La directive NIS2 élargit considérablement le périmètre de la cybersécurité réglementée en Europe. Pour les banques, établissements de paiement et de monnaie électronique, une question domine : comment s'articule-t-elle avec DORA, déjà applicable depuis janvier 2025 ? Réponse opérationnelle.
NIS2 en bref
La directive (UE) 2022/2555, adoptée le 14 décembre 2022, remplace la première directive NIS de 2016. Elle devait être transposée par les États membres avant le 17 octobre 2024.
- Deux catégories d'entités : essentielles (EE) et importantes (EI), selon la taille et la criticité.
- Environ 15 000 entités concernées en France (contre quelques centaines sous NIS1), dans 18 secteurs.
- Autorité nationale compétente : l'ANSSI.
- Sanctions : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les EE ; 7 M€ ou 1,4 % pour les EI.
- Responsabilité des dirigeants : approbation des mesures et formation obligatoire.
Une transposition française tardive
La France n'a pas respecté l'échéance d'octobre 2024 et a fait l'objet de mises en demeure de la Commission européenne. La transposition s'opère via la loi dite « Résilience » (résilience des infrastructures critiques et renforcement de la cybersécurité), adoptée par le Sénat en mars 2025 puis examinée à l'Assemblée nationale à l'automne 2025. L'ANSSI met à disposition le portail MonEspaceNIS2 pour l'auto-évaluation et a publié son Référentiel Cyber Français (ReCyF) en mars 2026.
Le point clé : DORA prime pour la finance
Pour les entités financières, l'articulation est réglée par le principe de spécialité : DORA constitue une lex specialis par rapport à NIS2 (article 4.1 de NIS2, considérant 16 de DORA). Concrètement, lorsqu'une exigence de DORA équivaut ou dépasse celle de NIS2, c'est DORA qui s'applique.
Autrement dit : une banque, un établissement de paiement ou de monnaie électronique soumis à DORA suit en priorité DORA pour la gestion des risques TIC, la notification d'incidents, les tests et le risque tiers.
Attention aux groupes diversifiés
La difficulté est opérationnelle. Un groupe financier peut comporter :
- des entités financières soumises à DORA ;
- des filiales hors périmètre financier (holdings, éditeurs de logiciels, services support) susceptibles de relever de NIS2.
Il est donc indispensable de cartographier précisément quelle entité relève de quel texte, afin d'éviter à la fois les angles morts et les doublons de conformité.
Notification d'incidents : deux régimes à ne pas confondre
NIS2 impose une notification par paliers aux autorités compétentes (alerte précoce, notification, rapport). DORA prévoit son propre régime pour les incidents majeurs liés aux TIC : notification initiale rapide, rapport intermédiaire, puis rapport final. Les équipes doivent maîtriser le régime applicable à chaque entité — sans oublier l'articulation avec la notification RGPD à la CNIL en cas de violation de données personnelles.
Feuille de route opérationnelle
- Cartographier les entités du groupe et les rattacher au bon texte (DORA / NIS2).
- Consolider un dispositif de gestion des risques TIC et un plan de réponse aux incidents, unique mais décliné par régime.
- Sécuriser la chaîne de sous-traitance (prestataires TIC critiques).
- Former les organes de direction, désormais responsables.
Sources
- Directive (UE) 2022/2555 (NIS2) ; Règlement (UE) 2022/2554 (DORA), considérant 16.
- ANSSI — portail MonEspaceNIS2 ; Référentiel Cyber Français (ReCyF, mars 2026).
- ACPR — notice sur le cadre de gestion des risques liés aux TIC.