Directive NIS2 et secteur marches financiers : guide des obligations 2026
Tout ce que les acteurs des marches financiers doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur marches financiers dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI (Agence nationale de la sécurité des systèmes d'information) |
Périmètre et entités concernees
Les infrastructures des marches financiers sont classees en Annexe I de la directive NIS2, reconnaissant leur rôle systemique dans l'economie europeenne. Ce secteur couvre les plateformes de negociation, les contreparties centrales, les depositaires centraux de titres et les chambres de compensation.
En France, les entités principales sont Euronext Paris (bourse de Paris), LCH SA (chambre de compensation), Euroclear France (depositaire central), les systèmes multilateraux de negociation (MTF) et les internalisateurs systematiques. Le périmètre inclut egalement les prestataires de services de communication de donnees et les administrateurs d'indices de référence critiques. Ces infrastructures traitent quotidiennement des milliards d'euros de transactions et constituent le coeur du système financier europeen.
Acteurs concernes en France
Les opérateurs de marches reglementes (Euronext), les contreparties centrales agreees par l'ESMA, les depositaires centraux de titres (Euroclear France), les systèmes de reglement-livraison, les chambres de compensation, les prestataires de services de communication de donnees, et les administrateurs d'indices de référence. L'AMF et l'ACPR assurent la supervision en coordination avec l'ANSSI pour les aspects cybersécurité.
Menaces cyber spécifiques au secteur marches financiers
Les infrastructures de marches financiers sont des cibles strategiques dont la compromission pourrait provoquer une crise systemique. Les attaques visant la disponibilité des plateformes de negociation (DDoS massifs) peuvent causer des pertes financières considerables et eroder la confiance des investisseurs. La manipulation de donnees de marche via intrusion informatique constitue un risque de fraude a grande echelle. Les attaques sur les systèmes de compensation et de reglement-livraison pourraient bloquer le fonctionnement normal des marches. L'interconnexion croissanté des infrastructures europeennes (TARGET2-Securities, T2) amplifie les risques de contagion cyber entre places financières.
Obligations NIS2 pour le secteur marches financiers
Les entités du secteur marches financiers sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. La responsabilité personnelle des dirigeants peut être engagee.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement, de chiffrement et de contrôle d'accès. Consultez notre page obligations NIS2 pour le detail des 10 mesures de l'article 21.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Pour comprendre le texte complet, consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur marches financiers à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : suspension temporaire d'une certification ou d'une autorisation, voire interdiction temporaire d'exercer des fonctions de direction.
- Publication des decisions : les sanctions peuvent être rendues publiques (name and shame).
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Les marches financiers sont couverts par le reglement DORA qui constitue la lex specialis. Les exigences CSDR (pour les depositaires centraux), EMIR (pour les contreparties centrales) et MiFID II/MiFIR (pour les plateformes de negociation) s'appliquent en parallele. Le ReCyF de l'ANSSI complete le cadre pour les aspects non couverts par DORA. Les tests de penetration bases sur la menace (TLPT) exiges par DORA s'appliquent aux infrastructures les plus critiques. La coordination entre l'AMF, l'ACPR, la Banque de France et l'ANSSI est formalisee dans la loi Résilience.
Étapes de mise en conformité
Pour les acteurs du secteur marches financiers, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2 selon les critères de taille et de secteur. Utilisez notre page mise en conformité NIS2 pour évaluer votre situation.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport aux exigences du ReCyF (Gouvernance, Protection, Défense, Résilience).
- Plan d'action : prioriser les mesures de remediation en fonction des écarts identifies et des risques spécifiques à votre activité.
- Implementation : déployér les mesures techniques et organisationnelles, former les dirigeants et les équipes, mettre en place les processus de notification d'incidents.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2 des que la plateforme le permet pour votre catégorie d'entité.
- Amelioration continue : maintenir le niveau de conformité par des audits reguliers, des exercices de crise et une veille reglementaire active.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur marches financiers est concernee par NIS2 et identifiez les actions prioritaires a mettre en place.
Évaluer ma conformité NIS2