La banque au titre de NIS 2
L'annexe I secteur 4, l'interaction de l'article 4 avec DORA, et l'obligation d'enregistrement qui ne disparaît pas.
Vue d'ensemble
Les établissements de crédit et certaines parties de l'infrastructure des marchés financiers figurent à l'annexe I secteur 4 de la directive (UE) 2022/2555 (NIS 2). Sur le papier, la directive leur est applicable. En pratique, la plupart des obligations opérationnelles se lisent conjointement avec le règlement sur la résilience opérationnelle numérique, le règlement (UE) 2022/2554 (DORA).
L'article 4 de NIS 2 est la clause de raccordement. Lorsqu'un acte de l'Union spécifique à un secteur impose des obligations de gestion des risques liés aux TIC ou de déclaration d'incidents au moins équivalentes à NIS 2, les mesures et règles de déclaration de NIS 2 s'effacent. Pour les banques et un ensemble défini d'entités financières, DORA est cet acte. L'article 21 (mesures de sécurité) et l'article 23 (déclaration d'incidents) de NIS 2 sont remplacés par les équivalents de DORA.
Une obligation au titre de NIS 2 n'est pas écartée par l'article 4 : l'obligation d'enregistrement de l'article 27. Les États membres continuent de tenir une liste des entités essentielles et importantes, banques comprises. En Allemagne, il s'agit de l'inscription au §33 BSIG dans le registre du BSI. La strate de la directive maintient le recensement intact même là où DORA pilote les contrôles.
Directive (UE) 2022/2555, annexe I, secteur 4 Banque
Credit institutions as defined in point (1) of Article 4 of Regulation (EU) No 575/2013 of the European Parliament and of the Council.
L'annexe I secteur 4 couvre les établissements de crédit au sens du CRR. L'entrée suivante, l'annexe I secteur 5, couvre les infrastructures des marchés financiers (plateformes de négociation et contreparties centrales). Ensemble, elles forment le périmètre bancaire et financier au sein de NIS 2.
Directive (UE) 2022/2555, article 4, paragraphe 1
Where sector specific Union legal acts require essential or important entities to adopt cybersecurity risk management measures or to notify significant incidents, and where those requirements are at least equivalent in effect to the obligations laid down in this Directive, the relevant provisions of this Directive, including the provision on supervision and enforcement laid down in Chapter VII, shall not apply to such entities.
C'est le commutateur lex specialis. Les autorités européennes de surveillance et la Commission ont confirmé que le règlement (UE) 2022/2554 (DORA) satisfait au test d'équivalence pour les entités financières dans son champ d'application. Les articles 21 et 23 de NIS 2 s'effacent pour ces entités. Le reste de la directive demeure en place.
Directive (UE) 2022/2555, article 27
Member States shall require essential and important entities to submit the following information to the competent authorities ... by 17 April 2025 at the latest, and thereafter without delay and in any event within two weeks from the date of the change.
L'article 27 est la clause d'enregistrement. Il ne figure pas dans l'exclusion de l'article 4. En Allemagne, le §33 BSIG le met en œuvre au moyen d'un registre du BSI. Les banques effectuent l'enregistrement même lorsque leurs obligations de sécurité et de déclaration sont régies par DORA.
Vous êtes à l'annexe I
Si votre entité est un établissement de crédit au sens de l'article 4, paragraphe 1, du règlement (UE) n° 575/2013, vous figurez à l'annexe I secteur 4. Les seuils de taille de l'article 2 de NIS 2 décident toujours si vous êtes une entité essentielle ou importante. Une petite Sparkasse ou une petite banque coopérative n'est pas automatiquement hors champ, car les entités financières déclenchent les dérogations sectorielles de l'article 2, paragraphe 2.
DORA pilote les contrôles et la déclaration
Les mesures de sécurité de l'article 21 et la déclaration d'incidents de l'article 23 au titre de NIS 2 sont écartées pour les entités financières dans le champ d'application. La gestion des risques liés aux TIC, le risque TIC lié aux tiers, la déclaration des incidents majeurs et les tests de résilience suivent le règlement (UE) 2022/2554 et ses actes délégués.
L'enregistrement de l'article 27 subsiste
L'enregistrement en tant qu'entité essentielle ou importante est une obligation issue de la directive qui n'est pas écartée par DORA. En Allemagne, l'inscription au §33 BSIG auprès du BSI s'applique. Les mises à jour dans les deux semaines suivant tout changement suivent toujours la règle de la directive.
La lex specialis est étroite, pas totale
L'article 4 de NIS 2 ne désactive que les parties de NIS 2 qui ont un équivalent dans l'acte sectoriel spécifique. Pour DORA, il s'agit de la sécurité opérationnelle et de la strate de déclaration d'incidents. Les dispositions situées hors de cette enveloppe, y compris l'enregistrement et l'architecture de supervision pour les entités qui ne sont pas écartées, restent attachées à NIS 2.
L'enregistrement est une obligation de la directive, pas de DORA
DORA ne crée pas de registre de type NIS 2 des entités essentielles et importantes. C'est l'article 27 de NIS 2 qui le fait. C'est pourquoi les banques figurent sur la liste du §33 BSIG même si leurs contrôles TIC se lisent au regard de DORA. Les deux régimes sont assemblés au niveau de la directive.
BaFin
L'Autorité fédérale de surveillance financière est l'autorité allemande compétente au titre de DORA pour les banques, les établissements de paiement et les autres entités financières dans le champ d'application. La BaFin gère la supervision du risque TIC et les déclarations d'incidents majeurs au titre du règlement (UE) 2022/2554.
BSI
L'Office fédéral de la sécurité des technologies de l'information tient le registre du §33 BSIG qui met en œuvre l'article 27 de NIS 2. Les banques s'enregistrent auprès du BSI via le portail des entités. La supervision quotidienne de la cybersécurité de la banque ne passe pas au BSI.
BCE et MSU
Les établissements de crédit importants relevant du mécanisme de surveillance unique sont supervisés directement par la Banque centrale européenne. Pour ces entités, la supervision au titre de DORA relève de la BCE plutôt que de l'autorité nationale compétente, tandis que l'enregistrement au titre de l'article 27 de NIS 2 demeure un dépôt national.
DORA remplace NIS 2 pour les banques, donc NIS 2 ne s'applique pas.
L'article 4 de NIS 2 n'écarte que les parties de NIS 2 que DORA couvre sous une forme équivalente. L'enregistrement de l'article 27 auprès de l'autorité nationale n'est pas l'une de ces parties. L'entité figure toujours comme entité essentielle ou importante dans le registre national.
Nous sommes une petite banque, nous sommes sous le seuil de taille et hors champ.
L'article 2, paragraphe 2, de NIS 2 contient des dérogations sectorielles. Les établissements de crédit de l'annexe I secteur 4 peuvent entrer dans le champ d'application indépendamment de leur taille lorsque les États membres ou la logique sectorielle l'exigent. Une petite Sparkasse ou banque coopérative n'est pas automatiquement exemptée.
Une fois DORA mis en œuvre, nous en avons fini avec NIS 2.
DORA vous fournit les équivalents des articles 21 et 23. Il ne vous fournit pas le registre de la directive, le résidu de supervision de l'article 32 pour les entités partiellement dans le champ d'application, ni les canaux intersectoriels de partage d'incidents au titre du chapitre IV. Ceux-ci restent attachés à la strate NIS 2.
Une banque de taille moyenne en Allemagne mène généralement deux pistes de conformité en parallèle. L'une au titre de DORA, supervisée par la BaFin ou par la BCE si la banque est importante. Cette piste couvre le risque TIC, le registre des tiers, la déclaration des incidents majeurs et les tests de résilience. L'autre au titre de l'article 27 de NIS 2, supervisée par le BSI, est une inscription au registre assortie de mises à jour dans les deux semaines suivant tout changement.
Les banques coopératives, les Sparkassen et les établissements de crédit plus petits relèvent de la même logique. La piste DORA est obligatoire pour eux en tant qu'entités financières au titre du règlement (UE) 2022/2554. L'inscription au §33 BSIG s'y ajoute. Traiter l'une ou l'autre piste comme facultative crée une exposition visible depuis le registre public comme depuis les déclarations à la BaFin.
La plateforme est construite autour de la logique de contrôle des articles 21 et 23 de NIS 2. Pour une entité financière dans le champ d'application, ces articles sont écartés par DORA, de sorte que la plateforme n'est pas le système de référence pour la gestion des risques TIC au titre de DORA. Elle reste utile comme compagnon du registre de l'article 27, comme bibliothèque de politiques et de preuves, et comme lieu où un groupe bancaire documente la strate NIS 2 pour les entités fournisseurs et de groupe qui ne sont pas des entités financières au titre de DORA.
Les groupes au périmètre mixte, par exemple une banque plus une filiale non financière de services informatiques relevant de l'annexe I secteur 8, ont souvent besoin que les deux régimes soient cartographiés côte à côte. La plateforme est destinée au volet NIS 2 de cette cartographie.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 4 et article 4, paragraphe 1, EUR-Lex.
- Directive (UE) 2022/2555 (NIS 2), obligation d'enregistrement de l'article 27, EUR-Lex.
- Règlement (UE) 2022/2554 (DORA), articles 5 à 17 gestion des risques liés aux TIC et articles 17 à 23 déclaration d'incidents, EUR-Lex.
- Règlement (UE) n° 575/2013 (CRR), article 4, paragraphe 1, définition de l'établissement de crédit, EUR-Lex.
- §33 BSIG, enregistrement des entités essentielles et importantes auprès du BSI, gesetze-im-internet.de.
- Orientations de la BaFin sur la supervision DORA pour les entités financières allemandes, bafin.de.
- Banque centrale européenne, supervision MSU des établissements importants, bankingsupervision.europa.eu.