Bareme et responsabilités

Sanctions NIS2 : ce que risquent les entreprises non conformes

La directive NIS2 introduit un regime de sanctions inspire du RGPD : amendes pouvant atteindre 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial, pouvoirs d'injonction de l'autorite et responsabilité personnelle des dirigeants. Décryptage.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.

Le bareme des amendes administratives

L'article 34 de la directive NIS2 fixe deux baremes distincts selon le statut de l'entité. L'autorite competente retient toujours le montant le plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires.

Statut	Plafond fixe	Pourcentage CA mondial
Entité essentielle	10 millions d'euros	2 pourcent
Entité importante	7 millions d'euros	1,4 pourcent

Le chiffre d'affaires retenu est celui de l'exercice precedent au niveau du groupe consolide. Pour une grande entreprise multinationale, ce montant peut donc largement dépassér le plafond fixe. Une société realisant 1 milliard d'euros de CA s'expose à une amende potentielle de 20 millions d'euros (2 pourcent), bien au-dela des 10 millions d'euros plafond.

Comparaison avec le RGPD

Le bareme NIS2 est calque sur celui du RGPD (4 pourcent du CA mondial pour les violations majeures). Les deux regimes peuvent se cumuler : un incident qui expose des donnees personnelles ET interrompt un service essentiel peut conduire à une double sanction RGPD et NIS2.

Les autres sanctions et mesures correctives

L'amende n'est qu'un volet du dispositif. L'autorite competente (en France, l'ANSSI) dispose d'une boite a outils etendue :

Injonction de mise en conformité : ordre formel de prendre des mesures correctives dans un délai imparti.
Astreintes : penalites journalieres en cas de non-execution d'une injonction.
Suspension de certifications : retrait temporaire d'autorisations ou d'agrements lies a l'activité.
Rendre publique la sanction : nom de l'entité, nature du manquement, montant de l'amende. Effet reputationnel majeur.
Interdiction temporaire d'exercer : pour les dirigeants en cas de manquement grave aux obligations de gouvernance.

La responsabilité personnelle des dirigeants

C'est l'une des innovations les plus marquantes de NIS2. L'article 20 impose aux organes de direction d'approuver et superviser les mesures de gestion des risques cyber, et l'article 32 permet a l'autorite de tenir personnellement responsables les dirigeants qui n'ont pas rempli ces obligations.

Concretement, en cas d'incident majeur lie à une defaillance de gouvernance, l'autorite peut :

Imposer au dirigeant une formation cyber complémentaire.
Le suspendre temporairement de ses fonctions de direction au sein de l'entité concernee.
Engager sa responsabilité financière via les mecanismes du droit national.

Cette disposition cree un nouveau risque juridique pour les dirigeants, qui doivent desormais documenter leur implication dans les decisions de cybersécurité (proces-verbaux de comites, validations formelles des politiques, suivi des indicateurs).

Les critères de calcul de l'amende

L'autorite ne fixe pas l'amende au plafond automatiquement. Elle prend en compte plusieurs critères pour proportionner la sanction :

Gravite et durée de l'infraction.
Caractere intentionnel ou negligent du manquement.
Mesures prises par l'entité pour prévenir ou attenuer l'incident.
Coopération avec l'autorite competente.
Anteriorite de manquements similaires.
Impact financier et social du manquement (pertes pour les utilisateurs, atteinte à la sécurité nationale).

Premières sanctions en Europe

Plusieurs États membres ayant transpose plus rapidement (Belgique, Croatie, Lituanie) ont déjà prononce les premières sanctions NIS2. Les montants restent modestes a ce stade (de quelques dizaines de milliers a quelques centaines de milliers d'euros) mais la pratique va se durcir au fil de la maturation du dispositif. La Commission europeenne suit ces premières decisions de pres pour harmoniser l'interprétation entre États membres.

Comment se proteger ?

La meilleure protection contre les sanctions NIS2 reste la conformité proactive. Une entité qui peut demontrer qu'elle a mis en place les mesures de l'article 21, qu'elle dispose d'une gouvernance documentee et qu'elle a notifie l'incident dans les délais beneficiera de circonstances attenuantes significatives, voire d'une absence de sanction.

Pour engager votre démarche, consultez notre guide mise en conformité NIS2, et pour comprendre l'ensemble du dispositif notre guide complet de la directive.