Deux réglementations — un secteur
Le secteur financier se trouve dans une position unique : il est couvert par DORA (Digital Operational Resilience Act), un règlement UE spécifique aux services financiers. Parallèlement, il existe NIS2 qui concerne plus largement les infrastructures critiques.
Comment ces réglementations s’articulent-elles ? Et que doivent faire les organisations financières ?
Version courte : Les entités financières sont principalement couvertes par DORA, pas par NIS2. Mais les fournisseurs TIC du secteur financier peuvent être couverts par les deux.
DORA en bref
Qu’est-ce que DORA ? Digital Operational Resilience Act — Règlement UE pour la résilience digitale dans le secteur financier. Applicable à partir du 17 janvier 2025.
Qui est concerné ?
- Banques et établissements de crédit
- Établissements de paiement
- Entreprises d’assurance et de réassurance
- Entreprises d’investissement
- Sociétés de gestion
- Fournisseurs TIC tiers critiques
Cinq piliers :
- Gestion des risques TIC
- Signalement d’incidents
- Tests de résilience digitale
- Risque TIC tiers
- Partage d’informations
DORA vs NIS2 — Comparaison
| Aspect | DORA | NIS2 |
|---|---|---|
| Type | Règlement (directement applicable) | Directive (nécessite une loi nationale) |
| Secteur | Secteur financier | 18 secteurs critiques |
| Focus | Résilience opérationnelle digitale | Cybersécurité au sens large |
| Signalement d’incidents | 4h-24h-72h-1mois | 24h-72h-1mois |
| Tests | Explicite, y compris TLPT | Implicite |
| Risque tiers | Très détaillé | Exigences existantes |
| Sanctions | Via AMF/ACPR | Jusqu’à 10M€ ou 2% |
Article 4 de NIS2 — L’exemption
NIS2 exempte les entités financières de la directive :
“Ce règlement ne doit pas affecter l’application de [DORA] aux entités financières couvertes par ce règlement.”
En pratique :
- Les banques, compagnies d’assurance etc. suivent DORA
- NIS2 ne s’applique pas en parallèle pour la même entité
- Les fournisseurs TIC de la finance peuvent être couverts par NIS2 (et les exigences tiers de DORA)
Exigences qui se chevauchent
Les deux exigent une gestion systématique des risques TIC/cybersécurité. DORA est plus détaillé avec des exigences sur l'appétit au risque et les cadres.
Les deux exigent un signalement. DORA : 4 heures initial. NIS2 : 24 heures. DORA a des critères de classification plus spécifiques.
Les deux exigent des plans de continuité. DORA a des exigences explicites sur les temps de récupération et les tests.
Les deux traitent le risque fournisseur. DORA est significativement plus détaillé avec des exigences sur le risque de concentration et les stratégies de sortie.
Où DORA va plus loin
Tests
Exigences de tests de DORA :
- Tests de base : Évaluations de vulnérabilité, sécurité réseau, analyses d’écarts, sécurité physique, révisions de code source
- Tests avancés (TLPT) : Threat-Led Penetration Testing pour les fonctions critiques, tous les trois ans pour les grandes institutions financières
- Tests tiers : Les fournisseurs TIC doivent être inclus dans les programmes de tests
NIS2 n’a pas d’exigences de tests explicites équivalentes.
Risque TIC tiers
| Exigences DORA | Description |
|---|---|
| Risque de concentration | Éviter une dépendance excessive à un seul fournisseur |
| Stratégie de sortie | Plan pour changer de fournisseurs critiques |
| Supervision des critiques | Les fournisseurs TIC critiques sont sous supervision UE |
| Contenu contractuel | Exigences spécifiques sur le contenu des contrats |
| Registre | Registre mis à jour de tous les fournisseurs TIC |
Signalement d’incidents
| Étape | DORA | NIS2 |
|---|---|---|
| Initial | 4 heures | 24 heures |
| Rapport intermédiaire | 72 heures | 72 heures |
| Rapport final | 1 mois | 1 mois |
| À qui | AMF/ACPR | ANSSI/autorités sectorielles |
Approche stratégique
- Clarifiez quelles réglementations s'appliquent Entité financière ? DORA principalement. Fournisseur TIC de la finance ? Potentiellement les deux. Autre secteur critique ? NIS2.
- Construisez sur ISO 27001 ISO 27001 fournit une structure qui soutient à la fois DORA et NIS2. Ajoutez les exigences spécifiques par-dessus.
- Renforcez les tests (DORA) DORA exige des tests plus rigoureux. Planifiez des tests réguliers et TLPT si applicable.
- Développez la gestion des tiers Les exigences de DORA sont détaillées. Créez un processus robuste pour l'évaluation des fournisseurs, la gestion contractuelle et la planification de sortie.
- Intégrez le signalement Un processus d'incident qui couvre les exigences temporelles des deux réglementations. Commencez par l'exigence la plus courte (DORA 4h).
Conseils pratiques
Pour les institutions financières
- Concentrez-vous sur DORA — c’est votre réglementation principale
- Incluez les exigences NIS2 dans les contrats fournisseurs (vos fournisseurs peuvent être couverts)
- Collaborez avec les fournisseurs TIC sur la conformité commune
Pour les fournisseurs TIC de la finance
- Vous pouvez être couverts par DORA (exigences tiers) et NIS2
- Préparez-vous aux exigences contractuelles et d’audit de DORA
- Les fournisseurs critiques sont sous supervision UE
Fournisseur TIC ? Vérifiez si vous êtes couverts par NIS2 et lisez-en plus sur les exigences spécifiques de NIS2.
Comment Securapilot peut aider
Securapilot soutient la conformité pour DORA et NIS2 :
- Gestion des risques — Gestion des risques TIC selon les deux cadres
- Gestion des incidents — Signalement qui répond aux exigences temporelles les plus courtes
- Gestion des fournisseurs — Exigences de DORA sur le risque TIC tiers
- Suivi des tests — Documentez les tests et résultats
- Tableau de bord conformité — Vue d’ensemble du statut
Réservez une démo et voyez comment nous pouvons soutenir votre conformité du secteur financier.
Questions fréquentes
DORA et NIS2 s'appliquent-ils tous deux aux banques ?
Non, NIS2 exempte les entités financières couvertes par DORA (Article 4). Les banques, compagnies d'assurance et autres institutions financières suivent principalement DORA. Cependant, NIS2 peut s'appliquer aux fournisseurs TIC du secteur financier.
Quelle est la différence entre DORA et NIS2 ?
DORA est sectoriel pour la finance et plus détaillé, avec des exigences explicites sur les tests et la gestion des tiers. NIS2 est plus large et couvre de nombreux secteurs. DORA a des exigences plus élevées dans certains domaines.
Quelles sanctions s'appliquent en cas de violations de DORA ?
L'AMF et l'ACPR peuvent imposer des sanctions selon l'implémentation nationale. Les fournisseurs TIC tiers critiques peuvent recevoir des amendes jusqu'à 1% du chiffre d'affaires quotidien global moyen.
ISO 27001 peut-il servir de base pour les deux ?
Oui, ISO 27001 fournit une bonne base qui couvre une grande partie de DORA et NIS2. Cependant, les deux nécessitent des ajouts spécifiques — DORA est plus détaillé sur les tests et la gestion des tiers.
