Conformité

DORA vs NIS2 : articulation pour le secteur financier européen

DORA et NIS2 se chevauchent sur le secteur financier européen depuis 2025. Lex specialis, double conformité, articulation pratique pour les fintech et SaaS financiers.

9 min

Pour les entités financières européennes (banques, assurances, gestionnaires d'actifs, fintech), deux règlements se télescopent depuis 2025 : DORA (UE 2022/2554) et NIS2 (UE 2022/2555). Lequel prime ? Faut-il les deux ?

Le principe : DORA est lex specialis

L'article 1 de DORA établit le principe : DORA est lex specialis sur le secteur financier. Pour les entités financières au sens de DORA, DORA prime sur NIS2 sur les obligations TIC (technologies de l'information et de la communication).

Concrètement : si vous êtes une entité financière européenne, vous appliquez DORA, pas NIS2. Mais le diable est dans les détails — certaines obligations NIS2 hors-TIC peuvent rester applicables.

Qui est entité financière au sens de DORA

DORA couvre 21 catégories d'entités financières (Article 2 DORA) :

  • Établissements de crédit, paiement, monnaie électronique.
  • Entreprises d'investissement, sociétés de gestion.
  • Plateformes de trading, contreparties centrales, dépositaires centraux.
  • Assurances, réassurance, fonds de retraite professionnelle.
  • Agences de notation, prestataires de services en cryptoactifs.
  • Et leurs prestataires TIC critiques (cloud providers, datacenters, etc.).

Si vous ne faites pas partie de ces 21 catégories, vous êtes potentiellement sous NIS2 directement.

Comparaison structurelle

| Critère | DORA | NIS2 | |---|---|---| | Type | Règlement (directement applicable) | Directive (transposition nationale) | | Application | 17 janvier 2025 | 17 octobre 2026 | | Périmètre | Entités financières + leurs TIC | 18 secteurs stratégiques | | Notification d'incident | Selon classification | 24h / 72h / 1 mois | | Tests d'intrusion | TLPT obligatoire pour entités significatives | Non mentionné explicitement | | Contrats prestataires TIC | Article 30 — clauses obligatoires détaillées | Article 21.2.d — exigence générale | | Sanctions max | Selon transposition nationale | EE: 10 M€/2%CA, EI: 7 M€/1,4%CA | | Autorité française | ACPR, AMF | ANSSI |

Les 5 piliers DORA

DORA est structuré en 5 piliers :

  1. Gestion du risque TIC (Articles 5-15) — gouvernance, identification, protection, détection, response, recovery, learning.
  2. Gestion des incidents TIC majeurs (Articles 17-23) — classification, notification, reporting.
  3. Tests de résilience opérationnelle (Articles 24-27) — programmes de tests + TLPT pour entités significatives.
  4. Gestion du risque tiers TIC (Articles 28-44) — Article 30 contrats, classification prestataires critiques, surveillance.
  5. Partage d'informations (Articles 45-49) — threat intel, coopération entre entités financières.

Pour une fintech ou un SaaS financier, ces 5 piliers sont immédiatement contraignants depuis janvier 2025.

Si vous êtes entité financière

1. DORA prime — vous appliquez DORA. Pas besoin de double conformité TIC NIS2/DORA.

2. Mais NIS2 hors TIC peut s'appliquer. Si votre secteur (par exemple banque) a des obligations NIS2 non couvertes par DORA, elles restent applicables.

3. Coordination autorités. En France : ACPR pour DORA, ANSSI pour NIS2. Notifications d'incident peuvent aller aux deux selon classification.

4. Effort de conformité. DORA est plus contraignant et précis que NIS2. Si vous êtes DORA-compliant, vous êtes typiquement aussi NIS2-compliant pour le volet TIC.

Si vous êtes prestataire TIC d'une entité financière

C'est là que ça devient intéressant. Si vous fournissez un SaaS critique à une banque, une assurance ou une fintech européenne, vous êtes indirectement soumis à DORA via les contrats Article 30.

Vos clients financiers vont vous demander de :

  • Signer un addendum Article 30 avec les clauses obligatoires.
  • Permettre des audits sur site (incluant ANSSI/ACPR si critique).
  • Garantir la continuité (RTO, RPO contractuels).
  • Notifier rapidement les incidents qui les affectent.
  • Documenter votre exit strategy (réversibilité).
  • Supporter le TLPT si vous êtes dans le périmètre opérationnel critique.

Refuser ces clauses = perdre le client. C'est le mécanisme principal d'effet domino DORA sur le SaaS B2B européen.

Si vous n'êtes ni entité financière, ni prestataire TIC d'entité financière

Vous êtes potentiellement sous NIS2 selon votre secteur (18 secteurs Annexes I et II). Pas de DORA pour vous.

Pour la plupart des SaaS B2B européens hors finance, c'est NIS2 qui prime — pas DORA.

Plan d'action 2026

Pour une fintech européenne :

  • DORA prioritaire (déjà applicable).
  • Démarche : audit DORA gap analysis + roadmap 12-18 mois.
  • Coût : 250-600 K€ pour conformité DORA complète.

Pour un SaaS B2B servant des fintech :

  • Anticiper les addendums Article 30 (négociation avec vos clients financiers).
  • Mettre en place processus interne pour répondre aux DDQ DORA.
  • ISO 27001 facilite (60-70% des exigences DORA techniques).
  • Coût : 100-200 K€ pour ISO 27001 + capacité Article 30.

Pour une PME hors finance, secteur stratégique NIS2 :

  • NIS2 conformité avant octobre 2026.
  • ISO 27001 facilite (70% des exigences NIS2).
  • Coût : 80-180 K€ ISO 27001 + ajouts NIS2.

Questions fréquentes

DORA prime-t-il sur NIS2 pour mon entreprise ?

Oui si vous êtes entité financière au sens de DORA (21 catégories : banques, assurances, fintech, etc.). DORA est lex specialis (Article 1) — il prime sur NIS2 pour les obligations TIC. Si vous n'êtes pas entité financière, vous êtes potentiellement sous NIS2 selon votre secteur.

Mon SaaS B2B sert des banques. Suis-je soumis à DORA ?

Indirectement, oui. DORA s'applique aux entités financières et à leurs prestataires TIC critiques. Si vous fournissez un SaaS critique à une banque ou une assurance européenne, votre client va vous demander de signer un addendum Article 30 (clauses obligatoires : description des services, lieu de traitement, droits d'audit, exit strategy, sous-traitance encadrée). Refuser ces clauses = perdre le client.

Quels sont les 5 piliers DORA ?

(1) Gestion des risques TIC — gouvernance, identification, protection. (2) Gestion et reporting des incidents TIC majeurs aux autorités. (3) Tests de résilience opérationnelle — TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives. (4) Gestion des risques liés aux prestataires TIC — DDQ, contrats Article 30. (5) Partage d'informations sur les cyber-menaces.

Combien coûte un TLPT DORA ?

Un TLPT complet (Threat-Led Penetration Testing) coûte 200-600 K€ selon la complexité du périmètre opérationnel critique. Préparation : 6-9 mois (documentation, threat lead certifié TIBER, coordination avec les prestataires TIC critiques, désignation périmètre). Obligatoire tous les 3 ans pour les entités significatives DORA.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéDORA SaaS financiers ConformitéNIS2 transposition France ConformitéNIS2 vs ISO 27001

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt