Sanctions NIS2 : quels risques concrets pour votre entreprise ?
Les sanctions NIS2 peuvent atteindre 10 millions d'euros ou 2% du CA mondial. Mais au-dela des chiffres, quels sont les risques concrets ? Comparaison avec les amendes RGPD et facteurs d'appreciation.
Le bareme rappele
| Statut | Plafond fixe | Plafond proportionnel |
|---|---|---|
| Entité essentielle | 10 millions d'euros | 2% du CA mondial |
| Entité importante | 7 millions d'euros | 1,4% du CA mondial |
Comparaison avec le RGPD
Le RGPD a déjà sanctionne lourdement en France : Amazon (746 millions), Google (150 millions), Criteo (40 millions). NIS2 suit le même modele avec des plafonds legerement inferieurs mais un périmètre plus large. Les deux regimes peuvent se cumuler : un incident qui compromet des donnees personnelles ET interrompt un service essentiel peut declencher une double sanction.
Les facteurs aggravants et attenuants
L'autorite prend en compte :
- Aggravants : absence de mesures documentees, négligence manifeste, non-coopération, recidive, absence de formation des dirigeants
- Attenuants : programme de conformité documente, coopération active avec l'autorite, notification rapide, mesures correctives immédiates, certification ISO 27001
Au-dela de l'amende
Les sanctions les plus redoutees ne sont pas financières :
- Publication de la sanction : impact reputationnel majeur aupres des clients et partenaires
- Suspension de certifications : impossibilite d'exercer certaines activités
- Écart temporaire des dirigeants : le dirigeant peut être suspendu de ses fonctions
- Hausse des primes d'assurance cyber : les assureurs intégrént la conformité NIS2 dans leur tarification
Voir le detail du bareme sur la page sanctions NIS2, et les responsabilités des dirigeants. Pour éviter les sanctions, consultez le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, articles 32-34
- CNIL, decisions publiques 2023-2025