Publié le — par Matthieu Roland
Le secteur financier occupe une position singulière dans le paysage réglementaire cyber belge : il figure dans l'Annexe I de la loi belge NIS2 du 26 avril 2024 (en vigueur depuis le 18 octobre 2024), tout en étant soumis à DORA, le règlement européen (UE) 2022/2554 sur la résilience opérationnelle numérique, pleinement applicable depuis le 17 janvier 2025. Résultat : deux textes, trois autorités (NBB, FSMA, CCB) et une question récurrente — qui fait quoi ? Cette page clarifie l'articulation pour les institutions financières belges. Pour la vue d'ensemble des 18 secteurs, voir notre panorama des secteurs NIS2 ; nos analyses énergie et santé complètent cette série sectorielle.
Deux des 11 secteurs hautement critiques de l'Annexe I concernent la finance :
| Secteur (Annexe I) | Entités visées (article 9) |
|---|---|
| 3. Secteur bancaire | Établissements de crédit |
| 4. Infrastructures des marchés financiers | Opérateurs de plateformes de négociation, contreparties centrales |
Le critère de taille de la loi (article 5, conformément à la recommandation 2003/361/CE) s'applique comme ailleurs : une grande entreprise (250 employés ou plus, ou CA supérieur à 50 M€) d'un secteur de l'Annexe I est en règle générale une entité essentielle ; une entreprise moyenne (50 à 249 employés) est en principe une entité importante, sous réserve des exceptions et de l'identification opérée par l'autorité (article 11). Dans les faits, la plupart des banques belges dépassent largement ces seuils.
À noter : les assureurs, gestionnaires d'actifs, établissements de paiement ou prestataires crypto relèvent de DORA (21 catégories d'entités financières) mais ne figurent pas dans les secteurs financiers des annexes NIS2 — voir le champ d'application complet dans notre comparatif DORA vs NIS2.
L'article 4 de la directive NIS2 prévoit que lorsqu'un acte sectoriel de l'Union impose des obligations au moins équivalentes en matière de gestion des risques de cybersécurité ou de notification d'incidents, ces obligations sectorielles s'appliquent en lieu et place de NIS2. DORA est précisément ce texte pour le secteur financier : il prime en tant que lex specialis pour la gestion du risque TIC. La supervision DORA est assurée en Belgique par la NBB (Banque nationale de Belgique) et la FSMA, tandis que le CCB reste l'autorité nationale NIS2.
| Domaine | Texte applicable | Autorité |
|---|---|---|
| Gestion des risques TIC | DORA (pilier 1) | NBB / FSMA |
| Gestion et notification des incidents TIC majeurs | DORA (pilier 2) | NBB / FSMA |
| Tests de résilience, dont TLPT | DORA (pilier 3) | NBB / FSMA |
| Prestataires TIC critiques (CTPP) | DORA (pilier 4) | Supervision européenne (ESAs) |
| Partage de renseignements sur les menaces | DORA (pilier 5) | NBB / FSMA |
| Enregistrement de l'entité NIS2 | NIS2 (loi belge) | CCB |
| Domaines non couverts par DORA (ex. sécurité physique des installations, sensibilisation générale) | NIS2 (article 30) | CCB |
La ligne de partage détaillée, mesure par mesure, est analysée dans notre comparatif DORA vs NIS2 (lex specialis).
Être « sous DORA » ne fait pas sortir une banque ou une infrastructure de marché du champ de NIS2. Concrètement, les entités financières de l'Annexe I restent tenues de :
La NBB et la FSMA supervisent la résilience numérique des entités financières au titre de DORA, selon leurs compétences respectives (supervision prudentielle pour la NBB, marchés et produits pour la FSMA). Le CCB, de son côté, applique la logique NIS2 : supervision ex ante pour les entités essentielles — qui disposent de trois voies pour démontrer leur conformité (certification ou vérification CyFun, certification ISO 27001, ou inspection par le CCB) — et supervision ex post pour les entités importantes. Pour les groupes financiers, l'enjeu pratique est d'éviter les doubles travaux : un cadre de contrôle unique, cartographié à la fois vers DORA et vers l'article 30 NIS2, est l'approche la plus efficace.
Pour comprendre le socle commun à tous les secteurs, notre guide de la directive NIS2 reste le point de départ.
Non. DORA prime en tant que lex specialis sur les domaines qu'il couvre (gestion du risque TIC, incidents TIC, tests de résilience, prestataires TIC), mais l'entité financière reste dans le champ de NIS2 : les établissements de crédit et les infrastructures de marché figurent à l'Annexe I de la loi belge, avec notamment l'obligation d'enregistrement auprès du CCB.
Oui. En tant qu'entité relevant de l'Annexe I de la loi belge NIS2, un établissement de crédit doit s'enregistrer sur Safeonweb@Work (obligation applicable depuis le 18 mars 2025), même si la gestion de son risque TIC est encadrée par DORA sous la supervision de la NBB et de la FSMA.
Les entreprises d'assurance et de réassurance figurent parmi les 21 catégories d'entités couvertes par DORA, mais elles n'apparaissent pas dans les secteurs financiers des annexes de la loi belge NIS2 (Annexe I : établissements de crédit, plateformes de négociation, contreparties centrales). Pour les assureurs, le cadre de référence en matière de résilience numérique est donc DORA.
Les incidents TIC majeurs relèvent du régime DORA auprès des autorités financières (NBB/FSMA selon les standards techniques européens) ; le régime NIS2 de notification au CSIRT national opéré par le CCB (24 h/72 h/1 mois) reste le cadre applicable pour les entités et domaines non couverts par DORA. En pratique, une cartographie préalable des obligations de notification est indispensable.
CyFun est le cadre de référence du CCB pour démontrer la conformité NIS2 ; pour la gestion du risque TIC des entités financières, DORA prime. CyFun conserve néanmoins un intérêt pour structurer les domaines restant sous NIS2 et pour les filiales ou activités du groupe qui ne relèvent pas de DORA.
Cartographie DORA / NIS2, gap analysis croisée, enregistrement CCB et structuration CyFun des domaines résiduels : notre équipe accompagne banques et infrastructures de marché dans l'articulation concrète des deux cadres.