Retour aux actualités
    Réglementation

    Sanctions NIS2 : que risque une entreprise non conforme en France ?

    La directive NIS2 introduit un régime de sanctions parmi les plus sévères jamais appliqués en matière de cybersécurité en Europe. Pour les entreprises françaises concernées, la non-conformité peut coûter jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Mais au-delà des amendes, c'est la responsabilité personnelle des dirigeants qui est engagée. Tour d'horizon complet des risques.

    Les montants des sanctions NIS2

    La directive NIS2 (article 34) distingue deux catégories d'entités avec des plafonds de sanctions différents :

    CatégorieAmende maximalePlafond CA
    Entités essentielles (EE)10 000 000 €2 % du CA mondial
    Entités importantes (EI)7 000 000 €1,4 % du CA mondial

    La sanction s'applique au montant le plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires. Une ETI avec 50 millions d'euros de CA classée entité essentielle peut donc se voir infliger jusqu'à 1 million d'euros d'amende (2 % × 50 M€), ou jusqu'à 10 millions si le CA mondial est supérieur à 500 millions d'euros.

    Important : sanctions cumulables avec le RGPD

    Un incident de sécurité impliquant des données personnelles peut déclencher simultanément une amende NIS2 et une amende RGPD (jusqu'à 4 % du CA ou 20 M€). Les deux régimes sont distincts et cumulables.

    Quelles entreprises sont concernées ?

    NIS2 élargit considérablement le périmètre de NIS1 en passant de quelques centaines d'entités à plusieurs milliers. En France, l'ANSSI estime à plus de 15 000 entités concernées. Vous êtes potentiellement concerné si :

    Entités essentielles (EE)

    Énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace. Plus de 250 salariés OU plus de 50 M€ de CA et 43 M€ de bilan.

    Entités importantes (EI)

    Services postaux, gestion des déchets, produits chimiques, denrées alimentaires, fabrication (dispositifs médicaux, informatique, électronique, machines, automobiles), fournisseurs numériques, recherche. Entre 50 et 250 salariés OU entre 10 et 50 M€ de CA.

    Sous-traitants de grands comptes

    Même en dessous des seuils, les PME sous-traitantes d'une entité NIS2 peuvent être contractuellement soumises aux mêmes exigences de sécurité via les clauses de leur donneur d'ordre.

    Quels manquements sont sanctionnés ?

    NIS2 (article 21) liste les mesures de gestion du risque dont l'absence ou l'insuffisance constitue un manquement sanctionnable :

    Absence de politique de sécurité des systèmes d'information (PSSI)
    Pas de gestion des incidents de sécurité documentée
    Absence de plan de continuité et de reprise d'activité
    Sécurité insuffisante de la chaîne d'approvisionnement
    Absence de tests réguliers (audits, pentests)
    Pas de formation cybersécurité pour les collaborateurs et dirigeants
    Chiffrement insuffisant des données sensibles
    Absence de MFA sur les accès critiques
    Non-notification d'un incident sous 24h à l'ANSSI
    Défaut de déclaration initiale d'enregistrement NIS2

    La responsabilité personnelle des dirigeants

    L'une des grandes nouveautés de NIS2 est la responsabilité personnelle des dirigeants. L'article 20 impose aux organes de direction d'approuver les mesures de gestion des risques cyber et de superviser leur mise en œuvre. En cas de manquement grave, les États membres peuvent imposer :

    • Une interdiction temporaire d'exercer des fonctions de direction pour les dirigeants responsables
    • Une déclaration publique identifiant la personne responsable et le manquement commis
    • Des sanctions pécuniaires personnelles en complément des amendes frappant l'entité
    • Une obligation de formation en cybersécurité pour les dirigeants

    Cette disposition change radicalement la donne : la cybersécurité n'est plus seulement un sujet technique — c'est une responsabilité juridique personnelle du PDG, DG ou gérant. La délégation à un RSSI ne suffit pas ; les dirigeants doivent démontrer qu'ils ont personnellement supervisé et validé les mesures de sécurité.

    Plan d'action pour éviter les sanctions

    1

    Déterminer si vous êtes concerné

    Vérifiez votre secteur, votre taille et votre CA par rapport aux seuils NIS2. En cas de doute, consultez l'ANSSI ou un prestataire qualifié. Ne pas s'enregistrer quand on y est obligé est en soi un manquement sanctionnable.

    2

    S'enregistrer auprès de l'ANSSI

    NIS2 impose une auto-déclaration à l'autorité nationale compétente. En France, le portail de notification ANSSI permet cet enregistrement. Délai : dans les mois suivant la transposition, attendue fin 2024 / début 2025.

    3

    Réaliser un audit de conformité NIS2

    Faites évaluer l'écart entre votre posture actuelle et les exigences NIS2 par un prestataire qualifié PASSI. Cet audit produira une feuille de route priorisée. Prévoir 5 000 à 15 000 € selon la taille de l'entité.

    4

    Mettre en place la gouvernance

    Validez formellement une PSSI en conseil d'administration ou COMEX. Nommez un RSSI (interne ou externalisé). Documentez la supervision par les dirigeants via des comptes rendus de réunion mentionnant les décisions cyber.

    5

    Mettre en œuvre les mesures techniques

    Priorisez MFA, EDR, sauvegardes immuables, chiffrement des données sensibles, segmentation réseau et gestion des correctifs. Ces mesures constituent le socle minimal attendu par les autorités de contrôle.

    6

    Préparer la notification d'incidents

    NIS2 impose une alerte préliminaire sous 24h, une notification sous 72h et un rapport final sous 1 mois. Rédigez des procédures internes de gestion et notification d'incidents avant qu'un incident ne survienne.

    Évaluez votre conformité NIS2 gratuitement

    Nos experts réalisent un diagnostic NIS2 initial gratuit pour identifier si votre entreprise est concernée et évaluer vos principaux écarts de conformité.

    Demander un diagnostic NIS2 gratuit

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.