DORA et NIS2 : impact sur les dispositifs KYC en 2026

Le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act, le texte européen sur la résilience numérique du secteur financier) est devenu directement applicable dans toute l'Union européenne. La directive NIS2 (Network and Information Security 2, le cadre européen de cybersécurité), transposée en France fin 2024, l'a complétée pour les opérateurs essentiels. Pour les dispositifs KYC (Know Your Customer, vérification d'identité client) et leurs fournisseurs eIDV (vérification d'identité électronique), ces deux textes posent une question simple : votre chaîne d'identification numérique est-elle résiliente face à une cyberattaque, et savez-vous le prouver ? L'enjeu n'est pas symbolique. Les sanctions DORA peuvent atteindre 1 % du chiffre d'affaires mondial, NIS2 prévoit jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour les entités essentielles. Les premiers contrôles ACPR/ANSSI sur la résilience des chaînes TIC ont démarré au premier trimestre 2026. Nous vous proposons ici une lecture claire de ce qui change, et de ce que vous devez vérifier dès maintenant.

DORA : la résilience opérationnelle numérique devient une obligation

Le règlement (UE) 2022/2554, dit DORA (Digital Operational Resilience Act, soit le règlement européen sur la résilience opérationnelle numérique du secteur financier), publié au JOUE le 27 décembre 2022, est applicable depuis le 17 janvier 2025. Il impose à toutes les entités financières réglementées (banques, fintech, assureurs, gestionnaires d'actifs, PSCA crypto, etc.) un cadre uniforme de résilience opérationnelle numérique, c'est-à-dire la capacité à continuer d'opérer en cas de cyberattaque ou de panne TIC majeure.

Le périmètre couvert par DORA est large. Il vise non seulement les entités financières elles-mêmes mais aussi leurs fournisseurs TIC tiers critiques (les prestataires informatiques et télécoms dont la défaillance perturberait gravement les services financiers). Un fournisseur eIDV (vérification d'identité électronique) intégré au parcours KYC d'une banque ou d'une fintech peut, à ce titre, être qualifié de fournisseur tiers critique au sens de l'article 28 de DORA.

::: callout-info En bref

  • Règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025
  • Sanctions : jusqu'à 1 % du CA mondial quotidien pour les fournisseurs critiques
  • 5 piliers : gestion des risques TIC, signalement, tests, gestion des tiers, partage d'information
  • TLPT (Threat-Led Penetration Testing, tests d'intrusion guidés par les menaces réelles) : obligatoires pour les entités systémiques
  • Supervision directe EBA pour les fournisseurs critiques désignés

:::

DORA structure ses obligations autour de cinq piliers cohérents.

1. Cadre de gestion des risques TIC : politique formalisée, identification des actifs critiques, tests réguliers, plans de continuité. La cartographie des dépendances doit inclure tous les fournisseurs eIDV intégrés au dispositif KYC.

2. Signalement des incidents : obligation de notification dans des délais stricts (24 heures pour la première classification, 72 heures pour le rapport intermédiaire, 1 mois pour le rapport final) en cas d'incident majeur. La position EBA publiée en mars 2025 a précisé les seuils de classification.

3. Tests de résilience : tests réguliers pour toutes les entités. Les tests TLPT (tests d'intrusion réalistes) sont obligatoires pour les entités systémiques tous les trois ans, avec implication potentielle des fournisseurs critiques.

4. Gestion des risques liés aux tiers : registre obligatoire des fournisseurs TIC, clauses contractuelles minimales (article 30 DORA), évaluation préalable du risque, stratégies de sortie.

5. Partage d'information sur les cybermenaces : encouragement au partage d'information entre entités financières. Pas obligatoire mais incité.

NIS2 : la cybersécurité élargie aux fintech et fournisseurs critiques

La directive (UE) 2022/2555 dite NIS2 (Network and Information Security 2, le cadre européen de cybersécurité de deuxième génération) a remplacé la directive NIS1. Elle élargit le périmètre des entités soumises à des obligations de cybersécurité et durcit les sanctions.

En France, la transposition s'est opérée par la loi du 30 octobre 2024 (loi n° 2024-947) et ses décrets d'application publiés au cours du premier trimestre 2025. L'ANSSI est l'autorité compétente pour la supervision et le contrôle.

NIS2 distingue deux catégories d'entités assujetties.

Les entités essentielles comprennent les banques, les infrastructures de marché financier, les opérateurs de services numériques d'envergure (cloud, datacenter, DNS), les fournisseurs de services de confiance qualifiés au sens d'eIDAS (la signature et l'identité électronique reconnues au niveau européen), ainsi que les opérateurs de plateformes en ligne. Une fintech ou un fournisseur eIDV atteignant les seuils (250 salariés ou 50 M€ de CA) entre dans ce périmètre.

Les entités importantes couvrent un périmètre plus large : opérateurs intermédiaires, sous-traitants TIC, chaînes d'approvisionnement numérique. Les seuils sont plus accessibles.

NIS2 impose un socle d'obligations cohérent avec DORA mais élargi :

  • Gestion des risques cyber documentée, sous responsabilité directe du dirigeant
  • Reporting d'incidents : alerte précoce sous 24 heures, rapport sous 72 heures, rapport final sous 1 mois
  • Mesures techniques : authentification forte (MFA), chiffrement, gestion des accès, sauvegardes, formation
  • Surveillance des chaînes d'approvisionnement : évaluation des sous-traitants TIC critiques
  • Responsabilité personnelle des dirigeants : sanctions individuelles possibles

::: callout-info Sanctions NIS2 et DORA : ce qui se cumule

  • NIS2 entité essentielle : jusqu'à 10 M€ ou 2 % du CA mondial
  • NIS2 entité importante : jusqu'à 7 M€ ou 1,4 % du CA mondial
  • DORA fournisseur critique : 1 % du CA mondial quotidien (manquements graves)
  • Cumul possible avec les sanctions ACPR au titre des règles de lutte contre le blanchiment (10 % du CA) et CNIL au titre du RGPD (4 % du CA)

:::

Conséquences pour les fournisseurs eIDV intégrés à un parcours KYC

L'articulation DORA/NIS2 crée une redéfinition complète du contrat entre un assujetti aux règles de lutte contre le blanchiment (LCB-FT) et son fournisseur eIDV. Trois conséquences immédiates.

Un fournisseur eIDV dont la défaillance interromprait l'onboarding clients (l'entrée en relation et l'ouverture de comptes) d'une banque, d'une fintech ou d'un assureur peut être qualifié de fournisseur TIC tiers critique au sens de DORA. La désignation est faite par l'EBA, sur proposition des autorités nationales, après une analyse de criticité : nombre d'entités financières dépendantes, concentration de marché, possibilité de substitution.

À fin 2025, l'EBA n'avait pas encore publié la liste définitive des fournisseurs critiques désignés. Les premières désignations sont attendues au cours du second semestre 2026.

L'article 30 de DORA fixe les clauses minimales obligatoires dans tout contrat avec un fournisseur TIC critique :

  • Description précise des services fournis et niveaux de service (SLA, c'est-à-dire les engagements de qualité et de disponibilité)
  • Localisation des données et des serveurs (clauses de souveraineté)
  • Droit d'audit élargi pour l'entité financière et le superviseur (ACPR, EBA)
  • Obligations de signalement des incidents alignées sur les obligations de l'entité financière
  • Stratégie de sortie documentée avec coopération du fournisseur
  • Engagement de coopération aux tests TLPT
  • Clauses sur la continuité d'activité et les délais de reprise et de perte maximale de données (RTO/RPO)

Tous les contrats existants doivent être mis en conformité d'ici 2026.

Les tests TLPT organisés par les entités financières systémiques peuvent inclure le fournisseur eIDV. Cela suppose :

  • Capacité à isoler un environnement de test représentatif de la production
  • Protocoles d'incident simulés sans interruption de service réel
  • Coopération avec les équipes red team (les attaquants éthiques mandatés pour simuler une cyberattaque réaliste) mandatées par l'entité financière
  • Documentation des résultats et des plans de remédiation

::: callout-info 5 obligations nouvelles pour un fournisseur eIDV en 2026

  • Cartographie complète des actifs et dépendances critiques
  • Clauses contractuelles alignées sur l'article 30 DORA
  • Reporting d'incidents sous 24h/72h harmonisé
  • Tests TLPT sur demande des entités financières clientes
  • Stratégie de sortie documentée et testée

:::

Calendrier de mise en conformité : obligations en vigueur et à venir

Le calendrier réglementaire combiné DORA/NIS2 articule des échéances proches.

DateÉchéanceTexte
17 octobre 2024Délai de transposition NIS2 (limite UE)Directive (UE) 2022/2555
30 octobre 2024Loi française de transposition NIS2Loi n° 2024-947
17 janvier 2025Application directe DORA dans tous les États membresRèglement (UE) 2022/2554
2025-2026Premières désignations fournisseurs critiques par l'EBADORA, art. 31
2025-2026Premiers contrôles ACPR/ANSSI sur la résilience TICDORA + NIS2
2026-2027Mise en conformité complète des contrats fournisseursDORA, art. 30
À partir de 2027Cycle régulier de tests TLPT pour les entités systémiquesDORA, art. 26

Position ACPR publiée dans son guide DORA de janvier 2025 : les contrôles porteront prioritairement sur trois axes : la cartographie des dépendances TIC, la qualité des contrats fournisseurs critiques, et la capacité de signalement d'incident sous 24 heures.

Cas pratiques : trois scénarios de bascule conformité

Une banque en ligne dépend d'un seul fournisseur eIDV pour son onboarding. Une indisponibilité de 4 heures pendant les heures de pointe interrompt plusieurs centaines d'ouvertures de comptes. Le contrat ne prévoit pas de fallback (solution de secours) automatique. Sous DORA, l'absence de stratégie multi-vendor (plusieurs fournisseurs pour éviter la dépendance à un seul) ou de plan de continuité est qualifiée de manquement à l'article 11 (gestion des risques TIC). Les sanctions ACPR potentielles s'ajoutent aux pertes commerciales.

Un sous-traitant cloud d'un fournisseur eIDV subit une fuite de données massive. Sous NIS2, l'obligation de signalement cascade du sous-traitant au fournisseur eIDV, puis à l'entité financière cliente, puis aux régulateurs (CNIL pour le RGPD, ACPR pour la prudentielle, ANSSI pour la cybersécurité). Le délai de 24 heures pour l'alerte précoce s'applique à chaque maillon.

Une grande banque organise un test TLPT incluant son fournisseur eIDV. Le fournisseur refuse, invoquant des contraintes opérationnelles. Sous DORA article 26, cette obstruction peut justifier une résiliation contractuelle de la part de l'entité financière, voire une intervention directe de l'EBA si le fournisseur est désigné comme critique.

Sur 12 mois après l'application de DORA, les premiers contentieux observés portent essentiellement sur la qualité des contrats existants avec les fournisseurs TIC. La majorité des contrats de 2020-2023 ne respecte pas les exigences de l'article 30.

Comment Euroleads se prépare et accompagne ses clients

Nous avons conçu notre dispositif eIDV pour répondre aux exigences DORA et NIS2 par construction. Trois axes structurent cette conformité, et nous les mettons à votre service :

  • Architecture résiliente multi-source : aucune dépendance critique unique. La convergence de 4 000 sources mondiales (transactionnelles, gouvernementales, télécoms) supprime le risque de point de défaillance unique lié à un seul fournisseur ou à une seule technologie.
  • Contrats clients alignés DORA : nos clauses contractuelles standard intègrent dès aujourd'hui les exigences de l'article 30 DORA, à savoir droits d'audit étendus, stratégies de sortie, signalement d'incidents 24h/72h, coopération aux tests TLPT.
  • Reporting harmonisé : interfaces de signalement compatibles avec les modèles standardisés EBA, ACPR et ANSSI, sans développement supplémentaire pour vos équipes.
Un fournisseur eIDV multi-source est intrinsèquement plus résilient qu'un fournisseur mono-source biométrique ou documentaire, car il n'existe pas de point d'attaque unique. C'est précisément ce socle que vous pouvez documenter face à un superviseur.

::: cta Auditer votre chaîne KYC face à DORA et NIS2 : nous le faisons en 10 jours. Discuter de votre projet :::

Questions fréquentes sur DORA, NIS2 et les dispositifs KYC

Mon fournisseur eIDV est-il automatiquement qualifié de fournisseur critique ? Non. La désignation est faite par l'EBA sur proposition des autorités nationales, après une analyse de criticité (nombre d'entités financières dépendantes, concentration de marché, substituabilité). À fin 2025, la liste n'était pas publique.

Quels délais de signalement d'incident s'appliquent ? 24 heures pour la première classification de l'incident, 72 heures pour le rapport intermédiaire, 1 mois pour le rapport final. Position EBA publiée en mars 2025.

Faut-il modifier les contrats fournisseurs eIDV existants ? Oui, systématiquement. L'article 30 DORA fixe des clauses minimales obligatoires qui ne figurent généralement pas dans les contrats antérieurs à 2024.

Les tests TLPT sont-ils obligatoires pour toutes les entités ? Non. Ils sont obligatoires pour les entités systémiques désignées (grandes banques, infrastructures de marché). Les autres entités peuvent y recourir volontairement. Cycle régulier minimum de 3 ans.

NIS2 et DORA peuvent-elles s'appliquer simultanément à mon entreprise ? Oui. Une fintech soumise à DORA peut aussi relever de NIS2 si elle dépasse les seuils d'entité essentielle. L'article 1.2 DORA articule les deux régimes : DORA prévaut sur les obligations spécifiquement couvertes, NIS2 s'applique sur le reste.

En synthèse : 12 mois pour transformer la chaîne TIC du KYC

DORA et NIS2 ne sont pas des textes cybersécurité parmi d'autres. Ils redéfinissent la responsabilité en chaîne des dispositifs KYC et de leurs fournisseurs eIDV. Anticiper, c'est gagner deux trimestres avant les premiers contrôles ACPR/ANSSI complets, et c'est aussi rendre votre dispositif immédiatement attractif pour les grandes banques et fintechs qui exigent désormais des fournisseurs alignés DORA dès le premier appel d'offres. La concurrence entre fournisseurs eIDV se joue aujourd'hui autant sur la résilience prouvée que sur le taux d'acceptation.

Pour aller plus loin, consultez notre pilier de conformité KYC/eIDV France, notre pilier KYC, notre pilier eIDV, notre article comment mettre en place un dispositif KYC et notre comparatif KYC vs eIDV. Pour un échange direct, contactez nos experts.