contre 23 États membres — la pression réglementaire augmente.

Le risque le plus sous-estimé pour le secteur financier n'est pas l'amende. C'est l'incident notifié hors délai qui devient un signal supplémentaire pour le superviseur, ou la défaillance d'un prestataire tiers qui révèle l'absence de plan de continuité. Les premiers cas de sanctions DORA, attendus pour fin 2026, porteront probablement sur ces aspects.

Pour démarrer un audit interne, notre [checklist NIS2 gratuite](/fr/checklist) couvre les fondamentaux. Pour les obligations spécifiques DORA — registre tiers, TLPT, taxonomie d'incidents — référez-vous aux orientations conjointes ENISA + EBA + EIOPA + ESMA.

*Cet article est informatif et ne constitue pas un conseil juridique. Pour une situation spécifique, consultez un avocat spécialisé en réglementation financière européenne.*

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique.