Réglementation
Sanctions NIS2 : amendes et responsabilité dirigeants
Par l'équipe NIS2 Radar — Mis à jour janvier 2025
NIS2 introduit le régime de sanctions le plus sévère jamais appliqué en cybersécurité en Europe. Les dirigeants sont personnellement exposés en cas de manquement grave.
1. Montant des amendes par catégorie
| Catégorie | Amende maximale | Exemples de secteurs |
|---|---|---|
| Entités Essentielles | 10 000 000 € ou 2% du CA mondial (le plus élevé des deux) | Énergie, santé, transport, eau, infrastructure numérique |
| Entités Importantes | 7 000 000 € ou 1,4% du CA mondial (le plus élevé des deux) | Services postaux, chimie, alimentation, fabrication |
2. Responsabilité personnelle des dirigeants
L'article 20 de NIS2 est sans précédent : il engage la responsabilité personnelle des personnes physiques dirigeantes en cas de manquement grave aux obligations de cybersécurité.
Concrètement, cela signifie :
- Le PDG, DG ou membre du conseil d'administration peut être tenu personnellement responsable
- Possible interdiction temporaire d'exercer des fonctions dirigeantes
- Obligation pour les dirigeants de suivre des formations NIS2
- Responsabilité engagée si les dirigeants n'ont pas approuvé les mesures de sécurité
3. Pouvoirs de surveillance des autorités
| Pouvoir | Entités Essentielles | Entités Importantes |
|---|---|---|
| Audits de sécurité | ✅ Proactifs | ✅ Post-incident |
| Inspections sur place | ✅ Sans incident préalable | ✅ Sur signalement |
| Demande de preuves | ✅ | ✅ |
| Injonctions correctives | ✅ | ✅ |
| Suspension temporaire | ✅ Possible | ❌ |
4. Autorités compétentes par pays
| Pays | Autorité | Contact |
|---|---|---|
| 🇫🇷 France | ANSSI | anssi.fr |
| 🇧🇪 Belgique | CCN / Centre for Cybersecurity Belgium | ccb.belgium.be |
| 🇱🇺 Luxembourg | CNCS | cncs.lu |
Point d'attention : Les sanctions NIS2 s'appliquent indépendamment de la survenance d'un incident. Une organisation non conforme peut être sanctionnée même si elle n'a jamais subi de cyberattaque.