NIS2 contre DORA : comment fonctionne réellement l'exclusion du secteur financier
L'article 4 de NIS2 confie les entités financières à DORA pour la gestion des risques, la déclaration des incidents et la surveillance. L'article 27 de NIS2 ne figure pas sur cette liste. Les banques, les établissements de paiement, les contreparties centrales et les prestataires de services sur crypto-actifs s'enregistrent toujours auprès du BSI au titre du §33 BSIG.
Deux régulateurs, une exclusion, une obligation qui subsiste
Le règlement (UE) 2022/2554 (DORA) est entré en application le 17 janvier 2025 et couvre une vingtaine de catégories d'entités financières, des banques et entreprises d'assurance aux prestataires de services sur crypto-actifs et aux plates-formes de négociation. Pour tout ce que DORA régule déjà, l'article 4 de NIS2 écarte les articles correspondants de NIS2. C'est la règle de lex specialis et elle est au cœur de toute conversation sur la manière dont les sociétés financières se positionnent au regard de NIS2.
L'écartement est étroit. L'article 4, paragraphe 2, de NIS2 énumère précisément quels articles de NIS2 s'effacent lorsqu'un acte sectoriel est au moins équivalent en effet. La liste couvre l'article 21 (mesures de gestion des risques), l'article 23 (déclaration des incidents) et le chapitre VII (surveillance et exécution). L'article 27 (enregistrement) n'y figure pas. Pas plus que les dispositions de périmètre de l'annexe I qui font entrer la banque et les infrastructures des marchés financiers dans NIS2 en premier lieu.
Le résultat pratique pour une banque allemande, un établissement de paiement agréé par la BaFin ou une contrepartie centrale : la substance vient de DORA, la surveillance en Allemagne relève de la BaFin et de la Bundesbank, mais l'entité s'enregistre toujours auprès du BSI via le portail du §33 BSIG. Un régulateur pour le registre. Un régulateur différent pour tout ce qui compte en exploitation.
Directive NIS2, article 4, paragraphes 1 et 2
Lorsque des actes juridiques sectoriels de l'Union imposent aux entités essentielles ou importantes d'adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences sont au moins équivalentes en effet aux obligations énoncées dans la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l'exécution énoncée au chapitre VII, ne s'appliquent pas à ces entités.
Deux conditions sont empilées : un acte sectoriel de l'Union doit exister, et ses exigences doivent être au moins équivalentes en effet. Ce n'est qu'alors que les articles 21, 23 et le chapitre VII s'effacent. L'article 27 est manifestement absent de cette liste et continue donc de s'appliquer.
Règlement (UE) 2022/2554 (DORA)
Articles 5 à 17 (gestion du risque lié aux TIC), articles 17 à 23 (déclaration des incidents liés aux TIC), articles 24 à 27 (tests de résilience opérationnelle numérique), articles 28 à 44 (gestion du risque lié aux prestataires tiers de TIC), article 45 (dispositifs de partage d'informations).
DORA est un règlement, appliqué directement dans chaque État membre depuis le 17 janvier 2025. Pour les entités relevant de son périmètre, c'est ce corps de règles qui remplit l'espace que les articles 21 et 23 de NIS2 occuperaient autrement. Le corpus substantiel de cybersécurité est DORA, et non la mise en œuvre de NIS2 par le BSIG.
Article 27 de NIS2 et §33 BSIG
Les États membres veillent à ce que les entités essentielles et importantes communiquent aux autorités compétentes les informations suivantes : le nom de l'entité, l'adresse et les coordonnées à jour, le secteur et le sous-secteur pertinents relevant de l'annexe I ou II, et une liste des États membres dans lesquels l'entité fournit des services.
L'article 27 de NIS2 oblige à l'enregistrement auprès de l'autorité nationale compétente. En Allemagne, le §33 BSIG achemine cela vers le portail d'enregistrement du BSI. L'article 4 ne touche pas à l'article 27. DORA dispose de son propre registre auprès des autorités européennes de surveillance, mais cela ne remplace pas le registre national NIS2. Les entités financières figurent donc dans les deux.
DORA, et non l'article 21 de NIS2
La gestion du risque lié aux TIC, le risque lié aux tiers, les tests de résilience et la classification des incidents suivent les articles 5 à 44 de DORA. Les mesures de l'article 21 de NIS2 (les dix catégories au titre du §30 BSIG en Allemagne) ne s'appliquent pas aux entités relevant du périmètre de DORA. Là où DORA est silencieux, NIS2 ne comble pas non plus la lacune : l'exclusion porte sur l'acte qui régit, et non sur la superposition des deux.
BSI au titre du §33 BSIG, sans écartement
L'article 27 de NIS2 se situe en dehors de la liste de l'article 4. Le registre national survit à l'exclusion. Une banque ou un établissement de paiement agréé par la BaFin s'enregistre auprès du BSI via le portail du §33, communique la classification sectorielle, les coordonnées et les plages d'adresses IP, et procède aux mises à jour dans les délais qui s'appliquent à toute autre entité relevant du périmètre. Le défaut d'enregistrement entraîne sa propre filière de sanction.
BaFin et Bundesbank, et non BSI
Le chapitre VII de NIS2 (surveillance et exécution) est écarté pour les entités financières. L'article 46 de DORA désigne les superviseurs financiers existants comme les autorités compétentes. En Allemagne, cela signifie la BaFin et la Deutsche Bundesbank pour les questions bancaires et de paiement, les autorités européennes de surveillance (EBA, ESMA, EIOPA) assurant la coordination au niveau de l'UE. Le BSI n'est pas le superviseur opérationnel de la substance DORA.
La lex specialis est étroite, et non générale
L'article 4 n'écarte que les articles de NIS2 qu'il nomme. L'enregistrement au titre de l'article 27, le périmètre au titre des annexes I et II, et les définitions sectorielles continuent tous de s'appliquer. Une banque ne devient pas une entité non-NIS2. Elle devient une entité NIS2 régie par DORA pour les parties substantielles. La distinction importe lorsque surgissent des délais d'enregistrement, des reclassements sectoriels ou des notifications de services transfrontaliers.
Équivalent en effet, et non identique dans le texte
L'article 4, paragraphe 1, de NIS2 fixe la barre à l'équivalence en effet. DORA n'a pas besoin de reproduire l'article 21 mot pour mot. Il doit couvrir le même terrain à la même profondeur. Le considérant 28 de NIS2 confirme que DORA a été rédigé pour franchir cette barre. En pratique, la Commission européenne a traité DORA comme pleinement équivalent, mais le test réside dans le texte et constituerait l'ancrage juridique dans tout litige portant sur une lacune.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Autorité compétente principale pour DORA en Allemagne au titre de l'article 46 de DORA. Supervise la gestion du risque lié aux TIC, la déclaration des incidents et les dispositifs de gestion du risque lié aux tiers pour les banques, les établissements de paiement, les entreprises d'assurance, les entreprises d'investissement et les prestataires de services sur crypto-actifs. Les circulaires BAIT, VAIT, KAIT et ZAIT existantes sont en cours d'alignement sur les articles 5 à 17 de DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Exploite le portail d'enregistrement du §33 BSIG. Reçoit l'enregistrement des entités financières alors même qu'il ne supervise pas la substance DORA. Le BSI agit également comme le CSIRT national au titre de l'article 10 de NIS2 et fournit un soutien volontaire. La ligne de partage : l'enregistrement et les services de CSIRT relèvent du BSI, la substance et la surveillance de la BaFin et de la Bundesbank.
EBA, ESMA, EIOPA et BCE
Les autorités européennes de surveillance ont émis les normes techniques de réglementation de DORA sur la gestion du risque lié aux TIC, la classification des incidents, les registres du risque lié aux tiers et la surveillance des prestataires tiers critiques de TIC. La BCE supervise les établissements de crédit importants dans le cadre du mécanisme de surveillance unique et applique DORA dans ce mandat. L'exclusion de l'article 4 de NIS2 est ce qui fait fonctionner cette structure de surveillance superposée sans double régulation.
Mythe : DORA remplace entièrement NIS2 pour les entités financières.
DORA remplace l'article 21, l'article 23 et le chapitre VII. Il ne remplace pas l'article 27 (enregistrement), les dispositions de périmètre des annexes I et II, ni les mécanismes de coopération du chapitre IV. Le registre du §33 BSIG demeure. Une banque qui néglige l'enregistrement s'expose à la sanction autonome pour défaut d'enregistrement, et non à un dossier d'exécution relevant uniquement de DORA.
Mythe : DORA ne s'applique qu'aux banques, donc les entités financières non bancaires suivent NIS2.
L'article 2 de DORA énumère une vingtaine de catégories d'entités. Les entreprises d'assurance et de réassurance, les établissements de paiement et de monnaie électronique, les contreparties centrales, les dépositaires centraux de titres, les plates-formes de négociation, les prestataires de services sur crypto-actifs, les prestataires de services d'information sur les comptes et d'autres relèvent tous de DORA. Si votre secteur figure au secteur 3 ou 4 de l'annexe I de NIS2 et également à l'article 2 de DORA, l'exclusion s'applique.
Mythe : deux registres signifient déposer deux fois les mêmes données.
Le registre d'informations DORA auprès des AES couvre les accords avec les prestataires tiers de TIC (article 28 de DORA). Le portail du §33 BSIG couvre l'identification de l'entité et la classification sectorielle. Les champs ne se chevauchent pas. Déposer les deux représente une obligation chacun, et non la même obligation deux fois. Les praticiens confondent souvent cela parce que les deux impliquent de saisir des détails dans des portails publics.
Si vous appartenez à une entité agréée par la BaFin, traitez DORA comme votre corpus de règles quotidien et NIS2 comme la couche du registre. Le programme de mise à niveau substantiel réside dans les articles 5 à 17 de DORA (gestion des risques) et les articles 28 à 44 (risque lié aux tiers). L'enregistrement du §33 BSIG est une tâche administrative ponctuelle qui se renouvelle lorsque les coordonnées changent. Confondre les deux conduit à des efforts gaspillés, souvent une cartographie redondante de l'article 21 que personne n'a demandée.
Si vous appartenez à un groupe financier qui exploite également des services informatiques internes pour des filiales non financières, l'exclusion ne protège que l'entité financière. La filiale non financière, si elle relève du périmètre de l'annexe I ou II de NIS2, doit l'ensemble des obligations, y compris les mesures de l'article 21 et la déclaration des incidents de l'article 23. Les programmes TIC à l'échelle du groupe doivent être lisibles par les deux superviseurs. La BaFin demande des preuves DORA, le BSI demande des preuves du §30 BSIG au niveau de l'entité non financière.
La plateforme modélise l'enregistrement de l'article 27 de NIS2 comme une obligation à part entière, indépendante du contenu de gestion des risques. Une entité financière qui utilise la plateforme voit les délais d'enregistrement, les rappels de changement de coordonnées et le statut du portail du §33 BSIG sans hériter d'aucune liste de tâches de l'article 21 de NIS2 dont elle n'a pas besoin.
La couche substantielle DORA est hors du périmètre de la plateforme open source. Le schéma recommandé est : suivre l'article 27 de NIS2 ici, mener le programme DORA dans l'outillage aligné sur la BaFin que vos superviseurs attendent, et utiliser le statut du registre issu de la plateforme comme traçabilité prouvant que l'obligation du §33 BSIG a été satisfaite.
- Directive (UE) 2022/2555 (NIS2), article 4 (lex specialis), article 27 (obligation d'enregistrement), annexe I secteur 3 (infrastructures des marchés financiers) et secteur 4 (banque)
- Règlement (UE) 2022/2554 (DORA), articles 5 à 17 (gestion du risque lié aux TIC), articles 17 à 23 (déclaration des incidents), articles 24 à 27 (tests de résilience), articles 28 à 44 (risque lié aux tiers de TIC), article 45 (partage d'informations), article 46 (autorités compétentes)
- BSIG (modifié par le NIS2UmsuCG), §33 (enregistrement), §65 (sanctions pour défaut d'enregistrement)
- Considérant 28 de la directive NIS2 sur la relation entre NIS2 et les actes sectoriels de l'Union
- Orientations de la BaFin sur l'application de DORA et l'alignement des circulaires BAIT, VAIT, KAIT, ZAIT (2025)
- Normes techniques de réglementation de l'EBA, de l'ESMA et de l'EIOPA au titre de DORA (2024 et 2025)