nis2-pro.fr

Je lance une dernière recherche pour comparer les sanctions NIS2 avec RGPD et DORA.# Sanctions NIS2 : cadre juridique, montants et responsabilité personnelle des dirigeants

L'article 34 de la directive NIS2 instaure un régime de sanctions administratives d'une ampleur inédite en Europe continentale pour la cybersécurité. À compter de la pleine application de la Loi Résilience – promulgation attendue au T1–T2 2026 – les entités non conformes s'exposent à des amendes structurantes et à des mesures administratives pouvant aller jusqu'au retrait temporaire de certifications ou à l'inéligibilité de leurs dirigeants.

Article 34 : plafonds maximaux et logique d'effectivité

L'article 34 impose aux États membres un plancher de sanctions. Les amendes doivent être « effectives, proportionnées et dissuasives », un triptyque hérité du RGPD mais appliqué ici au périmètre cyber. Chaque sanction est calculée sur la base du montant le plus élevé entre un plafond fixe et un pourcentage du chiffre d'affaires annuel mondial consolidé de l'exercice précédent.

L'ANSSI devient l'autorité compétente en France pour contrôler, sanctionner et publier les décisions de la future Commission des sanctions prévue par le projet de loi. Le dispositif s'inspire du modèle utilisé pour les Opérateurs d'Importance Vitale (OIV) mais avec un périmètre multiplié par 30 : 15 000 entités régulées contre 500 sous l'ancien régime.

Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial annuel

Pour les entités essentielles – opérant dans les secteurs hautement critiques listés en Annexe I de la directive (énergie, transports, infrastructures financières, santé, eau potable, infrastructure numérique, espace, administration publique, gestion des services TIC B2B) –, selon l'article 34 § 4, les États membres doivent prévoir un maximum d'au moins 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'entreprise à laquelle l'entité appartient, le montant le plus élevé étant retenu.

Concrètement, une entreprise de 800 M€ de CA mondial exposée à une sanction maximale encourt jusqu'à 16 M€ d'amende (2 % de 800 M€). Pour une ETI de 40 M€ de CA, le plancher fixe de 10 M€ s'applique – soit 25 % du CA – un montant susceptible de menacer la continuité d'exploitation. Ce principe explique pourquoi le rapport du Sénat prévoit un moratoire de trois ans après promulgation avant mise en œuvre des sanctions financières, afin de laisser le temps aux entités de se conformer.

Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial annuel

Les entités importantes – Annexe II de la directive : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication (électronique, dispositifs médicaux, machines, véhicules), fournisseurs numériques (places de marché, réseaux sociaux, moteurs de recherche), recherche – relèvent d'un régime de contrôle ex post, moins contraignant que pour les entités essentielles.

L'article 34 § 5 fixe le plafond à au moins 7 000 000 EUR ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé s'appliquant. Pour un groupe de 3 Md€ de CA, le plafond théorique atteint 42 M€ (1,4 % de 3 Md€).

La distinction entre entités essentielles et importantes structure également l'intensité du contrôle ANSSI : supervision ex ante avec inspections régulières pour les premières, contrôles ciblés pour les secondes. Cette approche proportionnée reflète la logique de l'article 32 § 7 sur la modulation des sanctions.

Sanctions non financières : injonctions, astreintes, suspension de certifications

Au-delà des amendes, l'article 32 § 4 confère aux États membres un arsenal de mesures administratives applicables aux entités essentielles et importantes :

  • Avertissements publics identifiant la personne morale et la nature du manquement (effet réputationnel dissuasif).
  • Injonctions contraignantes de mise en conformité dans un délai donné.
  • Astreintes journalières (« periodic penalty payments », article 34 § 6) pour forcer la cessation d'une infraction persistante.
  • Suspension temporaire de certifications ou d'autorisations (pour les entités essentielles dont l'activité est soumise à agrément).
  • Retrait de la désignation en tant qu'entité essentielle ou importante (cas rare, implique que l'entité ne répond plus aux critères ou que l'activité a cessé).

Le projet de loi français transpose ces pouvoirs dans le régime de la Commission des sanctions de l'ANSSI. L'étude d'impact souligne que le mécanisme de sanction « pourra, selon les infractions, se fonder sur un pourcentage du chiffre d'affaires mondial de l'entité concernée, à l'image de ce qui est prévu dans le Règlement général sur la protection des données ».

Responsabilité personnelle des dirigeants — rupture culturelle majeure

L'article 20 § 2 de la directive instaure une responsabilité directe et personnelle des organes de direction : ceux-ci doivent approuver les mesures de gestion des risques prises au titre de l'article 21, superviser leur mise en œuvre et peuvent être tenus responsables en cas de manquement.

Concrètement, pour les entités essentielles, les États membres peuvent imposer aux membres de l'organe de direction :

  • Une interdiction temporaire d'exercer des fonctions de direction ou de représentation légale au sein de l'entité (article 32 § 4 point h). Cette mesure, dissuasive, équivaut à une inéligibilité fonctionnelle.
  • Des obligations de formation régulière pour acquérir les connaissances suffisantes permettant d'identifier les risques et d'évaluer les pratiques de cybersécurité (article 20 § 2).
  • Une responsabilité civile (distinct de la sanction pénale), notamment si la négligence du dirigeant est établie après incident majeur.

Selon plusieurs sources, dont le blog Orizon de mars 2026, "Article 20 of NIS2 represents a paradigm shift in European cybersecurity regulation." Le mécanisme ne repose pas sur une intention frauduleuse mais sur la preuve d'une négligence grave : absence d'approbation formelle des mesures, défaut de supervision, absence de formation, budgets manifestement insuffisants.

La responsabilité personnelle s'ajoute – et ne se substitue pas – aux sanctions pécuniaires applicables à l'entité. En pratique, lors d'un contrôle ANSSI post-incident, l'autorité pourra demander les procès-verbaux de COMEX/CA validant la Politique de Sécurité des Systèmes d'Information (PSSI), les attestations de formation des dirigeants, les budgets cybersécurité votés. L'absence de piste d'audit constitue une présomption de négligence.

Critères de modulation par l'autorité

L'article 32 § 7 énumère les critères minimaux que l'autorité compétente (ANSSI en France) doit prendre en compte pour moduler le montant et la nature de la sanction :

  • Gravité et durée de l'infraction : une notification d'incident omise volontairement pendant plusieurs mois encourt une sanction majorée ; un retard de quelques heures sur la notification initiale 24 h, corrigé spontanément, sera traité plus légèrement.
  • Dommages causés : impact sociétal (nombre d'usagers affectés), économique (pertes de CA, défaillances en cascade dans la supply chain), atteinte à la continuité des services essentiels.
  • Intentionnalité ou négligence : manquement délibéré versus erreur de bonne foi, défaut de moyens versus choix stratégique d'arbitrage budgétaire.
  • Mesures prises pour atténuer ou réparer le préjudice : activation immédiate du Plan de Continuité d'Activité (PCA), notification spontanée et complète à l'ANSSI, mise en place de mesures correctrices documentées.
  • Antécédents : première infraction versus récidive, collaboration antérieure avec l'ANSSI (participation au ReCyF, exercices de crise).
  • Coopération avec l'autorité durant l'instruction : remise spontanée de documents, facilitation des audits sur site, réponses argumentées et sourcées.
  • Capacité financière de l'entité (principe de proportionnalité).

Ces critères évitent l'application automatique du plafond maximal. Néanmoins, la Commission européenne impose que les sanctions restent dissuasives : un simple avertissement pour un manquement répété serait contraire à l'esprit de la directive.

Comparaison avec RGPD et DORA : ordres de grandeur proches, finalités divergentes

RégimePlafond EE/critiquesPlafond EI/secteur généralResponsabilité dirigeantsObjectif principal
NIS210 M€ ou 2 % CA mondial7 M€ ou 1,4 % CA mondialOui (personnelle)Cyber-résilience services essentiels
RGPD20 M€ ou 4 % CA mondialNon (sauf droit national)Protection données personnelles
DORASanctions définies par État (astreintes prestataires TIC critiques jusqu'à 1 % CA mondial quotidien)Oui (organe direction responsable cadre risques TIC)Résilience opérationnelle numérique secteur financier

Points communs : Le RGPD, NIS2 et DORA adoptent une logique de plafond double (fixe + pourcentage CA), retenant le montant le plus élevé. Tous trois insistent sur la proportionnalité et l'effectivité des sanctions.

Différences :

  • RGPD : plafond maximal 4 % du CA mondial (double de NIS2 EE) mais aucune responsabilité personnelle explicite des dirigeants dans le texte du règlement (articles 83-84). La responsabilité reste celle du responsable de traitement (personne morale). En France, la CNIL peut sanctionner des personnes physiques selon le droit national mais ce n'est pas l'orientation principale.
  • NIS2 : plafond 2 % / 1,4 %, mais responsabilité personnelle structurante avec possibilité d'interdiction temporaire d'exercer pour les dirigeants d'entités essentielles. La finalité est la cyber-résilience collective (availability, integrity, confidentiality des réseaux et SI critiques).
  • DORA : Le règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025, ne fixe pas de plafond unique mais renvoie aux sanctions sectorielles existantes (CRD, MiFID II, Solvabilité II). Pour les prestataires TIC critiques, les Autorités Européennes de Surveillance (AES) peuvent imposer des astreintes journalières allant jusqu'à 1 % du CA mondial quotidien en cas de non-conformité persistante – un levier redoutable. La responsabilité de l'organe de direction est inscrite à l'article 5 de DORA, avec obligation de formation. Objectif : résilience opérationnelle numérique du secteur financier (disponibilité et intégrité des services).

Selon l'article 1.2 de DORA et 4.1 de NIS2, DORA est lex specialis : les entités financières soumises à DORA n'appliquent pas les dispositions équivalentes de NIS2 (gestion des risques cyber, notification, supervision). En pratique, une banque relève de DORA pour la résilience opérationnelle numérique mais reste soumise à NIS2 pour d'autres obligations (par exemple, enregistrement auprès de l'ANSSI). En cas d'incident avec fuite de données personnelles, le cumul théorique de sanctions RGPD (4 %) + NIS2/DORA pourrait atteindre 6 % du CA mondial, sans compter les coûts de remédiation et l'impact réputationnel.

Comment se prémunir : ReCyF, audit PASSI, documentation prouvant la conformité (article 21)

1. Appliquer le Référentiel Cyber France (ReCyF)

L'ANSSI a publié le 17 mars 2026 le ReCyF (Référentiel Cyber France) en version document de travail. Le ReCyF traduit les obligations de l'article 21 (mesures de gestion des risques) et de l'article 20 (gouvernance) en 20 objectifs de sécurité opérationnels.

  • Objectifs 1 à 15 : applicables aux entités importantes (EI) et essentielles (EE).
  • Objectifs 16 à 20 : réservés aux entités essentielles (principe de proportionnalité).

Le ReCyF propose pour chaque objectif des moyens acceptables de conformité (MAC) – des mesures recommandées, non obligatoires en tant que telles, mais permettant de se prévaloir de la conformité en cas de contrôle ANSSI. Une entité qui applique le ReCyF pourra démontrer qu'elle a atteint les objectifs fixés par le futur décret.

Selon l'ANSSI, « ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle ». Un outil de comparaison ReCyF / ISO 27001 / ISO 27002 / ISO 27005 est disponible sur MesServicesCyber, permettant de réaliser une analyse d'écart.

2. Faire auditer ses mesures par un Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI)

Un audit externe conduit par un PASSI qualifié ANSSI produit un rapport indépendant attestant du niveau de conformité aux objectifs du ReCyF ou de l'article 21. Ce rapport constitue une preuve opposable en cas de contrôle.

Les prestations PASSI couvrent :

  • Audit organisationnel et physique.
  • Tests d'intrusion (pentest) applicatifs, infrastructure, Wi-Fi, ingénierie sociale.
  • Revue d'architecture de sécurité.
  • Audit de code (sécurité développement).

Pour les entités essentielles qui doivent mettre en œuvre une approche par les risques (objectifs 16-20 du ReCyF), un audit PASSI ou PASSI-LPM peut inclure la revue de la méthode EBIOS Risk Manager si elle a été utilisée.

3. Documenter la conformité à l'article 21 : piste d'audit probante

L'article 21 énumère 10 mesures minimales de gestion des risques cyber :

  1. Politiques d'analyse des risques et de sécurité des systèmes d'information.
  2. Gestion des incidents (traitement et détection).
  3. Continuité d'activité (sauvegardes, reprise d'activité, gestion de crise).
  4. Sécurité de la chaîne d'approvisionnement (relations avec fournisseurs directs).
  5. Sécurité acquisition, développement, maintenance (traitement et divulgation des vulnérabilités).
  6. Politiques et procédures d'évaluation de l'efficacité des mesures.
  7. Pratiques de base en cyberhygiène et formation.
  8. Politiques et procédures cryptographie / chiffrement.
  9. Sécurité RH, contrôle d'accès, gestion des actifs.
  10. Authentification multifacteur (MFA), communications sécurisées, systèmes d'urgence.

En pratique, chaque mesure doit être formalisée par :

  • Une politique (PSSI, Politique de gestion des incidents, Politique de continuité, Charte informatique…).
  • Des procédures opérationnelles (playbook de réponse à incident, procédure de sauvegarde, procédure de gestion des vulnérabilités…).
  • Des preuves d'application : logs d'activation MFA, rapports de scan de vulnérabilité, attestations de formation des collaborateurs, procès-verbaux de tests du PCA, contrats fournisseurs intégrant les clauses cyber NIS2.
  • Un registre de conformité centralisant pour chaque objectif ReCyF ou mesure article 21 : statut (conforme / partiellement conforme / non conforme), référence aux documents, responsable, plan d'action correctif, date de mise en conformité cible.

Cette documentation sera demandée en cas d'audit ANSSI, de contrôle post-incident ou d'instruction de sanction. Elle constitue aussi la base du rapport annuel que certaines entités essentielles devront transmettre à l'ANSSI.

4. Faire intervenir un PRIS et un PDIS pour la détection et la réponse

Un PRIS (Prestataire de Réponse aux Incidents de Sécurité) et un PDIS (Prestataire de Détection des Incidents de Sécurité) qualifiés ANSSI renforcent la capacité de l'entité à respecter les délais de notification (24 h / 72 h / 1 mois) et à mener une investigation forensique crédible. Leurs rapports d'intervention peuvent être versés au dossier en cas de contentieux avec l'ANSSI, prouvant la diligence de l'entité.

5. S'appuyer sur des prestations qualifiées et certifications reconnues

Le ReCyF précise que les entités peuvent se prévaloir de :

  • Prestations qualifiées ANSSI (PASSI, PRIS, PDIS, PACS, PVID).
  • Certifications SecNumCloud pour l'hébergement cloud de confiance.
  • Certifications ISO 27001:2022, ISO 27002, ISO 27005, reconnues par l'outil de mapping ANSSI.

Attention : ISO 27001 seule ne suffit pas pour être conforme à NIS2. Il manque notamment les délais légaux de notification (24 h / 72 h / 1 mois), la responsabilité personnelle des dirigeants, les obligations de reporting ANSSI. Mais ISO 27001 constitue une base solide : la plupart des 10 mesures de l'article 21 trouvent une correspondance directe dans ISO 27001 Annexe A.

6. Simuler un contrôle ANSSI

Organiser en interne un exercice de type « audit blanc » :

  • Demander à un PASSI de conduire un audit de conformité ReCyF.
  • Simuler une inspection ANSSI : présenter à l'auditeur la documentation, les procès-verbaux de COMEX, les attestations de formation, les rapports de tests PCA, les contrats fournisseurs.
  • Identifier les écarts, quantifier le risque de sanction associé, prioriser les actions correctrices.

Cette approche permet de lever les angles morts avant le contrôle réel et de renforcer la culture de preuve au sein de l'entité.

En résumé, le régime de sanctions NIS2 marque un tournant : pour la première fois dans un texte cyber européen, la responsabilité personnelle des dirigeants est explicitement engagée, avec des plafonds financiers comparables au RGPD mais une finalité centrée sur la résilience des services essentiels. La clé de la prévention réside dans la traçabilité documentaire (preuve d'approbation par le COMEX, formation, mesures techniques effectives) et le recours aux référentiels et prestations qualifiées ANSSI. L'anticipation – via le ReCyF, un audit PASSI, une documentation probante de l'article 21 – transforme une menace de sanction en avantage compétitif.