DORA et NIS2 sont les deux grands régimes européens de cyber-résilience, tous deux pleinement applicables depuis 2024–2025, et souvent confondus. En résumé : NIS2 est la directive généraliste de cybersécurité, tous secteurs confondus ; DORA est le règlement spécialisé pour le secteur financier. Lorsque les deux pourraient s’appliquer à une entité financière, une règle juridique précise détermine lequel prévaut. Ce guide rend cette règle concrète pour les organisations belges.
EN BREF
- NIS2 = directive, secteurs larges, transposée nationalement (Belgique : en vigueur le 18 oct. 2024, supervisée par le CCB).
- DORA = règlement, entités financières uniquement, directement applicable depuis le 17 janvier 2025.
- Pour les entités financières, DORA est lex specialis (Considérant 16) et un acte sectoriel au sens de l’art. 4 de NIS2 — ses obligations de gestion des risques ICT et de notification remplacent les obligations NIS2 équivalentes.
- Cela n’exempte pas les entités financières de l’écosystème NIS2 (coopération, CSIRT).
- Si vous ne détenez aucune licence financière, vous êtes probablement soumis à NIS2, pas à DORA.
Champ d’application : qui est visé par chacun
DORA (Règlement (UE) 2022/2554) s’applique à une liste fermée d’“entités financières” visées à l’art. 2(1) — établissements de crédit, établissements de paiement et de monnaie électronique, entreprises d’investissement, prestataires de services sur crypto-actifs au titre du MiCA, assureurs et intermédiaires, gestionnaires de fonds, plateformes de négociation, et d’autres encore — ainsi que les prestataires tiers de services ICT, soumis à son régime de surveillance. NIS2 (Directive (UE) 2022/2555) couvre les entités “essentielles” et “importantes” dans de nombreux secteurs (énergie, transport, santé, infrastructure numérique, administration publique, et plus), généralement au-delà d’un seuil de taille. Fait notable : DORA est un règlement — directement applicable, identique dans toute l’UE — tandis que NIS2 est une directive que chaque État membre transpose ; en Belgique, il s’agit de la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024 et supervisée par le Centre pour la Cybersécurité Belgique (CCB).
La règle lex specialis — comment le chevauchement est résolu
Une entité financière pourrait, à première vue, relever des deux. DORA tranche la question. Le Considérant 16 dispose que DORA est lex specialis par rapport à NIS2, et l’art. 1(2) prévoit que pour les entités financières identifiées comme essentielles ou importantes au titre des règles NIS2 nationales, DORA vaut en tant qu’acte juridique sectoriel de l’Union au sens de l’article 4 de NIS2. L’article 4 de NIS2 est le mécanisme : lorsqu’un acte sectoriel de l’UE impose des exigences de cybersécurité et de notification au moins équivalentes, les règles sectorielles s’appliquent à la place des obligations NIS2 correspondantes. Ainsi, pour les entités financières dans le champ d’application, les obligations de gestion des risques ICT et de notification d’incidents de DORA remplacent les obligations NIS2 équivalentes.
Nuance importante : ce n’est pas une exemption. Les entités financières demeurent dans l’écosystème NIS2 — le groupe de coopération, les liens avec les CSIRT — et l’art. 47 de DORA organise cette coordination. Ne lisez pas “DORA prévaut” comme “NIS2 ne compte plus”.
Les cinq piliers de DORA
| Pilier | Articles | En résumé |
|---|---|---|
| 1. Gestion des risques ICT | Art. 5–16 | Gouvernance, cadre, identifier/protéger/détecter/répondre, sauvegardes. |
| 2. Gestion et notification des incidents ICT | Art. 17–23 | Classifier et notifier les incidents ICT majeurs aux autorités. |
| 3. Tests de résilience opérationnelle numérique | Art. 24–27 | Tests réguliers ; tests de pénétration avancés fondés sur les menaces (TLPT). |
| 4. Risque lié aux tiers prestataires ICT | Art. 28–44 | Gérer le risque prestataire ; surveillance des tiers critiques. |
| 5. Partage d’informations | Art. 45 | Partage volontaire de renseignements sur les cybermenaces. |
Le pilier sur les tiers prestataires est celui que la plupart des organisations ressentent en premier — il est traité en profondeur dans la constitution de votre Registre d’informations DORA.
Dates clés
- DORA : en vigueur le 16 janvier 2023 ; applicable à partir du 17 janvier 2025 (art. 64) — aucune transposition requise.
- NIS2 : délai de transposition UE le 17 octobre 2024 ; en Belgique, les règles nationales s’appliquent depuis le 18 octobre 2024.
Lequel s’applique à vous ? Un guide de décision
- Êtes-vous une entité financière agréée figurant dans la liste de l’art. 2(1) (banque, établissement de paiement/monnaie électronique, entreprise d’investissement, prestataire MiCA de crypto-actifs, assureur, gestionnaire de fonds…) ? → DORA s’applique, et il remplace les obligations NIS2 équivalentes, tout en vous maintenant dans l’écosystème NIS2.
- Pas une entité financière, mais une entité essentielle/importante dans un secteur NIS2 ? → NIS2 s’applique (voir les 18 secteurs belges).
- Prestataire ICT d’entités financières ? → Vous ressentez DORA contractuellement (vos clients doivent imposer les clauses de l’art. 30) et vous pouvez être désigné prestataire tiers critique ; vous pouvez également être soumis à NIS2 en votre propre droit.
Une “fintech” n’a pas de réponse unique — tout dépend de son statut réglementaire. Le bon réflexe est : quelle licence détenez-vous ? C’est cela, et non le label, qui décide entre DORA et NIS2. Voir aussi RGPD vs NIS2 pour comprendre comment les obligations en matière de protection des données se superposent.
Information générale, sans valeur de conseil juridique ; pour un périmètre définitif, validez avec un conseiller qualifié ou l’autorité compétente (en Belgique, la NBB/FSMA pour les entités financières, le CCB pour NIS2). ICTLAB aide les organisations belges à délimiter et à opérationnaliser DORA et NIS2 — explorez notre service NIS2 & conformité ou parlez à notre équipe.