La directive NIS2 a introduit un regime de sanctions sans precedent dans le domaine de la cybersecurite europeenne. Alors que la premiere directive NIS laissait aux Etats membres une liberte quasi totale dans la definition des sanctions, NIS2 impose des planchers d’amendes maximales, des pouvoirs de supervision etendus pour les autorites competentes, et – innovation majeure – un mecanisme de responsabilite personnelle des dirigeants. Cet article analyse en detail le regime repressif de NIS2, ses implications concretes pour les organisations et leurs dirigeants, et les moyens de s’y preparer.

I. Architecture du regime de sanctions NIS2

A. La logique du texte

La directive NIS2 a tire les lecons de l’echec relatif de NIS1 en matiere de sanctions. Sous NIS1, les montants maximaux variaient considerablement d’un Etat membre a l’autre, allant de quelques dizaines de milliers d’euros dans certains pays a plusieurs millions dans d’autres. Cette disparite affaiblissait l’effet dissuasif du texte et creait des distorsions de concurrence.

NIS2 corrige cette situation en imposant aux Etats membres des seuils minimaux de sanctions maximales, en s’inspirant directement du modele du RGPD. L’objectif est double : garantir un effet dissuasif reel et harmoniser le niveau de sanction a travers l’Union europeenne.

B. La distinction entites essentielles / entites importantes

Le regime de sanctions de NIS2 reprend la distinction fondamentale entre entites essentielles et entites importantes, avec des consequences significatives sur les montants encourus.

Pour les entites essentielles (article 34, paragraphe 4) :

Les amendes peuvent atteindre un montant maximal d’au moins 10 000 000 euros ou d’au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice precedent de l’entreprise a laquelle l’entite essentielle appartient, le montant le plus eleve etant retenu.

Pour les entites importantes (article 34, paragraphe 5) :

Les amendes peuvent atteindre un montant maximal d’au moins 7 000 000 euros ou d’au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu.

Ces montants sont des planchers : les Etats membres sont libres de prevoir des sanctions plus elevees dans leur legislation de transposition. Il s’agit de montants maximaux minimaux – c’est-a-dire que le plafond national ne peut pas etre inferieur a ces seuils.

C. Comparaison avec les sanctions RGPD

Le parallele avec le RGPD est instructif. Les sanctions RGPD atteignent 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les infractions les plus graves, et 10 millions d’euros ou 2 % pour les infractions de second rang. NIS2 se situe dans une fourchette comparable, ce qui temoigne de la volonte du legislateur europeen de placer la cybersecurite au meme niveau d’enjeu que la protection des donnees.

Pour les organisations soumises aux deux textes – ce qui est le cas de la grande majorite des entites NIS2 traitant des donnees personnelles --, le cumul theorique des sanctions est considerable. La conformite au RGPD en matiere de securite et la conformite NIS2 doivent etre conduites de maniere coordonnee.

II. Les pouvoirs des autorites de supervision

A. Supervision proactive des entites essentielles

NIS2 instaure un regime de supervision differentie selon la categorie de l’entite.

Pour les entites essentielles, la supervision est proactive (article 32). Les autorites competentes disposent des pouvoirs suivants :

• Inspections sur site et controles a distance : les autorites peuvent conduire des audits de securite reguliers et cibles, y compris sans notification prealable.
• Audits de securite : les autorites peuvent imposer la realisation d’audits de securite par des organismes independants, ou les conduire elles-memes. Le cout de ces audits est a la charge de l’entite controlee.
• Analyses de securite : examens des politiques de gestion des risques, des mesures de securite et de leur mise en oeuvre effective.
• Demandes d’information : les autorites peuvent exiger la communication de toute information necessaire a l’exercice de leur mission de supervision.
• Acces aux donnees et documents : droit d’acces aux donnees, documents et informations necessaires a l’evaluation des mesures de cybersecurite.

B. Supervision reactive des entites importantes

Pour les entites importantes, la supervision est reactive (article 33). Les autorites n’interviennent qu’en cas d’elements indiquant un non-respect des obligations – par exemple, a la suite d’un incident, d’un signalement ou d’informations provenant d’un tiers. Les pouvoirs disponibles sont similaires (inspections, audits, demandes d’information), mais ils ne s’exercent qu’ex post.

C. Les mesures correctives

Au-dela des amendes, les autorites disposent d’un arsenal de mesures correctives (article 32, paragraphe 4) :

• Injonctions de conformite : ordres de cesser un comportement non conforme et de prendre les mesures necessaires dans un delai determine.
• Instructions contraignantes : directives specifiques sur les mesures de securite a mettre en oeuvre.
• Obligation d’information des clients : les autorites peuvent ordonner a l’entite d’informer les personnes ou entites susceptibles d’etre affectees par une menace cyber significative.
• Publication des decisions : les autorites peuvent rendre publiques les decisions de non-conformite, avec un effet reputationnel potentiellement devastateur.
• Designation d’un agent de supervision : pour les cas les plus graves, les autorites peuvent nommer un agent charge de superviser la mise en conformite de l’entite.

III. La responsabilite personnelle des dirigeants

A. L’innovation majeure de NIS2

L’article 20 de NIS2 constitue une rupture dans l’approche europeenne de la cybersecurite. Il dispose que les “organes de direction” des entites essentielles et importantes doivent :

1. Approuver les mesures de gestion des risques en matiere de cybersecurite prises par l’entite.
2. Superviser leur mise en oeuvre.
3. Pouvoir etre tenus responsables en cas de non-respect des obligations.
4. Suivre une formation en matiere de cybersecurite.

Cette disposition personnalise la responsabilite : ce ne sont plus seulement les organisations qui sont visees, mais les personnes physiques qui les dirigent. Le RSSI n’est pas le seul concerne : ce sont bien les membres des organes de direction – conseil d’administration, directoire, gerants – qui portent cette responsabilite.

B. Les sanctions personnelles

L’article 32, paragraphe 5, prevoit que lorsqu’une entite essentielle ne se conforme pas aux mesures correctives imposees par l’autorite competente, les Etats membres doivent prevoir la possibilite de :

• Suspendre temporairement une certification ou une autorisation relative a tout ou partie des services fournis par l’entite.
• Interdire temporairement a toute personne physique exercant des responsabilites de direction au niveau de la direction generale de l’entite d’exercer des fonctions de direction.

Cette interdiction temporaire d’exercice est une sanction d’une severite considerable. Elle s’applique en dernier recours, lorsque les mesures correctives precedentes n’ont pas produit d’effet, mais son existence meme devrait inciter les dirigeants a prendre la cybersecurite au serieux.

C. Implications pratiques pour les dirigeants

Les dirigeants doivent desormais etre en mesure de demontrer :

• Qu’ils ont approuve formellement la politique de gestion des risques cyber de l’entite (deliberation du conseil d’administration, decision du directoire).
• Qu’ils exercent une supervision effective de la mise en oeuvre des mesures de securite (tableaux de bord, comptes rendus reguliers, audits).
• Qu’ils ont suivi une formation en matiere de cybersecurite leur permettant de comprendre les risques et d’evaluer les mesures prises.
• Que des ressources adequates ont ete allouees a la cybersecurite.

La realisation reguliere d’audits de securite informatique et le suivi de la checklist de conformite NIS2 constituent des elements de preuve tangibles de cette diligence.

IV. Criteres de determination des sanctions

A. Les facteurs d’appreciation

L’article 34, paragraphe 3, de NIS2 enumere les circonstances que les autorites doivent prendre en compte pour determiner le montant de l’amende :

1. La gravite de l’infraction et l’importance des dispositions violees.
2. La duree de l’infraction.
3. Les infractions anterieures commises par l’entite.
4. Les dommages materiels ou immateriels causes, y compris les pertes financieres et economiques, les effets sur d’autres services et le nombre d’utilisateurs affectes.
5. Le caractere intentionnel ou negligent de l’infraction.
6. Les mesures prises pour prevenir ou attenuer les dommages.
7. Le respect des codes de conduite ou des mecanismes de certification approuves.
8. Le degre de cooperation avec les autorites competentes.

B. Les facteurs attenuants

Plusieurs elements peuvent contribuer a attenuer la sanction :

• L’existence d’un programme de conformite structure et documente, incluant un audit de securite recent.
• La realisation d’exercices de crise cyber demontrant la preparation de l’organisation.
• La certification ISO 27001 ou la conformite a des referentiels reconnus.
• La notification rapide et complete de l’incident aux autorites.
• La cooperation active avec les autorites pendant l’investigation.
• Les investissements demontres en matiere de cybersecurite et de sensibilisation.

C. Les facteurs aggravants

A l’inverse, certains elements conduisent a des sanctions plus severes :

• La recidive – des infractions anterieures demontrent une negligence persistante.
• Le refus de cooperation avec les autorites.
• La dissimulation de l’incident ou des informations pertinentes.
• L’absence de mesures de securite elementaires, en contradiction flagrante avec les exigences de la directive.
• L’absence totale de programme de gestion des risques cyber.

V. Transposition en droit francais et perspectives

A. Le cadre de transposition

La transposition de NIS2 en droit francais est assuree par voie legislative. Le legislateur francais dispose d’une marge de manoeuvre limitee s’agissant des montants de sanctions – il ne peut qu’egaler ou depasser les seuils fixes par la directive. En revanche, il peut amenager les modalites de la procedure de sanction, les voies de recours et les competences des autorites.

L’ANSSI verra ses pouvoirs de supervision et de sanction considerablement renforces. Les modalites de cette evolution sont un sujet d’attention pour l’ensemble des entites concernees. En parallele, la CNIL conservera ses competences en matiere de sanctions RGPD, ce qui cree un paysage repressif a double volet pour les organisations traitant des donnees personnelles.

B. L’articulation avec les sanctions RGPD

L’articulation entre les sanctions NIS2 et les sanctions RGPD fait l’objet de dispositions specifiques dans NIS2 (article 35). Lorsqu’une violation de securite entraine une violation de donnees personnelles notifiable au titre du RGPD, l’autorite NIS2 s’abstient d’imposer une amende si l’autorite de protection des donnees a deja sanctionne le meme manquement. Cette regle de non bis in idem n’empeche toutefois pas le cumul des mesures correctives non financieres.

Pour les organisations traitant des donnees personnelles, l’approche de conformite doit etre integree, en adressant simultanement les exigences du RGPD et de NIS2. Les mesures de securite exigees par la CNIL et les mesures imposees par NIS2 presentent des recoupements importants qu’il convient d’exploiter.

C. Le risque reputationnel

Au-dela des amendes financieres, la publication des decisions de sanction constitue un risque reputationnel majeur. A l’image des sanctions RGPD – ou les noms des entreprises sanctionnees par la CNIL font l’objet d’une large couverture mediatique --, les sanctions NIS2 feront l’objet d’une publicite susceptible d’affecter durablement la confiance des clients, partenaires et investisseurs.

L’ENISA publie des rapports annuels sur l’application de la directive qui permettront de suivre l’evolution de la pratique repressive a l’echelle europeenne. Le texte de la directive est disponible en integralite sur EUR-Lex.

FAQ

Les sanctions NIS2 s’appliquent-elles deja ?

La directive NIS2 devait etre transposee par les Etats membres au plus tard le 17 octobre 2024. Le calendrier de transposition varie selon les pays. En France, la procedure legislative de transposition est en cours. Les sanctions ne seront applicables qu’a compter de l’entree en vigueur de la loi de transposition. Toutefois, les organisations ont tout interet a se preparer des maintenant, car la mise en conformite demande plusieurs mois et les autorites s’attendront a un niveau de maturite raisonnable des l’entree en vigueur.

Un dirigeant peut-il reellement etre interdit d’exercer pour un defaut de cybersecurite ?

Oui, l’article 32, paragraphe 5, de NIS2 prevoit explicitement la possibilite d’interdire temporairement a une personne physique exercant des responsabilites de direction d’exercer ses fonctions. Cette mesure est toutefois reservee aux cas les plus graves, lorsque les mesures correctives precedentes n’ont pas ete respectees. Elle ne s’applique qu’aux entites essentielles. Il s’agit d’une mesure de dernier recours, mais son existence dans le texte marque un changement de paradigme dans la responsabilisation des dirigeants en matiere de cybersecurite.

Les sanctions NIS2 peuvent-elles se cumuler avec les sanctions RGPD ?

Le principe est la non-double sanction financiere pour un meme manquement. L’article 35 de NIS2 prevoit un mecanisme de coordination entre les autorites NIS2 et les autorites de protection des donnees. Si l’autorite de protection des donnees a deja sanctionne financierement un manquement a la securite constitutif egalement d’une violation NIS2, l’autorite NIS2 ne pourra pas imposer une amende supplementaire pour les memes faits. En revanche, les mesures correctives non financieres (injonctions, audits imposes) peuvent se cumuler.

Quelle est la meilleure strategie pour minimiser le risque de sanction ?

La strategie la plus efficace repose sur une demarche de conformite structuree et documentee : cartographie des obligations, evaluation des risques, mise en oeuvre des mesures de securite requises, formation des dirigeants et des collaborateurs, tests reguliers (y compris des exercices de crise), et cooperation proactive avec les autorites en cas d’incident. La certification ISO 27001 et le suivi de la checklist de conformite NIS2 constituent des socles solides. La documentation est un element cle : en cas de controle, la capacite a demontrer les efforts de conformite par des preuves tangibles est determinante dans l’appreciation de la sanction.