Sanctions NIS2 : que risque une entreprise non conforme en France ?
La directive NIS2 introduit un régime de sanctions parmi les plus sévères jamais appliqués en matière de cybersécurité en Europe. Pour les entreprises françaises concernées, la non-conformité peut coûter jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Mais au-delà des amendes, c'est la responsabilité personnelle des dirigeants qui est engagée. Tour d'horizon complet des risques.
Les montants des sanctions NIS2
La directive NIS2 (article 34) distingue deux catégories d'entités avec des plafonds de sanctions différents :
| Catégorie | Amende maximale | Plafond CA |
|---|---|---|
| Entités essentielles (EE) | 10 000 000 € | 2 % du CA mondial |
| Entités importantes (EI) | 7 000 000 € | 1,4 % du CA mondial |
La sanction s'applique au montant le plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires. Une ETI avec 50 millions d'euros de CA classée entité essentielle peut donc se voir infliger jusqu'à 1 million d'euros d'amende (2 % × 50 M€), ou jusqu'à 10 millions si le CA mondial est supérieur à 500 millions d'euros.
Important : sanctions cumulables avec le RGPD
Un incident de sécurité impliquant des données personnelles peut déclencher simultanément une amende NIS2 et une amende RGPD (jusqu'à 4 % du CA ou 20 M€). Les deux régimes sont distincts et cumulables.
Quelles entreprises sont concernées ?
NIS2 élargit considérablement le périmètre de NIS1 en passant de quelques centaines d'entités à plusieurs milliers. En France, l'ANSSI estime à plus de 15 000 entités concernées. Vous êtes potentiellement concerné si :
Entités essentielles (EE)
Énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace. Plus de 250 salariés OU plus de 50 M€ de CA et 43 M€ de bilan.
Entités importantes (EI)
Services postaux, gestion des déchets, produits chimiques, denrées alimentaires, fabrication (dispositifs médicaux, informatique, électronique, machines, automobiles), fournisseurs numériques, recherche. Entre 50 et 250 salariés OU entre 10 et 50 M€ de CA.
Sous-traitants de grands comptes
Même en dessous des seuils, les PME sous-traitantes d'une entité NIS2 peuvent être contractuellement soumises aux mêmes exigences de sécurité via les clauses de leur donneur d'ordre.
Quels manquements sont sanctionnés ?
NIS2 (article 21) liste les mesures de gestion du risque dont l'absence ou l'insuffisance constitue un manquement sanctionnable :
La responsabilité personnelle des dirigeants
L'une des grandes nouveautés de NIS2 est la responsabilité personnelle des dirigeants. L'article 20 impose aux organes de direction d'approuver les mesures de gestion des risques cyber et de superviser leur mise en œuvre. En cas de manquement grave, les États membres peuvent imposer :
- Une interdiction temporaire d'exercer des fonctions de direction pour les dirigeants responsables
- Une déclaration publique identifiant la personne responsable et le manquement commis
- Des sanctions pécuniaires personnelles en complément des amendes frappant l'entité
- Une obligation de formation en cybersécurité pour les dirigeants
Cette disposition change radicalement la donne : la cybersécurité n'est plus seulement un sujet technique — c'est une responsabilité juridique personnelle du PDG, DG ou gérant. La délégation à un RSSI ne suffit pas ; les dirigeants doivent démontrer qu'ils ont personnellement supervisé et validé les mesures de sécurité.
Plan d'action pour éviter les sanctions
Déterminer si vous êtes concerné
Vérifiez votre secteur, votre taille et votre CA par rapport aux seuils NIS2. En cas de doute, consultez l'ANSSI ou un prestataire qualifié. Ne pas s'enregistrer quand on y est obligé est en soi un manquement sanctionnable.
S'enregistrer auprès de l'ANSSI
NIS2 impose une auto-déclaration à l'autorité nationale compétente. En France, le portail de notification ANSSI permet cet enregistrement. Délai : dans les mois suivant la transposition, attendue fin 2024 / début 2025.
Réaliser un audit de conformité NIS2
Faites évaluer l'écart entre votre posture actuelle et les exigences NIS2 par un prestataire qualifié PASSI. Cet audit produira une feuille de route priorisée. Prévoir 5 000 à 15 000 € selon la taille de l'entité.
Mettre en place la gouvernance
Validez formellement une PSSI en conseil d'administration ou COMEX. Nommez un RSSI (interne ou externalisé). Documentez la supervision par les dirigeants via des comptes rendus de réunion mentionnant les décisions cyber.
Mettre en œuvre les mesures techniques
Priorisez MFA, EDR, sauvegardes immuables, chiffrement des données sensibles, segmentation réseau et gestion des correctifs. Ces mesures constituent le socle minimal attendu par les autorités de contrôle.
Préparer la notification d'incidents
NIS2 impose une alerte préliminaire sous 24h, une notification sous 72h et un rapport final sous 1 mois. Rédigez des procédures internes de gestion et notification d'incidents avant qu'un incident ne survienne.
Évaluez votre conformité NIS2 gratuitement
Nos experts réalisent un diagnostic NIS2 initial gratuit pour identifier si votre entreprise est concernée et évaluer vos principaux écarts de conformité.
Demander un diagnostic NIS2 gratuit