« DORA et NIS2, deux textes complémentaires »
Le Règlement européen sur la résilience opérationnelle numérique du secteur financier, dit « DORA » (Digital Operational Resilience Act), a été adopté le même jour que la directive NIS 2, le 14/12/2022, et vise à renforcer les exigences en matière de cybersécurité au sein de l’UE pour les banques et les infrastructures des marchés financiers. Il s’inscrit dans la stratégie européenne visant à développer une approche harmonisée de la finance numérique au sein de l’Union européenne (UE) et fait partie du paquet législatif (Digital Financial Package, DFP) qui comprend aussi le règlement européen sur les marchés de crypto-actifs (MiCA) et le régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (DLT). Dans le fonctionnement NIS 2 et DORA ne font pas appel aux mêmes instruments juridiques : l’une étant une Directive nécessitant une transposition en droit national et l’autre un Règlement d’application directe « loi européenne ». Cependant, ces deux textes couvrent un champ d’application très large en intégrant l’ensemble de la chaîne de valeur. Pour une entreprise du secteur financier, l’enjeu est de savoir quelle réglementation lui est applicable. Dans ce contexte, la Directive NIS 2 prévoit des mécanismes de fonctionnement rapproché entre les autorités d’autres réglementations, en particulier avec l’Autorité de contrôle prudentiel et de résolution (ACPR) pour le Règlement DORA. Si on schématise, la directive NIS 2 donne un cadre général et le Règlement DORA constitue le cadre sectoriel : les deux textes n’étant pas en contradiction, mais complémentaires. Dans tous les cas, concernant ces deux textes, des précisions restent attendues tant dans le cadre de la transposition de la directive NIS 2 que des actes qui devront être précisés par les autorités bancaires européennes concernant DORA.