Bareme et responsabilites

Sanctions NIS2 : ce que risquent les entreprises non conformes

La directive NIS2 introduit un regime de sanctions inspire du RGPD : amendes pouvant atteindre 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial, pouvoirs d'injonction de l'autorite et responsabilite personnelle des dirigeants. Decryptage.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.

Le bareme des amendes administratives

L'article 34 de la directive NIS2 fixe deux baremes distincts selon le statut de l'entite. L'autorite competente retient toujours le montant le plus eleve entre le plafond fixe et le pourcentage du chiffre d'affaires.

Statut	Plafond fixe	Pourcentage CA mondial
Entite essentielle	10 millions d'euros	2 pourcent
Entite importante	7 millions d'euros	1,4 pourcent

Le chiffre d'affaires retenu est celui de l'exercice precedent au niveau du groupe consolide. Pour une grande entreprise multinationale, ce montant peut donc largement depasser le plafond fixe. Une societe realisant 1 milliard d'euros de CA s'expose a une amende potentielle de 20 millions d'euros (2 pourcent), bien au-dela des 10 millions d'euros plafond.

Comparaison avec le RGPD

Le bareme NIS2 est calque sur celui du RGPD (4 pourcent du CA mondial pour les violations majeures). Les deux regimes peuvent se cumuler : un incident qui expose des donnees personnelles ET interrompt un service essentiel peut conduire a une double sanction RGPD et NIS2.

Les autres sanctions et mesures correctives

L'amende n'est qu'un volet du dispositif. L'autorite competente (en France, l'ANSSI) dispose d'une boite a outils etendue :

Injonction de mise en conformite : ordre formel de prendre des mesures correctives dans un delai imparti.
Astreintes : penalites journalieres en cas de non-execution d'une injonction.
Suspension de certifications : retrait temporaire d'autorisations ou d'agrements lies a l'activite.
Rendre publique la sanction : nom de l'entite, nature du manquement, montant de l'amende. Effet reputationnel majeur.
Interdiction temporaire d'exercer : pour les dirigeants en cas de manquement grave aux obligations de gouvernance.

La responsabilite personnelle des dirigeants

C'est l'une des innovations les plus marquantes de NIS2. L'article 20 impose aux organes de direction d'approuver et superviser les mesures de gestion des risques cyber, et l'article 32 permet a l'autorite de tenir personnellement responsables les dirigeants qui n'ont pas rempli ces obligations.

Concretement, en cas d'incident majeur lie a une defaillance de gouvernance, l'autorite peut :

Imposer au dirigeant une formation cyber complementaire.
Le suspendre temporairement de ses fonctions de direction au sein de l'entite concernee.
Engager sa responsabilite financiere via les mecanismes du droit national.

Cette disposition cree un nouveau risque juridique pour les dirigeants, qui doivent desormais documenter leur implication dans les decisions de cybersecurite (proces-verbaux de comites, validations formelles des politiques, suivi des indicateurs).

Les criteres de calcul de l'amende

L'autorite ne fixe pas l'amende au plafond automatiquement. Elle prend en compte plusieurs criteres pour proportionner la sanction :

Gravite et duree de l'infraction.
Caractere intentionnel ou negligent du manquement.
Mesures prises par l'entite pour prevenir ou attenuer l'incident.
Cooperation avec l'autorite competente.
Anteriorite de manquements similaires.
Impact financier et social du manquement (pertes pour les utilisateurs, atteinte a la securite nationale).

Premieres sanctions en Europe

Plusieurs Etats membres ayant transpose plus rapidement (Belgique, Croatie, Lituanie) ont deja prononce les premieres sanctions NIS2. Les montants restent modestes a ce stade (de quelques dizaines de milliers a quelques centaines de milliers d'euros) mais la pratique va se durcir au fil de la maturation du dispositif. La Commission europeenne suit ces premieres decisions de pres pour harmoniser l'interpretation entre Etats membres.

Comment se proteger ?

La meilleure protection contre les sanctions NIS2 reste la conformite proactive. Une entite qui peut demontrer qu'elle a mis en place les mesures de l'article 21, qu'elle dispose d'une gouvernance documentee et qu'elle a notifie l'incident dans les delais beneficiera de circonstances attenuantes significatives, voire d'une absence de sanction.

Pour engager votre demarche, consultez notre guide mise en conformite NIS2, et pour comprendre l'ensemble du dispositif notre guide complet de la directive.