Les institutions financières doivent naviguer entre AI Act, DORA et NIS2 avec des obligations et des calendriers qui se chevauchent. Ce guide cartographie les intersections : où les obligations se recoupent, où elles divergent, et comment réaliser un double mapping documentaire pour réduire la charge de conformité.

Trois règlements, un seul programme de conformité

Les organisations financières dans l'UE font face à l'AI Act, DORA et NIS2 — trois règlements conçus indépendamment mais qui se chevauchent substantiellement dans le contexte des systèmes IA utilisés dans les services financiers. Les gérer séparément crée une documentation redondante, une gouvernance incohérente et un coût inutile.

Ce guide cartographie les chevauchements et montre où un seul effort de conformité peut satisfaire plusieurs règlements simultanément.

Comparaison des calendriers

Règlement Échéance clé Statut
NIS2 Octobre 2024 En vigueur
DORA 17 janvier 2025 En vigueur
AI Act — Pratiques interdites 2 février 2025 En vigueur
AI Act — Règles GPAI 2 août 2025 En vigueur
AI Act — Annexe III autonomes 2 décembre 2027 À venir
AI Act — Annexe I embarquée 2 août 2028 À venir

Chevauchements AI Act et DORA

Gestion des risques

Art. 9 AI Act exige un système de gestion des risques pour les IA à haut risque couvrant l'identification, l'estimation, l'évaluation et l'atténuation des risques tout au long du cycle de vie.

Art. 5–16 DORA exige un cadre de gestion des risques TIC couvrant l'identification, la protection, la détection, la réponse et la récupération face aux risques TIC.

Chevauchement : Les deux s'appliquent aux systèmes IA des services financiers. Un seul registre des risques et processus de gouvernance peut satisfaire les deux, à condition de couvrir les dimensions de risque spécifiques à l'IA requises par l'Art. 9 (exactitude, robustesse, biais, droits fondamentaux) en plus des catégories de risque TIC DORA.

Approche double mapping : Étendre votre registre des risques TIC DORA pour inclure les dimensions de risque spécifiques à l'IA. Documenter l'évaluation combinée comme satisfaisant à la fois l'Art. 9 et l'Art. 5–16 DORA.

Déclaration d'incidents

Art. 73 AI Act exige que les fournisseurs d'IA à haut risque signalent les incidents graves aux autorités de surveillance du marché sans délai injustifié.

Art. 19–23 DORA exige que les entités financières signalent les incidents TIC majeurs aux autorités compétentes dans des délais stricts (initial : 4 heures ; intermédiaire : 72 heures ; final : 1 mois).

Chevauchement : Un incident TIC causé par ou impliquant un système IA à haut risque peut déclencher simultanément les deux obligations de déclaration.

Risques tiers et supply chain

Procurement IA : La due diligence des achats de systèmes IA utilisés par les entités financières doit satisfaire à la fois : l'évaluation des risques TIC tiers DORA et les exigences contractuelles, ET la vérification de la conformité AI Act (évaluation de conformité et marquage CE du fournisseur).

Approche de double mapping recommandée

  1. Inventaire IA unique — cataloguer tous les systèmes IA, en les mappant sur le niveau de risque AI Act ET l'applicabilité DORA/NIS2
  2. Registre des risques combiné — étendre le registre des risques TIC pour inclure les dimensions spécifiques à l'IA
  3. Réponse aux incidents unifiée — procédure unique avec évaluation à double seuil pour les déclarations AI Act + DORA/NIS2
  4. Modèle tiers partagé — due diligence TIC DORA + vérification conformité AI Act en un seul questionnaire fournisseur
  5. SMQ commun — concevoir le SMQ AI Act (Art. 17) comme une extension du cadre de gouvernance DORA

Pour les détails DORA, voir notre site jumeau regulation-dora.eu.

Calendrier officiel de conformité AI Act

Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation S'applique à Date initiale Nouvelle date Statut Compte à rebours Base légale
Pratiques interdites (Art. 5) Tous les fournisseurs et déployeurs active AI Act Art. 5
Règles GPAI (chap. 5) Fournisseurs de modèles GPAI active AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes) Fournisseurs systèmes autonomes Annexe III deferred Omnibus AI 2026, Art. 6(2)
IA à haut risque — Annexe I (embarquée) Systèmes embarqués dans produits réglementés Annexe I deferred Omnibus AI 2026, Art. 6(1)
Marquage contenu IA (transparence) Fournisseurs systèmes GPAI génératifs active AI Act Art. 50(2)
Bacs à sable réglementaires Autorités nationales compétentes active AI Act Art. 57

Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Oui — de façon significative. Le système de gestion des risques AI Act (Art. 9) pour les IA à haut risque chevauche le cadre de gestion des risques TIC de DORA (Art. 5–16) pour les systèmes TIC. Les systèmes IA utilisés dans les services financiers qualifiés comme haut risque en Annexe III sont soumis aux deux. Le double mapping est possible : un seul SMQ peut satisfaire les exigences de gestion des risques des deux règlements.

DORA n'exempte pas les IA. Tout système TIC — y compris l'IA — faisant partie de l'infrastructure TIC d'une entité financière est soumis aux exigences de résilience opérationnelle de DORA. La déclaration d'incidents DORA (Art. 19–23), la gestion des risques TIC tiers (Art. 28–44) et les tests de résilience (Art. 25–27) s'appliquent tous aux systèmes TIC pilotés par IA.

Ni l'un ni l'autre ne prévaut ; les deux s'appliquent simultanément. L'AI Act est un règlement sur les produits (régissant le système IA) ; DORA est un règlement sur la résilience opérationnelle (régissant l'environnement TIC de l'entité financière). Un IA de scoring de crédit utilisée par une banque doit se conformer aux deux.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.