NIS2 Conformité Sanctions Réglementation

Sanctions NIS2 : Amendes et Conséquences en Cas de Non-Conformité

Par Meldis

En résumé

  • Entités essentielles : amendes jusqu’à 10 M€ ou 2 % du CA mondial
  • Entités importantes : amendes jusqu’à 7 M€ ou 1,4 % du CA mondial
  • Responsabilité personnelle non délégable des dirigeants (Art. 20 NIS2)
  • Cumul possible entre sanctions ANSSI (NIS2) et CNIL (RGPD)
  • Loi Résilience : promulgation attendue T1 2026, décrets d’application T2 2026

La directive NIS2 marque un tournant dans la régulation de la cybersécurité en Europe. Pour les entreprises concernées, la question des sanctions NIS2 est centrale : amendes financières lourdes, responsabilité personnelle des dirigeants, audits imposés. Le dispositif répressif va bien au-delà de ce que prévoyait NIS1. En France, la Loi Résilience transpose ces obligations dans le droit national. Ce texte, adopté au Sénat en mars 2025 et examiné en commission spéciale à l’Assemblée nationale, devrait entrer en vigueur courant 2026. Les PME et ETI d’Occitanie comme du reste du territoire doivent s’y préparer dès maintenant. Voici le détail complet des risques encourus en cas de non-conformité.

Les amendes NIS2 : montants et catégories

La directive NIS2 (UE 2022/2555) distingue deux catégories d’entités régulées. À chaque catégorie correspond un plafond d’amende distinct.

Entités essentielles : jusqu’à 10 M€ ou 2 % du CA

Les entités essentielles (EE) regroupent les organisations opérant dans des secteurs hautement critiques : énergie, transports, santé, eau potable, infrastructures numériques, administration publique. Les entreprises de plus de 250 salariés ou dépassant 50 millions d’euros de chiffre d’affaires sont généralement classées dans cette catégorie.

En cas de manquement, l’amende peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce plafond s’applique pour les infractions les plus graves : absence de mesures de gestion des risques, défaut de notification d’incident, ou obstruction aux contrôles de l’autorité compétente.

Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA

Les entités importantes (EI) couvrent un périmètre plus large : services postaux, gestion des déchets, industrie chimique, agroalimentaire, fabrication de dispositifs médicaux, recherche. Les entreprises de 50 à 250 salariés, dont le CA se situe entre 10 et 50 millions d’euros, relèvent souvent de cette catégorie.

Le plafond d’amende est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial. Là encore, c’est le montant le plus élevé qui s’applique. Pour de nombreuses PME en Occitanie et ailleurs, ces sommes représentent un risque financier considérable.

Comment sont calculées les amendes

Le calcul de l’amende ne se résume pas à un pourcentage brut. Plusieurs critères entrent en jeu :

  • La gravité de l’infraction : une absence totale de politique de sécurité sera sanctionnée plus lourdement qu’un défaut partiel.
  • La durée du manquement : une non-conformité persistante aggrave la sanction.
  • Les mesures correctives prises : la bonne foi et la réactivité de l’entité sont prises en compte.
  • Les antécédents : la récidive entraîne une aggravation. L’Italie prévoit par exemple un triplement de l’amende pour des infractions répétées.
  • L’impact sur les utilisateurs et les services : les conséquences concrètes de l’incident sont évaluées.

Comparatif entités essentielles / entités importantes

Critère Entités essentielles (EE) Entités importantes (EI)
Amende maximale 10 M€ ou 2 % du CA mondial 7 M€ ou 1,4 % du CA mondial
Base de calcul Le montant le plus élevé Le montant le plus élevé
Régime de contrôle Proactif (audits réguliers) Réactif (sur signalement)
Responsabilité dirigeants Oui, avec interdiction d'exercer Oui, sans interdiction d'exercer
Récidive (ex. Italie) Jusqu'à x3 Jusqu'à x3

Au-delà des amendes : l’arsenal complet des sanctions

Les sanctions NIS2 ne se limitent pas aux amendes financières. La directive met à disposition des autorités nationales un ensemble d’outils coercitifs.

Sanctions administratives : injonctions, suspension, audits imposés

L’ANSSI, désignée comme autorité compétente en France, dispose de pouvoirs étendus :

  • Injonctions de mise en conformité avec un délai imposé.
  • Audits de sécurité obligatoires, réalisés aux frais de l’entité contrôlée.
  • Inspections sur site ou à distance, déclenchées de manière proactive pour les EE ou sur signalement pour les EI.
  • Suspension temporaire de certifications ou autorisations d’exercer une activité.
  • Demandes d’informations auxquelles l’entité doit répondre sous peine de sanctions supplémentaires.

Pour les entités essentielles, les contrôles sont proactifs. L’ANSSI peut intervenir sans attendre un incident. Pour les entités importantes, le régime est réactif : les contrôles interviennent après un signalement, un incident ou un soupçon de non-conformité.

Publication des sanctions (“name and shame”)

NIS2 autorise la publication des décisions de sanction. Cette mesure de “name and shame” constitue un levier de pression redoutable. Pour une entreprise, voir son nom associé publiquement à un manquement en cybersécurité entraîne :

  • Une perte de confiance des clients et partenaires.
  • Un risque réputationnel durable, particulièrement dommageable dans des secteurs où la confiance est un actif clé.
  • Des conséquences commerciales directes : perte de marchés, renégociation de contrats, déréférencement par des donneurs d’ordres.

Pour une PME régionale, qu’elle soit basée à Montpellier, Toulouse ou ailleurs en Occitanie, ce risque réputationnel peut être aussi destructeur que l’amende elle-même.

Sanctions pénales

Au-delà du volet administratif, les États membres peuvent prévoir des sanctions pénales dans leur transposition nationale. En France, le cadre précis sera défini par les décrets d’application de la Loi Résilience, mais plusieurs comportements exposent d’ores et déjà les entités et leurs dirigeants à des poursuites pénales.

Les actes susceptibles d’engager la responsabilité pénale :

  • L’obstruction aux contrôles : refus de coopérer avec l’ANSSI, entrave aux inspections, fourniture délibérée d’informations fausses ou incomplètes lors d’un audit.
  • La négligence caractérisée : absence manifeste de mesures de sécurité de base ayant conduit à un incident grave, notamment lorsque des avertissements préalables existaient.
  • Le défaut de notification intentionnel : ne pas signaler un incident majeur dans les délais imposés pour en dissimuler l’existence.
  • La mise en danger délibérée : dans des secteurs critiques comme la santé ou l’énergie, un manquement grave peut relever des qualifications pénales existantes dans le Code pénal.

Pour les dirigeants des entités essentielles, la combinaison entre responsabilité personnelle non délégable (article 20 NIS2) et les qualifications pénales potentielles constitue une exposition inédite. Ce n’est plus seulement l’entreprise qui est poursuivie : le dirigeant lui-même peut faire l’objet d’une procédure pénale.

Premiers retours européens : en Allemagne, la nouvelle loi BSI intègre des sanctions pénales pour les infractions les plus graves. La Belgique prévoit des amendes pénales cumulables avec les amendes administratives. Ces précédents donnent un aperçu de ce que la France pourrait prévoir dans ses décrets d’application.

En France, le projet de Loi Résilience pose le principe : les autorités disposeront de la faculté de transmettre les dossiers au parquet pour les manquements les plus graves. Les décrets d’application préciseront les qualifications retenues.

Amendes, responsabilité personnelle, interdiction d'exercer : un arsenal complet

L'ANSSI dispose de pouvoirs étendus pour contrôler la conformité des entités régulées. Les manquements graves peuvent donner lieu à des sanctions administratives et pénales cumulées.

Évaluer mon exposition NIS2

Responsabilité des dirigeants : le changement majeur de NIS2

C’est l’une des innovations les plus marquantes de la directive. NIS2 place la cybersécurité sous la responsabilité directe des organes de direction.

Formation obligatoire en cybersécurité (Article 20)

L’article 20 de la directive impose aux membres des organes de direction de suivre une formation en cybersécurité. Cette obligation vise les dirigeants, administrateurs et membres du comité exécutif. L’objectif : la cybersécurité ne peut plus être déléguée intégralement au DSI ou au RSSI. Les dirigeants doivent comprendre les risques, approuver les mesures de gestion, et superviser leur mise en œuvre.

En pratique, cette formation doit couvrir :

  • L’identification des cybermenaces pesant sur l’organisation.
  • Les principes de gestion des risques cyber.
  • L’impact des incidents sur l’activité et la conformité réglementaire.

Une responsabilité non délégable

La responsabilité des dirigeants au titre de NIS2 est personnelle et non délégable. Un dirigeant ne peut pas s’exonérer en invoquant la délégation à un prestataire ou à un responsable technique interne. Les organes de direction doivent :

  • Approuver les mesures de gestion des risques cyber.
  • Superviser leur mise en œuvre effective.
  • Rendre des comptes en cas de manquement.

Cette disposition change fondamentalement la gouvernance cyber dans les entreprises. Pour comprendre les trois obligations des dirigeants et les actions concrètes à engager, consultez notre guide sur la responsabilité des dirigeants NIS2.

Interdiction temporaire d’exercer

Pour les entités essentielles, NIS2 va encore plus loin. En cas de négligence grave ou répétée, un dirigeant peut se voir temporairement interdit d’exercer des fonctions de direction. Cette sanction, inédite dans le domaine cyber, aligne le régime NIS2 sur les standards de responsabilité existant en droit financier ou en droit de la concurrence.

Scénario pratique

Le dirigeant d’une ETI industrielle à Toulouse, classée entité essentielle dans le secteur de l’énergie, n’a jamais suivi de formation cybersécurité. Son entreprise subit une attaque par rançongiciel qui paralyse la production pendant trois semaines. L’ANSSI constate l’absence de plan de réponse aux incidents, de politique de gestion des risques et de notification dans les délais. Le dirigeant s’expose à une amende administrative pour l’entreprise, mais aussi à une mise en cause personnelle pour défaut de supervision. Dans le cas le plus grave, une interdiction temporaire d’exercer peut être prononcée. La formation obligatoire non suivie constitue un élément aggravant.

Sanctions NIS2 vs RGPD : comparaison détaillée

Les entreprises déjà soumises au RGPD se demandent comment les sanctions NIS2 s’articulent avec le cadre existant. Les deux régimes sont complémentaires, pas substituables.

Sanctions NIS2 vs RGPD

Critère NIS2 RGPD
Amende maximale 10 M€ ou 2 % du CA mondial 20 M€ ou 4 % du CA mondial
Responsabilité des dirigeants Explicite, avec interdiction d'exercer Non prévue explicitement
Autorité compétente (France) ANSSI CNIL
Délai de notification 24h (alerte initiale) + 72h (rapport complet) 72h
Objet Sécurité des réseaux et systèmes Protection des données personnelles
Formation dirigeants Obligatoire (Art. 20) Non imposée
Périmètre Entités essentielles et importantes Tout organisme traitant des données personnelles
Cumul Possible si l'incident implique des données personnelles Possible

Un point important : en cas de cyberattaque impliquant une fuite de données personnelles, une entreprise peut être sanctionnée à la fois au titre de NIS2 (par l’ANSSI) et du RGPD (par la CNIL). Les deux amendes se cumulent. Pour en savoir plus sur la directive, consultez notre guide complet sur la directive NIS2.

Calendrier en France et benchmark européen

La Loi Résilience : état des lieux 2026

La France accuse un retard dans la transposition de NIS2. Le délai initial était fixé au 17 octobre 2024. Le calendrier réel est le suivant :

  • Mars 2025 : adoption par le Sénat du projet de Loi Résilience, en procédure accélérée.
  • Septembre 2025 : adoption à l’unanimité en commission spéciale à l’Assemblée nationale.
  • T1-T2 2026 : examen en séance publique à l’Assemblée et promulgation attendue (date non encore inscrite à l’ordre du jour).
  • T2 2026 : publication des décrets d’application et du référentiel technique de l’ANSSI.
  • +3 ans : fin de la période de transition pour les entités régulées.

Le fait que la loi ne soit pas encore promulguée ne doit pas freiner les démarches de conformité. La période de transition sera comptée à partir de l’entrée en vigueur, et les investissements en cybersécurité protègent l’entreprise indépendamment du calendrier réglementaire.

Belgique, Italie, Allemagne : premiers retours

Plusieurs États membres ont déjà transposé la directive et commencé à appliquer les sanctions NIS2 :

  • Belgique : la loi NIS2 belge est entrée en vigueur le 18 octobre 2024. Le Centre pour la Cybersécurité Belgique (CCB) supervise la conformité. Les entités avaient jusqu’au 18 mars 2025 pour s’enregistrer. Les amendes suivent les plafonds européens.
  • Italie : transposition active depuis octobre 2024 via l’Agenzia per la Cybersicurezza Nazionale (ACN). L’Italie se distingue par un régime de sanctions graduées : 0,1 % du CA pour les infractions mineures des EE, 0,07 % pour les EI. En cas de récidive, les amendes peuvent être multipliées par trois.
  • Allemagne : la nouvelle loi BSI est entrée en vigueur le 6 décembre 2025, faisant passer le nombre d’entités régulées de 4 500 à environ 29 000. L’enregistrement via le portail BSI est obligatoire depuis janvier 2026.

En novembre 2024, la Commission européenne avait adressé une mise en demeure (1ʳᵉ étape) à 23 États membres pour retard de transposition. En mai 2025, elle a franchi l’étape suivante en adressant un avis motivé (2ᵉ étape de la procédure d’infraction, art. 258 TFUE) à 19 États membres, dont la France.

Collectivités : exemptées d’amendes financières

Le cas des collectivités territoriales mérite une mention spécifique. En France, le projet de loi prévoit que les collectivités (régions, départements, communes de plus de 30 000 habitants) sont soumises aux obligations NIS2 mais exemptées des amendes financières. Le Conseil d’État a d’ailleurs critiqué cette exemption, la jugeant en décalage avec l’esprit de la directive.

En pratique, les collectivités restent exposées aux autres sanctions : injonctions, audits imposés, publication des manquements. L’absence d’amende ne signifie pas l’absence de conséquences.

Ces évolutions réglementaires s’inscrivent dans une tendance de fond. Pour le détail du calendrier parlementaire français, consultez notre article sur NIS2 en France et la Loi Résilience.

Supply chain : quand la non-conformité d’un fournisseur devient votre problème

NIS2 impose aux entités régulées de sécuriser leur chaîne d’approvisionnement (article 21). Cette obligation a des répercussions en cascade sur l’ensemble du tissu économique, y compris les entreprises qui ne sont pas directement soumises à la directive.

Concrètement, une entité essentielle ou importante doit :

  • Évaluer les risques cyber liés à ses fournisseurs et sous-traitants.
  • Intégrer des clauses de cybersécurité dans ses contrats : obligations de notification, droits d’audit, niveaux de service sécurité.
  • Vérifier la conformité de ses prestataires critiques.

Pour une PME qui fournit des services à une grande entreprise ou une collectivité soumise à NIS2, la non-conformité devient un risque commercial direct. Un donneur d’ordres peut résilier un contrat, exiger un audit de sécurité informatique ou simplement choisir un concurrent mieux préparé. En Occitanie, où de nombreuses PME travaillent comme sous-traitants de grands groupes aéronautiques, industriels ou de santé, cet effet de ruissellement est particulièrement concret.

Même sans être directement régulée, votre entreprise a donc intérêt à anticiper.

Questions fréquentes sur les sanctions NIS2

Quelles sont les sanctions prévues par NIS2 ?

NIS2 prévoit des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entités importantes. S'y ajoutent des injonctions de mise en conformité, des audits imposés, la publication des sanctions et la possibilité de suspendre des autorisations d'exercer.

Les dirigeants peuvent-ils être personnellement sanctionnés ?

Oui. C'est l'une des nouveautés majeures de NIS2. Les dirigeants des entités régulées ont une responsabilité personnelle et non délégable. Ils doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité (article 20). En cas de négligence grave au sein d'une entité essentielle, un dirigeant peut se voir temporairement interdit d'exercer ses fonctions.

Quelle différence entre sanctions NIS2 et RGPD ?

Les plafonds d'amendes RGPD sont plus élevés (20 M€ / 4 % du CA), mais NIS2 introduit la responsabilité personnelle explicite des dirigeants, absente du RGPD. Les deux régimes sont supervisés par des autorités différentes (ANSSI pour NIS2, CNIL pour le RGPD) et peuvent se cumuler en cas d'incident impliquant des données personnelles.

Quand les sanctions NIS2 s'appliqueront-elles en France ?

La Loi Résilience, qui transpose NIS2 en droit français, est en cours d'adoption au Parlement. La promulgation est attendue au premier trimestre 2026, suivie des décrets d'application au deuxième trimestre. Une période de transition de trois ans est prévue pour permettre aux entités de se mettre en conformité. Les sanctions pourront toutefois s'appliquer dès l'entrée en vigueur de la loi pour les manquements les plus graves.

Les PME sont-elles concernées par les sanctions NIS2 ?

Les PME de plus de 50 salariés opérant dans les secteurs couverts peuvent être classées entités importantes et soumises aux amendes. Mais même les PME en dessous de ces seuils sont concernées indirectement via la chaîne d'approvisionnement. Un donneur d'ordres soumis à NIS2 peut exiger des garanties de cybersécurité et résilier un contrat en cas de non-conformité. La mise en conformité NIS2 est donc un sujet pour toutes les entreprises travaillant avec des entités régulées.

Préparez votre conformité avant les sanctions

Les sanctions NIS2 sont parmi les plus structurantes jamais adoptées en matière de cybersécurité en Europe. Amendes financières, responsabilité personnelle des dirigeants, publication des manquements : le dispositif ne laisse pas de place à l’improvisation. En France, la Loi Résilience concrétisera ces obligations dans les prochains mois.

La bonne nouvelle : anticiper la conformité NIS2 revient à renforcer durablement la sécurité de votre organisation. C’est un investissement, pas uniquement une contrainte réglementaire. Première étape administrative : le pré-enregistrement sur la plateforme MonEspaceNIS2 auprès de l’ANSSI. Pour évaluer rapidement où vous en êtes, consultez notre page conformité NIS2 : 15 points clés pour mesurer votre niveau de préparation.

Chez Meldis, nous accompagnons les PME et ETI d’Occitanie dans leur mise en conformité NIS2 : diagnostic de maturité, analyse d’écarts, plan d’action priorisé, accompagnement à la mise en œuvre. Chaque organisation a des contraintes différentes. Notre approche est pragmatique et adaptée à votre réalité opérationnelle.

Contactez-nous pour évaluer votre exposition aux sanctions NIS2 et construire votre feuille de route de conformité.