Comprendre NIS2 · Risques
Sanctions NIS2 : ce que risque réellement votre entreprise
Trois niveaux de risque : les amendes administratives, les pouvoirs de contrôle et d'injonction de l'ANSSI, et — nouveauté majeure — la responsabilité personnelle des organes de direction.
Les amendes administratives
| Statut | Plafond |
|---|---|
| Entité essentielle | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial — le montant le plus élevé des deux |
| Entité importante | 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial — le montant le plus élevé des deux |
Ces plafonds sont calqués sur la logique du RGPD : assez élevés pour qu'aucune direction générale ne puisse traiter le sujet comme un risque acceptable.
Les pouvoirs de l'autorité de contrôle
- Contrôles — inspections sur place et sur pièces, audits de sécurité, demandes de preuves (politiques, registres, résultats de tests). Les entités essentielles peuvent être contrôlées à tout moment, sans incident préalable.
- Injonctions — ordre de se mettre en conformité dans un délai imparti, avec possibilité de rendre le manquement public — l'effet réputationnel précède l'amende.
- Mesures ultimes — pour les entités essentielles, suspension possible de certifications ou d'autorisations, et interdiction temporaire d'exercer des fonctions dirigeantes en cas de manquements graves et répétés.
La responsabilité des dirigeants
C'est la rupture culturelle de NIS2 : les organes de direction doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre, et suivre une formation. Le texte permet de rechercher leur responsabilité en cas de manquement. Concrètement : le dirigeant qui signe « la cybersécurité, c'est l'affaire de mon informaticien » engage désormais sa responsabilité en le faisant.
Questions fréquentes
Les amendes NIS2 sont-elles vraiment appliquées ?
Le régime de sanctions monte en puissance avec la transposition française. Mais l'expérience du RGPD est instructive : après une période pédagogique, les sanctions sont devenues réelles et publiques. Et avant même l'amende, une injonction de l'ANSSI avec mise en demeure publique suffit à endommager la réputation d'une entreprise auprès de ses clients.
Qu'est-ce que la responsabilité des organes de direction change ?
NIS2 impose que les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et se forment. En cas de manquement, la responsabilité peut être recherchée au niveau des dirigeants eux-mêmes — la conformité cyber ne peut plus être entièrement déléguée au service informatique. Pour un dirigeant de PME, c'est le changement le plus personnel de la directive.
Le coût de la conformité est-il proportionné au risque ?
Ordre de grandeur : une démarche complète pour une PME représente moins de 20 000 € la première année. L'amende plafond d'une entité importante est de 7 M€, et le coût moyen d'un rançongiciel pour une PME (arrêt d'activité, reconstruction, rançon éventuelle, clients perdus) dépasse couramment plusieurs centaines de milliers d'euros. La conformité NIS2 est, de très loin, l'option la moins chère.
Par où commencer ?
En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.