Comprendre NIS2 · Risques

Sanctions NIS2 : ce que risque réellement votre entreprise

Trois niveaux de risque : les amendes administratives, les pouvoirs de contrôle et d'injonction de l'ANSSI, et — nouveauté majeure — la responsabilité personnelle des organes de direction.

Les amendes administratives

StatutPlafond
Entité essentielle10 000 000 € ou 2 % du chiffre d'affaires annuel mondial — le montant le plus élevé des deux
Entité importante7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial — le montant le plus élevé des deux

Ces plafonds sont calqués sur la logique du RGPD : assez élevés pour qu'aucune direction générale ne puisse traiter le sujet comme un risque acceptable.

Les pouvoirs de l'autorité de contrôle

  • Contrôles — inspections sur place et sur pièces, audits de sécurité, demandes de preuves (politiques, registres, résultats de tests). Les entités essentielles peuvent être contrôlées à tout moment, sans incident préalable.
  • Injonctions — ordre de se mettre en conformité dans un délai imparti, avec possibilité de rendre le manquement public — l'effet réputationnel précède l'amende.
  • Mesures ultimes — pour les entités essentielles, suspension possible de certifications ou d'autorisations, et interdiction temporaire d'exercer des fonctions dirigeantes en cas de manquements graves et répétés.

La responsabilité des dirigeants

C'est la rupture culturelle de NIS2 : les organes de direction doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre, et suivre une formation. Le texte permet de rechercher leur responsabilité en cas de manquement. Concrètement : le dirigeant qui signe « la cybersécurité, c'est l'affaire de mon informaticien » engage désormais sa responsabilité en le faisant.

La vraie comparaison n'est pas amende contre conformité. C'est : coût d'une démarche structurée (quelques dizaines de milliers d'euros, étalés) contre coût d'un incident majeur non préparé (arrêt d'activité, reconstruction du SI, notification en urgence, clients perdus, et l'amende par-dessus). La conformité NIS2 bien menée n'est pas une taxe : c'est l'assurance que votre entreprise survit à son prochain incident.

Questions fréquentes

Les amendes NIS2 sont-elles vraiment appliquées ?

Le régime de sanctions monte en puissance avec la transposition française. Mais l'expérience du RGPD est instructive : après une période pédagogique, les sanctions sont devenues réelles et publiques. Et avant même l'amende, une injonction de l'ANSSI avec mise en demeure publique suffit à endommager la réputation d'une entreprise auprès de ses clients.

Qu'est-ce que la responsabilité des organes de direction change ?

NIS2 impose que les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et se forment. En cas de manquement, la responsabilité peut être recherchée au niveau des dirigeants eux-mêmes — la conformité cyber ne peut plus être entièrement déléguée au service informatique. Pour un dirigeant de PME, c'est le changement le plus personnel de la directive.

Le coût de la conformité est-il proportionné au risque ?

Ordre de grandeur : une démarche complète pour une PME représente moins de 20 000 € la première année. L'amende plafond d'une entité importante est de 7 M€, et le coût moyen d'un rançongiciel pour une PME (arrêt d'activité, reconstruction, rançon éventuelle, clients perdus) dépasse couramment plusieurs centaines de milliers d'euros. La conformité NIS2 est, de très loin, l'option la moins chère.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.