Retour aux actualitésNIS2 Banque

    NIS2 et secteur bancaire : banques, fintech et assurances face aux obligations 2026

    12 min de lecture

    Le secteur financier est au cœur de la directive NIS2 : les banques, assurances et fournisseurs d'infrastructures de marchés figurent parmi les entités essentielles les plus strictement régulées. Mais la grande particularité du secteur financier est qu'il est également soumis à DORA (Digital Operational Resilience Act), entré en vigueur le 17 janvier 2025. Comprendre l'articulation NIS2/DORA est indispensable pour les acteurs financiers.

    Quels acteurs financiers sont concernés par NIS2 ?

    NIS2 classe le secteur financier en deux sous-secteurs dans l'annexe I (secteurs hautement critiques, entités essentielles) :

    Secteur bancaire (Annexe I)

    • Établissements de crédit : toutes les banques agréées CRD IV (BNP Paribas, Crédit Agricole, Société Générale, Banque Populaire, CIC, banques régionales)
    • Établissements de paiement : PSP agréés par la BCE ou l'ACPR (PayPal France, Stripe, Adyen, néo-banques type N26, Revolut, Lydia)
    • Monnaie électronique : établissements émetteurs de monnaie électronique
    • Seuils : toutes les entités du secteur bancaire sont essentielles quelle que soit leur taille si elles sont agréées

    Infrastructures des marchés financiers (Annexe I)

    • Plateformes de négociation (Euronext Paris, AMF-régulées)
    • Contreparties centrales (LCH SA, chambres de compensation)
    • Dépositaires centraux (Euroclear France)

    Acteurs financiers en Annexe II (entités importantes)

    • Entreprises d'investissement (gérants d'actifs, conseillers en investissement AGR)
    • Gestionnaires de fonds alternatifs (AIFMD)
    • Assurances (mutuelles, sociétés d'assurance vie et non-vie de plus de 250 salariés)
    • Intermédiaires d'assurance de taille moyenne

    NIS2 et DORA : comment s'articulent-ils ?

    DORA (Règlement UE 2022/2554) est un règlement sectoriel spécifiquement conçu pour la résilience opérationnelle numérique du secteur financier. Il est entré en application le 17 janvier 2025. La question centrale : faut-il être conforme à NIS2 ET à DORA ?

    La réponse est nuancée. L'article 4 de NIS2 prévoit une clause de spécificité sectorielle : si un acte juridique sectoriel de l'UE impose des obligations de sécurité et de notification au moins équivalentes à NIS2, les entités concernées peuvent être exemptées des obligations NIS2 correspondantes. DORA remplit généralement cette condition pour les entités financières qu'il couvre directement (banques, CIF, assurances régulées).

    En pratique : les banques systémiques et les grandes assurances françaises appliquent DORA en priorité (supervision BCE/ACPR). Les fintech et établissements de paiement plus modestes peuvent relever principalement de NIS2 si DORA ne les couvre pas directement. CyberConform vous aide à identifier votre régime applicable.

    Les obligations DORA pour les entités financières

    DORA impose 5 piliers de conformité avec des obligations très précises :

    1. Gouvernance et gestion du risque ICT

    • L'organe de direction est personnellement responsable de la gestion du risque ICT (article 5)
    • Stratégie de résilience numérique, politique de sécurité des informations, gestion des actifs ICT
    • Formation des dirigeants à la gestion du risque numérique (au moins annuelle)
    • Revue annuelle du cadre de gestion du risque ICT par l'organe de direction

    2. Gestion des incidents ICT et notification

    • Classification des incidents ICT (majeurs, non majeurs) selon des critères précis (nombre de clients impactés, durée, pertes financières)
    • Notification initiale à l'ACPR/AMF sous 4 heures pour les incidents majeurs
    • Rapport intermédiaire sous 72 heures
    • Rapport final sous 1 mois

    3. Tests de résilience opérationnelle numérique

    • Tests annuels des outils et systèmes ICT (au moins un test d'intrusion annuel)
    • Tests de pénétration basés sur la menace (TLPT — Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives, en coordination avec l'autorité de supervision
    • Scénarios de crise cyber et plans de continuité testés

    4. Gestion du risque lié aux tiers ICT

    • Registre de toutes les dépendances ICT vers des tiers (fournisseurs cloud, éditeurs logiciels, datacenters)
    • Clauses contractuelles obligatoires dans les contrats avec les prestataires ICT critiques
    • Concentration risk monitoring (dépendance à un seul fournisseur cloud)
    • Surveillance des fournisseurs ICT tiers critiques (CTPP — Critical Third-Party Providers)

    5. Partage d'informations sur les cybermenaces

    • Participation volontaire aux dispositifs de partage d'information sur les menaces cyber (CTI)
    • Coopération avec les autorités de supervision en cas d'incident systémique

    Fintech et néo-banques : obligations spécifiques

    Les fintech et néo-banques françaises (Lydia, Shine, Qonto, Pennylane, Alan) évoluent dans un cadre réglementaire dual NIS2/DORA selon leur taille et leur agrément. Les points clés pour les fintech :

    • Cloud providers : AWS, Azure et GCP sont des CTPP potentiels. Les fintech doivent gérer le concentration risk et avoir des plans de sortie (exit strategies) de leurs providers cloud.
    • Open Banking et API : Les API PSD2 (DSP2) sont des surfaces d'attaque. La sécurisation des API (OAuth 2.0, mTLS, rate limiting) est obligatoire et doit être auditée.
    • Crypto-actifs : Les prestataires de services sur crypto-actifs (PSAN/PSCA sous MiCA) ont des obligations de sécurité spécifiques et peuvent relever de NIS2.
    • Recrutement : DORA/NIS2 nécessitent un RSSI ou responsable sécurité ICT dédié — les fintech doivent anticiper ce besoin en ressources humaines.

    Assurances : qui est concerné par NIS2/DORA ?

    Le secteur assurance est complexe car il est partiellement couvert par DORA (assurances systémiques) et partiellement par NIS2. La règle générale :

    • Assurances de plus de 250 salariés OU 50 M€ CA : entités importantes NIS2 (Annexe II secteur financier)
    • Mutuelles et institutions de prévoyance : concernées par NIS2 si elles dépassent les seuils, avec des obligations allégées par rapport aux assurances systémiques
    • Courtiers et IOBSP : les intermédiaires d'assurance sont concernés par NIS2 s'ils dépassent les seuils PME (50 salariés / 10 M€)
    • InsurTech : les startups de l'assurance numérique doivent anticiper leur conformité dès leur phase de croissance

    Stratégie de conformité recommandée

    Pour un établissement financier français, CyberConform recommande la démarche suivante :

    • Étape 1 : Déterminer votre régime (DORA seul, NIS2 seul, ou les deux) selon votre agrément et votre taille
    • Étape 2 : Réaliser un gap analysis DORA/NIS2 pour identifier les écarts
    • Étape 3 : Prioriser les obligations : gouvernance ICT (responsabilité dirigeant), classification des actifs, gestion des incidents et notification
    • Étape 4 : Réaliser le TLPT ou pentest annuel exigé
    • Étape 5 : Mettre à jour les contrats avec les prestataires ICT (clauses DORA obligatoires)
    • Étape 6 : Former les dirigeants et l'organe de direction

    Conclusion

    Le secteur financier est en première ligne de la réglementation cyber européenne, avec NIS2 et DORA comme cadres structurants. La bonne nouvelle est que ces deux textes sont complémentaires et que la conformité DORA satisfait généralement les exigences NIS2. CyberConform accompagne les acteurs financiers dans cette double conformité : audit de maturité, gap analysis, plan de remédiation, tests d'intrusion TLPT, et formation des dirigeants.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit