Guide NIS2 · 8 min

Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter

Q: Les amendes maximales

Entités essentielles: Jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total (exercice précédent), le montant le plus élevé étant retenu. Entités importantes: Jusqu'à 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial total (exercice précédent), le montant le plus élevé étant retenu. Ce sont des plafonds maximaux fixés par la directive (art. 34). Les amendes réelles sont décidées au niveau national et doivent être effectives, proportionnées et dissuasives, en tenant compte de la gravité, de la durée et de votre coopération. Confirmez les règles exactes de la transposition de votre pays auprès d'un conseil qualifié.

NIS2 donne aux régulateurs de vrais moyens d'action : amendes basées sur le chiffre d'affaires, injonctions contraignantes et, pour les entités essentielles, le pouvoir de suspendre temporairement une certification ou d'interdire à un dirigeant d'exercer ses fonctions. Ce guide explique ce que sont les sanctions, qui est personnellement responsable, comment la surveillance diffère pour les entités essentielles et importantes, et la manière pratique d'éviter les ennuis : mettez en œuvre les mesures de l'article 21, paragraphe 2, et conservez une preuve continue et datée que vous le faites.

Points clés

Les amendes maximales sont basées sur le chiffre d'affaires : jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes, le montant le plus élevé étant retenu.
L'organe de direction doit approuver et superviser les mesures de sécurité (art. 20) et peut être tenu personnellement responsable ; pour les entités essentielles, les autorités peuvent interdire temporairement à un dirigeant d'exercer ses fonctions (art. 32, par. 5).
Les amendes sont un dernier recours : l'exposition quotidienne, ce sont les injonctions contraignantes, les audits et le coût de la preuve de diligence. Une surveillance continue et démontrée de la chaîne d'approvisionnement est l'assurance la moins chère.

Ce que couvrent les sanctions NIS2

NIS2 (directive (UE) 2022/2555) est transposée en droit national par chaque État membre, de sorte que les montants et procédures exacts sont fixés au niveau national, mais la directive fixe les planchers des amendes administratives maximales et la boîte à outils de mise en application. Les sanctions sont liées au manquement d'une entité à ses obligations : les mesures de gestion des risques de l'article 21, paragraphe 2, les obligations de notification d'incidents de l'article 23, l'enregistrement et la coopération avec les autorités.

Surtout, NIS2 ne concerne pas que l'argent. L'article 32 (entités essentielles) et l'article 33 (entités importantes) confèrent aux autorités compétentes des pouvoirs graduels, des avertissements aux instructions contraignantes jusqu'à, pour les entités essentielles, la suspension et l'interdiction de direction. L'amende fait les gros titres ; les mesures opérationnelles sont ce que la plupart des entités rencontreront réellement.

Les amendes maximales

Entités essentielles

Jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total (exercice précédent), le montant le plus élevé étant retenu.

Grands opérateurs des secteurs hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace.

Entités importantes

Jusqu'à 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial total (exercice précédent), le montant le plus élevé étant retenu.

Autres entités moyennes et grandes des secteurs couverts, notamment les services postaux et de messagerie, la gestion des déchets, les produits chimiques, l'alimentation, la fabrication, les fournisseurs numériques et la recherche.

Ce sont des plafonds maximaux fixés par la directive (art. 34). Les amendes réelles sont décidées au niveau national et doivent être effectives, proportionnées et dissuasives, en tenant compte de la gravité, de la durée et de votre coopération. Confirmez les règles exactes de la transposition de votre pays auprès d'un conseil qualifié.

Responsabilité personnelle et de la direction

NIS2 place délibérément la cybersécurité sur le bureau du conseil. En vertu de l'article 20, l'organe de direction doit approuver les mesures de gestion des cyber-risques, superviser leur mise en œuvre et peut être tenu responsable des manquements. Les membres des organes de direction doivent également suivre une formation et sont censés proposer une formation similaire à leur personnel.

Pour les entités essentielles, l'article 32, paragraphe 5, va plus loin : lorsque les autres mesures ont échoué, les autorités compétentes peuvent suspendre temporairement une certification ou une autorisation et interdire temporairement à une personne de niveau directeur général ou représentant légal d'exercer des fonctions de direction. Cette exposition personnelle explique pourquoi la gouvernance NIS2 atteint désormais le sommet de l'organisation.

Voyez comment vos fournisseurs se situent réellement

Démarrer l'essai gratuit Voir l'exemple de rapport

7 jours gratuits · sans carte bancaire · annulez à tout moment

La boîte à outils de mise en application (au-delà des amendes)

Avant ou en parallèle d'une amende, les autorités peuvent appliquer diverses mesures contraignantes (art. 32 et 33). En pratique, voici ce à quoi vous êtes le plus susceptible d'être confronté :

Avertissements et instructions contraignantes pour remédier à des manquements précis dans un délai imparti.
Injonctions de se conformer, d'informer les clients concernés d'une menace importante ou de mettre en œuvre les recommandations d'audit.
Audits de sécurité obligatoires et inspections sur site, à vos frais.
Désignation d'un agent de surveillance chargé de contrôler votre conformité pendant une période déterminée.
Publication de l'infraction et injonctions de rendre publics certains aspects de la violation.
Pour les entités essentielles uniquement : suspension temporaire de la certification ou de l'autorisation et interdiction temporaire de direction (art. 32, par. 5).

La surveillance diffère selon la catégorie

Les entités essentielles font l'objet d'une surveillance proactive (ex ante) et réactive (ex post) au titre de l'article 32 : des audits réguliers et ciblés, des inspections sur site, des analyses de sécurité et des demandes d'information peuvent avoir lieu, qu'il y ait ou non un soupçon de problème.

Les entités importantes ne sont surveillées qu'ex post au titre de l'article 33 : les autorités agissent lorsqu'il existe des preuves ou un indice de non-conformité, généralement après un incident ou une plainte. Dans les deux cas, c'est à vous de démontrer que des mesures appropriées étaient en place, ce qui est bien plus facile avec des registres continus qu'avec un instantané annuel.

Sources : Directive (UE) 2022/2555 (NIS2), articles 20, 32, 33 et 34 Les montants maximaux des amendes sont fixés par la directive ; les transpositions nationales fixent les règles et procédures exactes. Ce guide est une information générale, pas un conseil juridique.

Comment norppa.io réduit votre exposition

La plupart des sanctions découlent de deux manquements : des mesures insuffisantes au titre de l'article 21, paragraphe 2 (en particulier la sécurité de la chaîne d'approvisionnement), et l'incapacité à prouver la diligence sur demande. norppa.io répond aux deux en surveillant en continu chaque domaine fournisseur et en reliant chaque constat à l'article NIS2 qu'il concerne.

Comme chaque cycle de surveillance est journalisé, vous disposez d'une piste d'audit continue et datée, précisément la preuve que la surveillance au titre des articles 32 et 33 exige, plutôt qu'un instantané ponctuel. C'est ce qui transforme « nous avions l'intention » en « voici le registre », et c'est l'assurance la moins chère contre les amendes et injonctions ci-dessus.

Pas encore prêt à démarrer ? Recevez l'état NIS2 de votre pays

Nous vous enverrons l'état de transposition NIS2 de votre pays (autorité, loi nationale, dates clés) ainsi qu'une checklist concise de diligence fournisseurs. Un e-mail, puis des mises à jour NIS2 occasionnelles.

E-mail professionnel

Votre pays

Envoyez-moi l'état NIS2 de mon pays, la checklist fournisseurs et des mises à jour NIS2 occasionnelles. Je peux me désabonner à tout moment.

Nous ne partageons jamais votre e-mail. Désabonnement en un clic. Stocké dans l'UE.

Prouvez la diligence de votre chaîne d'approvisionnement

Consultez un exemple de rapport fournisseur (constats, preuves et cartographie des articles NIS2) en deux minutes environ.

Démarrer l'essai gratuit Voir l'exemple de rapport

7 jours gratuits · sans carte bancaire · annulez à tout moment

Voir le tableau de bord exemple

Dernière révision: 19 juin 2026

Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont

La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement

Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.