NIS2 et DORA dans le secteur financier belge : qui fait quoi ?

Publié le — par Matthieu Roland

2Secteurs financiers Annexe I
17/01/2025DORA applicable
3Autorités : NBB, FSMA, CCB

Le secteur financier occupe une position singulière dans le paysage réglementaire cyber belge : il figure dans l'Annexe I de la loi belge NIS2 du 26 avril 2024 (en vigueur depuis le 18 octobre 2024), tout en étant soumis à DORA, le règlement européen (UE) 2022/2554 sur la résilience opérationnelle numérique, pleinement applicable depuis le 17 janvier 2025. Résultat : deux textes, trois autorités (NBB, FSMA, CCB) et une question récurrente — qui fait quoi ? Cette page clarifie l'articulation pour les institutions financières belges. Pour la vue d'ensemble des 18 secteurs, voir notre panorama des secteurs NIS2 ; nos analyses énergie et santé complètent cette série sectorielle.

La finance dans l'Annexe I de la loi belge NIS2

Deux des 11 secteurs hautement critiques de l'Annexe I concernent la finance :

Secteur (Annexe I)Entités visées (article 9)
3. Secteur bancaireÉtablissements de crédit
4. Infrastructures des marchés financiersOpérateurs de plateformes de négociation, contreparties centrales

Le critère de taille de la loi (article 5, conformément à la recommandation 2003/361/CE) s'applique comme ailleurs : une grande entreprise (250 employés ou plus, ou CA supérieur à 50 M€) d'un secteur de l'Annexe I est en règle générale une entité essentielle ; une entreprise moyenne (50 à 249 employés) est en principe une entité importante, sous réserve des exceptions et de l'identification opérée par l'autorité (article 11). Dans les faits, la plupart des banques belges dépassent largement ces seuils.

À noter : les assureurs, gestionnaires d'actifs, établissements de paiement ou prestataires crypto relèvent de DORA (21 catégories d'entités financières) mais ne figurent pas dans les secteurs financiers des annexes NIS2 — voir le champ d'application complet dans notre comparatif DORA vs NIS2.

DORA, lex specialis : ce qui prime sur NIS2

L'article 4 de la directive NIS2 prévoit que lorsqu'un acte sectoriel de l'Union impose des obligations au moins équivalentes en matière de gestion des risques de cybersécurité ou de notification d'incidents, ces obligations sectorielles s'appliquent en lieu et place de NIS2. DORA est précisément ce texte pour le secteur financier : il prime en tant que lex specialis pour la gestion du risque TIC. La supervision DORA est assurée en Belgique par la NBB (Banque nationale de Belgique) et la FSMA, tandis que le CCB reste l'autorité nationale NIS2.

DomaineTexte applicableAutorité
Gestion des risques TICDORA (pilier 1)NBB / FSMA
Gestion et notification des incidents TIC majeursDORA (pilier 2)NBB / FSMA
Tests de résilience, dont TLPTDORA (pilier 3)NBB / FSMA
Prestataires TIC critiques (CTPP)DORA (pilier 4)Supervision européenne (ESAs)
Partage de renseignements sur les menacesDORA (pilier 5)NBB / FSMA
Enregistrement de l'entité NIS2NIS2 (loi belge)CCB
Domaines non couverts par DORA (ex. sécurité physique des installations, sensibilisation générale)NIS2 (article 30)CCB

La ligne de partage détaillée, mesure par mesure, est analysée dans notre comparatif DORA vs NIS2 (lex specialis).

Ce qui reste dû au titre de NIS2

Être « sous DORA » ne fait pas sortir une banque ou une infrastructure de marché du champ de NIS2. Concrètement, les entités financières de l'Annexe I restent tenues de :

Supervision : trois autorités, deux logiques

La NBB et la FSMA supervisent la résilience numérique des entités financières au titre de DORA, selon leurs compétences respectives (supervision prudentielle pour la NBB, marchés et produits pour la FSMA). Le CCB, de son côté, applique la logique NIS2 : supervision ex ante pour les entités essentielles — qui disposent de trois voies pour démontrer leur conformité (certification ou vérification CyFun, certification ISO 27001, ou inspection par le CCB) — et supervision ex post pour les entités importantes. Pour les groupes financiers, l'enjeu pratique est d'éviter les doubles travaux : un cadre de contrôle unique, cartographié à la fois vers DORA et vers l'article 30 NIS2, est l'approche la plus efficace.

Par où commencer : le parcours recommandé

  1. Cartographier vos obligations — quelles entités du groupe relèvent de DORA, lesquelles de NIS2 (Annexe I), lesquelles des deux ; puis enregistrement CCB pour les entités NIS2 ;
  2. Gap analysis croisée DORA / article 30 NIS2 pour identifier les exigences résiduelles NIS2 non couvertes par votre dispositif DORA — avec l'appui de nos services d'audit ;
  3. Structurer les domaines NIS2 restants avec le cadre CyFun du CCB : le choix du niveau (Small, Basic, Important, Essential) est expliqué dans notre comparatif des niveaux CyFun ;
  4. Suivre le calendrier du CCB pour les entités essentielles : démonstration de la mise en œuvre effective au 18 avril 2026, certification CyFun au niveau requis pour le 18 avril 2027 — voir notre dossier certification CyFun Essential 2027 ;
  5. Budgéter l'ensemble : notre analyse du coût de la conformité NIS2 donne des repères indicatifs de marché.

Pour comprendre le socle commun à tous les secteurs, notre guide de la directive NIS2 reste le point de départ.

FAQ — NIS2 et DORA dans la finance belge

DORA remplace-t-il NIS2 pour les banques belges ?

Non. DORA prime en tant que lex specialis sur les domaines qu'il couvre (gestion du risque TIC, incidents TIC, tests de résilience, prestataires TIC), mais l'entité financière reste dans le champ de NIS2 : les établissements de crédit et les infrastructures de marché figurent à l'Annexe I de la loi belge, avec notamment l'obligation d'enregistrement auprès du CCB.

Une banque belge doit-elle s'enregistrer auprès du CCB ?

Oui. En tant qu'entité relevant de l'Annexe I de la loi belge NIS2, un établissement de crédit doit s'enregistrer sur Safeonweb@Work (obligation applicable depuis le 18 mars 2025), même si la gestion de son risque TIC est encadrée par DORA sous la supervision de la NBB et de la FSMA.

Une compagnie d'assurance est-elle soumise à NIS2 ?

Les entreprises d'assurance et de réassurance figurent parmi les 21 catégories d'entités couvertes par DORA, mais elles n'apparaissent pas dans les secteurs financiers des annexes de la loi belge NIS2 (Annexe I : établissements de crédit, plateformes de négociation, contreparties centrales). Pour les assureurs, le cadre de référence en matière de résilience numérique est donc DORA.

À qui notifier un incident cyber : CCB, NBB ou FSMA ?

Les incidents TIC majeurs relèvent du régime DORA auprès des autorités financières (NBB/FSMA selon les standards techniques européens) ; le régime NIS2 de notification au CSIRT national opéré par le CCB (24 h/72 h/1 mois) reste le cadre applicable pour les entités et domaines non couverts par DORA. En pratique, une cartographie préalable des obligations de notification est indispensable.

CyFun est-il utile pour une institution financière ?

CyFun est le cadre de référence du CCB pour démontrer la conformité NIS2 ; pour la gestion du risque TIC des entités financières, DORA prime. CyFun conserve néanmoins un intérêt pour structurer les domaines restant sous NIS2 et pour les filiales ou activités du groupe qui ne relèvent pas de DORA.

Sources officielles

Institution financière : clarifiez votre double conformité

Cartographie DORA / NIS2, gap analysis croisée, enregistrement CCB et structuration CyFun des domaines résiduels : notre équipe accompagne banques et infrastructures de marché dans l'articulation concrète des deux cadres.

Demander un diagnostic DORA / NIS2 → Découvrir nos services