DORA ou NIS2 : quelle réglementation s'applique à une banque belge ?

Pour une banque belge, DORA s'applique en priorité (lex specialis depuis le 17 janvier 2025) sur les aspects de résilience opérationnelle numérique : gestion des risques TIC, gestion et notification des incidents TIC, tests de résilience, gestion des prestataires tiers TIC critiques, partage d'informations sur les cybermenaces. NIS2 reste applicable pour les aspects généraux de cybersécurité non couverts par DORA. En pratique, DORA prévaut sur ses domaines spécifiques et NIS2 complète sur le reste.

DORA remplace-t-elle NIS2 pour le secteur financier ?

Non. DORA et NIS2 coexistent. DORA est lex specialis (loi spéciale) pour la résilience opérationnelle numérique du secteur financier. NIS2 reste lex generalis (loi générale) et continue de s'appliquer aux aspects non couverts par DORA. La directive NIS2 contient une clause de coordination explicite (article 4) qui établit que les exigences DORA prévalent sur ses propres exigences pour les domaines équivalents.

Quelle différence entre DORA et NIS2 sur la notification d'incidents ?

NIS2 : alerte précoce 24h, notification 72h, rapport final 1 mois, vers le CSIRT national (CSIRT.be en Belgique) et le CCB. DORA : classification plus granulaire des incidents (majeur, opérationnel, etc.), notification au superviseur compétent (BNB / FSMA en Belgique), rapport intermédiaire et final selon la criticité, format harmonisé via les RTS de l'EBA. Les deux processus doivent être coordonnés.

Quels acteurs sont concernés par DORA mais pas par NIS2 ?

DORA couvre 21 catégories d'entités financières incluant des acteurs de petite taille non couverts par NIS2 : conseillers en investissement, plateformes de financement participatif (crowdfunding), gestionnaires d'AIF, sociétés de gestion d'OPCVM, fonds de pension. À l'inverse, NIS2 couvre des secteurs hors finance (énergie, santé, etc.) qui ne sont pas dans le champ DORA.

Quelles sont les sanctions DORA vs NIS2 ?

NIS2 (loi belge) : entités essentielles jusqu'à 10 M€ ou 2 % CA mondial ; entités importantes jusqu'à 7 M€ ou 1,4 % CA mondial. DORA : laisse aux États membres le soin de fixer les sanctions, en pratique alignées sur les régimes existants (sanctions de la BNB / FSMA pour la Belgique, généralement 1 % du CA annuel par jour de manquement avec plafond, plus sanctions personnelles pour les dirigeants). Cumul possible si manquement à des obligations distinctes.

Faut-il faire un audit ISO 27001 pour DORA ?

DORA n'impose pas formellement ISO 27001, mais la norme couvre 70-80 % des exigences DORA sur la gestion des risques TIC, le contrôle d'accès, la cryptographie et la continuité. ISO 22301 (continuité d'activité) est également pertinente pour les obligations DORA de tests de résilience. La plupart des grandes banques belges combinent ISO 27001 + ISO 22301 + dispositif spécifique DORA (TLPT, registre prestataires TIC critiques).

DORA vs NIS2 — Comparatif et articulation pour le secteur financier (2026)

Depuis le 17 janvier 2025, le règlement DORA (UE) 2022/2554 s'applique au secteur financier européen. La directive NIS2 (UE) 2022/2555, transposée en droit belge le 26 avril 2024, couvre 18 secteurs critiques dont la finance. Comment s'articulent les deux textes ? Cet article fait le point.

Verdict express

DORA est lex specialis pour le secteur financier : prévaut sur NIS2 pour les domaines équivalents (gestion des risques TIC, incidents TIC, tests de résilience, gestion des prestataires TIC critiques).
NIS2 reste applicable aux entités financières pour les aspects de cybersécurité non couverts par DORA (ex : sécurité physique, sensibilisation générale).
En pratique : pour une banque ou assurance belge, DORA est la priorité de mise en œuvre, complétée par NIS2 sur les gaps.

Tableau comparatif détaillé

Critère	DORA	NIS2
Type	Règlement (application directe)	Directive (transposition nationale)
Référence	(UE) 2022/2554	(UE) 2022/2555
Date application	17 janvier 2025	18 octobre 2024 (BE)
Champ d'application	Secteur financier uniquement (21 catégories d'entités)	18 secteurs essentiels et importants dont la finance
Autorité Belgique	BNB (Banque Nationale), FSMA	CCB (Centre pour la Cybersécurité Belgique)
5 piliers / mesures	5 piliers : (1) Risk mgmt TIC, (2) Incidents TIC, (3) Tests TLPT, (4) Risques tiers TIC, (5) Threat sharing	11 mesures (Article 30) : risques, incidents, continuité, supply chain, sécurité SI, audits, formation, crypto, RH/accès, MFA, communications
Notification incidents	Classification granulaire (majeur, opérationnel) ; format harmonisé EBA RTS	24h alerte / 72h notification / 1 mois rapport final
Tests obligatoires	TLPT (Threat-Led Penetration Testing) tous les 3 ans pour entités significatives	Tests réguliers (article 30 §6) sans format imposé
Tiers critiques	Régime spécifique : Critical ICT Third-Party Providers (CTPP) supervisés par les ESAs	Article 30 §4 : audit fournisseurs ICT par l'entité
Sanctions	Définies par les États (en BE, alignées BNB/FSMA, ~1 % CA/jour avec plafond)	10 M€ ou 2 % CA mondial (essentielle), 7 M€ ou 1,4 % (importante)
Responsabilité dirigeants	Oui (article 5 — organe de direction responsable)	Oui (article 32 loi belge — responsabilité personnelle)

Champ d'application DORA — 21 catégories

Établissements de crédit (banques)
Établissements de paiement
Prestataires de services d'information sur les comptes
Établissements de monnaie électronique
Entreprises d'investissement
Prestataires de services sur crypto-actifs (CASPs MiCA)
Émetteurs de jetons se référant à des actifs (ART)
Dépositaires centraux de titres (CSDs)
Contreparties centrales (CCPs)
Plateformes de négociation
Référentiels centraux
Gestionnaires de FIA (AIFM)
Sociétés de gestion d'OPCVM
Prestataires de services de communication de données
Entreprises d'assurance et de réassurance
Intermédiaires d'assurance
Institutions de retraite professionnelle (IORPs)
Agences de notation de crédit
Administrateurs d'indices de référence critiques
Plateformes de financement participatif
Référentiels de titrisation

Articulation DORA / NIS2 (lex specialis vs lex generalis)

L'article 4 de la directive NIS2 établit explicitement que lorsqu'un acte juridique sectoriel de l'Union (comme DORA) impose des obligations équivalentes ou plus strictes en matière de gestion des risques de cybersécurité, ces dernières prévalent sur NIS2 pour les domaines couverts.

En pratique pour le secteur financier :

Domaine	Texte applicable
Gestion des risques TIC	DORA (Pilier 1)
Gestion et classification des incidents TIC	DORA (Pilier 2)
Tests de résilience (TLPT)	DORA (Pilier 3)
Gestion des prestataires TIC critiques	DORA (Pilier 4) — supervision ESAs
Partage de threat intelligence	DORA (Pilier 5)
Sécurité physique des installations	NIS2 (mesure 9 — gestion des actifs)
Sensibilisation et formation générale	NIS2 (mesure 7 — cyberhygiène)
Cryptographie générale	Couvert par les deux — DORA prévaut
MFA	Couvert par les deux — DORA prévaut

Cas pratique : banque belge mid-size

Une banque belge de taille moyenne (50-250 M€ d'actifs) doit :

S'enregistrer auprès du CCB (NIS2) — entité essentielle Annexe I
Désigner un responsable TIC (DORA article 5) — souvent le RSSI ou COO
Mettre en place le cadre de gestion des risques TIC (DORA Pilier 1) — politique, registre, mesures
Notifier les incidents TIC majeurs à la BNB selon les RTS DORA + au CCB selon NIS2
Réaliser un TLPT tous les 3 ans (DORA Pilier 3) — coût indicatif 80-200 k€ par exercice
Cartographier et auditer les prestataires TIC critiques (DORA Pilier 4 + NIS2 article 30 §4)
Participer aux échanges de threat intelligence (DORA Pilier 5) via FI-ISAC ou équivalent

Coût indicatif de mise en conformité DORA pour une banque belge

Mid-size (50-250 ETP) : 200 - 500 k€ première année, 80 - 150 k€ récurrent
Large (250-1000 ETP) : 500 k€ - 1,5 M€ première année, 200 - 500 k€ récurrent
TLPT : 80 - 200 k€ par exercice (tous les 3 ans)

Pour aller plus loin

Sources officielles

Besoin d'aide pour articuler DORA + NIS2 ?

Cryptaguard accompagne les entités financières belges dans la mise en conformité combinée DORA + NIS2 : gap analysis croisée, cadre intégré de gestion des risques TIC, registre des prestataires TIC critiques, préparation au TLPT, articulation des notifications BNB / FSMA / CCB.

Demander un audit DORA →