Directive NIS2 et secteur banque : guide des obligations 2026
Tout ce que les acteurs du secteur bancaire doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur banque dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI (Agence nationale de la sécurité des systèmes d'information) |
Périmètre et entités concernees
Le secteur bancaire est classe en Annexe I de la directive NIS2. Les établissements de credit au sens du reglement CRR (Capital Requirements Regulation) sont directement concernes. En France, cela représente plus de 350 établissements, des grands groupes internationaux (BNP Paribas, Société Générale, Credit Agricole, BPCE) aux banques cooperatives et établissements specialises.
Le périmètre couvre les banques de depot, les banques d'investissement, les banques cooperatives et mutualistes, les établissements de credit specialises, les succursales d'établissements de credit de pays tiers, et les établissements de monnaie electronique. La directive NIS2 s'articule etroitement avec le reglement DORA (Digital Opérational Résilience Act) qui impose des exigences spécifiques de résilience numerique au secteur financier. Le secteur bancaire français représente plus de 400 000 emplois directs et gere plus de 8 000 milliards d'euros d'actifs.
Acteurs concernes en France
Les établissements de credit identifies par l'ACPR, les banques centrales nationales participant au SEBC, les prestataires de services de paiement, les établissements de monnaie electronique, et les sociétés de financement. Les groupes bancaires sont concernes au niveau consolide, chaque filiale disposant du statut d'établissement de credit devant se conformer individuellement. Les principaux acteurs en France sont BNP Paribas, Credit Agricole, Société Générale, BPCE, Credit Mutuel et La Banque Postale.
Menaces cyber spécifiques au secteur banque
Le secteur bancaire est une cible privilegiee pour les cybercriminels en raison de l'attrait financier direct. Les attaques par rancongiciel visent a paralyser les systèmes et a extorquer des fonds. Les fraudes aux virements SWIFT, comme l'attaque de la Banque centrale du Bangladesh en 2016 (81 millions de dollars detournes), illustrent les risques systemiques. Le phishing cible et l'ingenierie sociale restent les vecteurs d'intrusion les plus courants. Les attaques DDoS peuvent perturber les services bancaires en ligne et les systèmes de paiement. L'emergence des fintechs et de l'open banking (DSP2) elargit la surface d'attaque via les API ouvertes.
Obligations NIS2 pour le secteur banque
Les entités du secteur banque sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. La responsabilité personnelle des dirigeants peut être engagee.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement, de chiffrement et de contrôle d'accès. Consultez notre page obligations NIS2 pour le detail des 10 mesures de l'article 21.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Pour comprendre le texte complet, consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI, avec fourniture d'informations sur l'entité, ses activités et ses coordonnees de contact.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur banque à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : pour les entités essentielles, suspension temporaire d'une certification ou d'une autorisation, voire interdiction temporaire d'exercer des fonctions de direction.
- Publication des decisions : les sanctions peuvent être rendues publiques (name and shame).
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Le secteur bancaire beneficie d'un cadre reglementaire déjà dense. Le reglement DORA (UE 2022/2554) constitue la lex specialis pour la résilience numerique du secteur financier, s'articulant avec NIS2. L'ACPR et la BCE assurent la supervision prudentielle. Les orientations de l'EBA sur la gestion des risques TIC completent le dispositif. Le ReCyF s'applique en complement de DORA pour les aspects non couverts. La loi Résilience (juillet 2026) précisera l'articulation entre NIS2 et DORA dans le droit français. Les établissements doivent maintenir un registre d'informations sur les prestataires TIC critiques (article 28 DORA).
Étapes de mise en conformité
Pour les acteurs du secteur banque, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2 selon les critères de taille (plus de 50 salariés ou plus de 10 millions d'euros de CA) et de secteur. Utilisez notre page mise en conformité NIS2 pour évaluer votre situation.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport aux exigences du ReCyF (Gouvernance, Protection, Défense, Résilience).
- Plan d'action : prioriser les mesures de remediation en fonction des écarts identifies et des risques spécifiques à votre activité.
- Implementation : déployér les mesures techniques et organisationnelles, former les dirigeants et les équipes, mettre en place les processus de notification d'incidents.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2 des que la plateforme le permet pour votre catégorie d'entité.
- Amelioration continue : maintenir le niveau de conformité par des audits reguliers, des exercices de crise et une veille reglementaire active.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur banque est concernee par NIS2 et identifiez les actions prioritaires a mettre en place.
Évaluer ma conformité NIS2