11 Min. de lecture<\/p>\n
Depuis janvier 2025, DORA est applicable, depuis novembre 2025, AWS, Azure, Google Cloud, Bloomberg, LSEG et IBM figurent sur la liste CTPP des ESAs. Au premier trimestre 2026, les \u00e9quipes d’audit conjoint effectueront leurs premi\u00e8res inspections. Parall\u00e8lement, NIS2 progresse en vague deux. En 2026, il devient clair : les deux r\u00e9glementations s’entrecroisent, leurs parcours d’audit se d\u00e9roulent en parall\u00e8le.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Reli\u00e9<\/span>Conformit\u00e9 NIS2 dans le milieu des PME<\/a> \/<\/span> Exigences techniques minimales NIS2 pour les PME<\/a><\/p>\n DORA et NIS2 semblent, \u00e0 premi\u00e8re vue, \u00eatre les deux faces d’un m\u00eame programme de conformit\u00e9. Les deux r\u00e9glementent la gestion des risques ICT, la notification des incidents et les relations avec les fournisseurs tiers ; les deux proviennent de la vague cyber de l’UE ; les deux pr\u00e9voient des amendes. En pratique, en 2026, ils divergent nettement selon trois crit\u00e8res : cercle des destinataires, structure de supervision et profondeur des exigences.<\/p>\n DORA s’applique \u00e0 20 types d’entit\u00e9s financi\u00e8res, allant des banques et des assureurs jusqu’aux prestataires de services crypto et aux contreparties centrales. La supervision est assur\u00e9e par les autorit\u00e9s nationales de surveillance financi\u00e8re, clairement rattach\u00e9es aux ESAs, soit en Allemagne BaFin avec interface vers EBA, EIOPA et ESMA. NIS2, quant \u00e0 lui, s’adresse aux entit\u00e9s essentielles et importantes traversant 18 secteurs diff\u00e9rents, avec le BSI comme autorit\u00e9 centrale de supervision en Allemagne. Une grande banque est \u00e0 la fois concern\u00e9e par DORA et par NIS2, un gestionnaire d’actifs ne l’est que par DORA selon sa taille, un fournisseur cloud principalement par NIS2.<\/p>\n Les m\u00e9triques classiques de conformit\u00e9 ne sont pas fausses, elles ne constituent toutefois plus qu’une partie du tableau. Ce qui distingue un audit DORA d\u2019un audit NIS2, c\u2019est la profondeur des preuves attendues dans le domaine ICT : DORA exige des rapports solides sur les tests de p\u00e9n\u00e9tration, la documentation des tests de r\u00e9silience, un registre contractuel des fournisseurs tiers sous format machine-lisible. NIS2 demande des mesures de gestion des risques ax\u00e9es sur la gouvernance et les obligations de notification. Les deux rel\u00e8vent de la cybers\u00e9curit\u00e9, mais les artefacts requis ne se chevauchent qu\u2019en partie.<\/p>\n De nombreuses banques ont lanc\u00e9 en 2025 un programme de conformit\u00e9 consolid\u00e9 r\u00e9unissant DORA et NIS2 sous un m\u00eame toit. La logique semblait bonne : un seul management des risques, un seul syst\u00e8me de d\u00e9claration d’incident, un seul inventaire des fournisseurs tiers, une seule \u00e9quipe d’audit. En pratique, deux logiques s’affrontent. Les audits DORA plongent dans le d\u00e9tail des composants ICT et des tests, tandis que les audits NIS2 couvrent l’ensemble du dispositif de gouvernance et des voies de d\u00e9claration. Un responsable programme unique se partage entre ces deux univers et perd le niveau de pr\u00e9cision exig\u00e9 par DORA.<\/p>\n Exemple concret tir\u00e9 d’une grande banque anonymis\u00e9e des pays germanophones : un programme avec 32 sp\u00e9cialistes des risques ICT et un PMO centralis\u00e9. Au premier trimestre 2026, 14 tests TLPT ont \u00e9t\u00e9 pr\u00e9par\u00e9s tout en programmant simultan\u00e9ment 22 revues du management des risques NIS2. En avril, le PMO du programme a prioris\u00e9 la pr\u00e9paration des tests TLPT, puis en mai les revues NIS2. Dans les deux phases, l’\u00e9quipe d’audit n’a pas atteint le niveau de d\u00e9tail accept\u00e9 par aucune autorit\u00e9 de contr\u00f4le. Les deux axes sont maintenant confront\u00e9s \u00e0 des constats qu’on aurait pu \u00e9viter avec deux programmes distincts.<\/p>\n L’autre extr\u00eame consiste \u00e0 cr\u00e9er deux lignes de programme distinctes : une \u00e9quipe DORA ax\u00e9e sur les risques ICT, une \u00e9quipe NIS2 centr\u00e9e sur la gouvernance, chacune disposant de ses propres outils et de ses propres voies de reporting. Une approche m\u00e9thodologiquement propre, mais inefficace en mati\u00e8re de gestion des donn\u00e9es. Les deux programmes utilisent le m\u00eame inventaire d’actifs, la m\u00eame liste de fournisseurs, les m\u00eames donn\u00e9es d’incidents. Sans une base de donn\u00e9es commune, ils doivent g\u00e9rer ces sources en double, entra\u00eenant in\u00e9vitablement des divergences.<\/p>\n Cons\u00e9quence typique : dans l’inventaire des fournisseurs tiers DORA figure AWS avec 47 composants de service, alors qu’il n’en est comptabilis\u00e9 que 39 dans le registre des fournisseurs NIS2. Aucune des deux valeurs n’est fausse, elles mesurent simplement des granularit\u00e9s diff\u00e9rentes. Si la r\u00e9gulation souhaite voir les deux listes lors de l’audit JET et constate des \u00e9carts, cela d\u00e9clenche une s\u00e9rie d’explications qui allongent l’audit de deux semaines. Une base de donn\u00e9es commune offrant deux points de vue r\u00e9soudrait ce probl\u00e8me. Deux bases de donn\u00e9es mises \u00e0 jour une fois par an ne suffisent pas.<\/p>\n Le point critique en 2026 n\u2019est ni l\u2019outil, ni la m\u00e9thode, ni le sponsor. C\u2019est la capacit\u00e9 humaine au sein de l\u2019\u00e9quipe d\u2019audit. Les experts en risques ICT exp\u00e9riment\u00e9s en DORA manquent cruellement, tout comme les auditeurs de conformit\u00e9 NIS2 dot\u00e9s d\u2019une expertise approfondie en cadres de gestion des risques. Les banques ont g\u00e9n\u00e9ralement recouvert les postes dans les douze derniers mois : trois quarts de l\u2019\u00e9quipe travaillent sur les deux axes, un quart reste fixe dans une seule ligne.<\/p>\n Cela fonctionne jusqu\u2019\u00e0 l\u2019intensification des audits. Nous observons en 2026 un sch\u00e9ma clair : la phase TLPT et la pr\u00e9paration JET au deuxi\u00e8me trimestre, parall\u00e8lement aux dates limites de reporting NIS2 au troisi\u00e8me. L\u2019\u00e9quipe d\u2019audit donne le maximum dans les deux phases, mais six personnes cl\u00e9s sont \u00e9puis\u00e9es ou remplac\u00e9es au troisi\u00e8me trimestre. La livraison planifi\u00e9e pour le quatri\u00e8me trimestre est repouss\u00e9e, et la prochaine session de contr\u00f4le d\u00e9bute avec une \u00e9quipe moiti\u00e9 plus petite.<\/p>\n La limite cruciale est la coh\u00e9rence sur plusieurs ann\u00e9es. Qui applique DORA et NIS2 avec une mentalit\u00e9 de sprint de six mois gagne les jalons trimestriels, mais rate l\u2019organisation sur une p\u00e9riode de douze mois. Celui qui pense en termes de responsabilit\u00e9s clairement s\u00e9par\u00e9es dans les deux programmes et adopte un plan de capacit\u00e9s sur 18 mois \u00e9vite le crash du troisi\u00e8me trimestre.<\/p>\n En pratique oui, en forme diff\u00e9renti\u00e9e. La plupart des banques sont couvertes sous NIS2 en tant qu’entit\u00e9s essentielles en raison de leur taille. Des gestionnaires d’actifs plus petits et des prestataires de services financiers sp\u00e9cialis\u00e9s peuvent \u00eatre cibl\u00e9s par DORA sans devenir pour autant destinataires de NIS2. Dans la pratique de la conformit\u00e9 en 2026, la double cible est la r\u00e8gle, pas l’exception.<\/p>\n DORA-TLPT exige un test de p\u00e9n\u00e9tration men\u00e9 selon des standards harmonis\u00e9s et avec une participation claire des autorit\u00e9s de surveillance. Le red teaming classique est m\u00e9thodiquement similaire, mais il n\u2019est pas encadr\u00e9 par le cadre r\u00e9glementaire qui accompagne DORA-TLPT. Qui poss\u00e8de un programme Red Team en 2026 et le pr\u00e9sente comme un TLPT tombera \u00e0 la premi\u00e8re v\u00e9rification JET. Les artefacts requis et le workflow de supervision ne sont pas identiques.<\/p>\n La BaFin est l\u2019autorit\u00e9 nationale comp\u00e9tente et collabore avec les ESAs au sein des \u00e9quipes d\u2019examen conjoint (JET). Cela signifie pour les banques allemandes : l\u2019interface directe reste la BaFin, mais les ESAs participent aux inspections JET et peuvent demander directement des constats. L’id\u00e9e que les audits DORA restent exclusivement nationaux n’est plus soutenable en 2026.<\/p>\n AWS, Microsoft Azure et Google Cloud ont mis en place ces derniers mois des \u00e9quipes d\u00e9di\u00e9es \u00e0 DORA et proposent \u00e0 leurs clients du secteur financier des kits de conformit\u00e9 structur\u00e9s. En 2026, la qualit\u00e9 de ces kits varie. Une banque qui adopte ces kits sans v\u00e9rification interne risque de voir appara\u00eetre des constats li\u00e9s \u00e0 la profondeur de l\u2019h\u00e9bergement, qui n\u2019est pas couverte dans les paquets fournis par les fournisseurs.<\/p>\n Lorsque les constats d\u2019audit des deux autorit\u00e9s tombent dans la m\u00eame division organisationnelle et que l\u2019escalade vers la direction du programme prend plus de trois semaines. C\u2019est un indicateur que la structure commune n\u2019est plus viable. Un d\u00e9couplage au milieu du programme est co\u00fbteux, mais un d\u00e9couplage \u00e0 la fin du programme est encore plus on\u00e9reux.<\/p>\n Plus d’articles du r\u00e9seau MBF Media<\/p>\n Source de l’image : g\u00e9n\u00e9r\u00e9e par IA (mai 2026), certificat C2PA disponible.<\/p>\n Source de l’image : g\u00e9n\u00e9r\u00e9e par IA (mai 2026)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"DORA et NIS2 se chevauchent, les chemins d’audit sont parall\u00e8les. Trois r\u00e9alit\u00e9s qui expliquent pourquoi les banques se trompent en les mettant en \u0153uvre\u2026","protected":false},"author":55,"featured_media":15357,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"","_yoast_wpseo_title":"DORA et NIS2 : Pourquoi les audits bancaires entrent en collision","_yoast_wpseo_metadesc":"DORA et NIS2 coexistent dans les banques avec les m\u00eames \u00e9quipes d'audit. Trois r\u00e9alit\u00e9s r\u00e9v\u00e8lent o\u00f9 la conformit\u00e9 \u00e9choue actuellement.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/dora-nis2-doppel-compliance-deutsche-banken-audit-team-2026-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/dora-nis2-doppel-compliance-deutsche-banken-audit-team-2026-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[252,3,2,221],"tags":[],"class_list":["post-15339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-aktuelles","category-innovation"],"wpml_language":"fr","wpml_translation_of":15325,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=15339"}],"version-history":[{"count":18,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15339\/revisions"}],"predecessor-version":[{"id":15391,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15339\/revisions\/15391"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/15357"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=15339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=15339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=15339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Ce qui distingue DORA et NIS2 en 2026, ann\u00e9e de leur coexistence<\/h2>\n
R\u00e9alit\u00e9 1 : Le programme commun qui ne tient pas la route<\/h2>\n
R\u00e9alit\u00e9 2 : Les deux programmes s\u00e9par\u00e9s qui ne partagent pas leur base de donn\u00e9es<\/h2>\n
R\u00e9alit\u00e9 3 : L’\u00e9quipe d’audit qui bascule au troisi\u00e8me trimestre<\/h2>\n
Trois leviers concrets pour les prochains 90 jours<\/h2>\n
\n
Foire aux questions<\/h2>\n
Toutes les banques cibl\u00e9es par DORA sont-elles aussi destinataires de NIS2 ?<\/h3>\n
Quelle diff\u00e9rence y a-t-il entre un test TLPT DORA et un test classique de type Red Team ?<\/h3>\n
Quel r\u00f4le joue la BaFin pour les banques allemandes lors de l\u2019audit DORA ?<\/h3>\n
Comment r\u00e9agissent les fournisseurs cloud d\u00e9sign\u00e9s CTPP face \u00e0 la surveillance ?<\/h3>\n
\u00c0 quel moment faut-il envisager de d\u00e9coupler un programme consolid\u00e9 ?<\/h3>\n
Conseils de lecture de la r\u00e9daction<\/h2>\n
\n
\n