Sanctions NIS2 : ce que risquent vraiment les PME et leurs dirigeants

Les plafonds : 10M€ ou 2% du CA mondial

L'article 34 de la directive NIS2 fixe deux plafonds distincts selon le statut de l'entité.

Pour les Entités Essentielles (EE) — secteurs hautement critiques de l'Annexe 1 : amende administrative maximale de 10 000 000 € OU 2 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu.

Pour les Entités Importantes (EI) — secteurs critiques de l'Annexe 2 : 7 000 000 € OU 1,4 % du chiffre d'affaires mondial annuel total.

Concrètement, pour une PME française avec 50M€ de CA classée EE, l'amende plafonnée à 2% du CA atteint déjà 1M€ — bien au-delà du seuil légal de 10M€ qui ne s'applique qu'aux grands groupes. Le mécanisme du "plus élevé entre les deux" garantit que NIS2 frappe proportionnellement à la taille de l'entreprise.

Responsabilité personnelle des dirigeants

L'article 20 de NIS2 impose explicitement aux organes de direction d'approuver les mesures de gestion des risques cyber et de superviser leur mise en œuvre. En cas de défaut, ils peuvent être tenus personnellement responsables — y compris en interdiction temporaire d'exercer une fonction de direction pour les EE.

La transposition française (loi Résilience attendue au S1 2026) reprend ce principe. Le maire d'une commune de plus de 30 000 habitants, le président d'un EPCI, le DG d'une PME EE est donc directement exposé. Une délégation à un RSSI ou DSI n'exonère pas le dirigeant — elle doit être documentée et active.

Cumul avec les sanctions CNIL

Une attaque cyber entraîne souvent une violation de données personnelles. Dans ce cas, l'organisation peut être sanctionnée deux fois : par l'ANSSI au titre de NIS2 (défaut de mesures cyber) et par la CNIL au titre du RGPD (notification 72h, mesures de sécurité Art. 32, voire violation des droits des personnes).

Les exemples récents l'illustrent : un hôpital français victime d'un ransomware peut cumuler une amende NIS2 (défaut de plan de continuité) et une amende CNIL (vol de données patients). Les deux régulateurs coordonnent désormais leurs investigations via l'EDPB et le NIS Cooperation Group.

Calendrier des sanctions

France : les sanctions deviennent applicables avec la promulgation de la loi Résilience (S1 2026 attendue), puis décrets d'application au S2 2026. Période de tolérance prévue de 3 ans pour la mise en conformité initiale.

Allemagne : sanctions effectives depuis le 6 décembre 2025 (BSIG-Gesetz révisé). Pas de période de transition.

Belgique : sanctions à partir du 18 avril 2026 (loi NIS2 du 26 avril 2024).

Italie, Espagne, Portugal : sanctions en cours d'activation selon les calendriers de transposition nationaux.

Comment éviter ces sanctions

L'ANSSI a publié le ReCyF v2.5 qui constitue la base opérationnelle de la conformité. Documenter la mise en œuvre des 24 objectifs de sécurité (OS) obligatoires + les 152 mesures acceptables de conformité (MAC) crée la "présomption de conformité" qui protège lors d'un contrôle.

Les étapes : (1) auto-diagnostic NIS2 (10 minutes via le simulateur ANSSI ou CyberSCV), (2) gap analysis sur les 80 questions Article 21 + ReCyF, (3) plan de remédiation priorisé avec budget, (4) production du dossier de conformité PDF, (5) revue annuelle au COMEX. Documenter chaque étape est aussi important que la mettre en œuvre — le contrôle ANSSI vérifie l'existence du dossier, pas seulement l'état réel.