Amendes NIS2 en 2026 : 10 millions d'euros ou 2 % du chiffre d'affaires — Ce que votre conseil d'administration doit savoir

Une entreprise énergétique de taille moyenne en Allemagne reçoit une lettre de la BSI. Son délai d'enregistrement NIS2 a expiré il y a trois mois. Elle ne s'est jamais enregistrée. L'amende ? Jusqu'à 10 millions d'euros — ou 2 % de son chiffre d'affaires annuel mondial, le montant le plus élevé s'appliquant. Et en vertu de l'article 20 de la directive NIS2, les membres du conseil qui ont omis d'approuver les mesures de cybersécurité peuvent être tenus personnellement responsables.

Ce n'est pas un scénario hypothétique. (Pour comprendre l'ensemble des pouvoirs d'application au-delà des amendes, lisez notre analyse précédente : 7 sanctions NIS2 pires que l'argent.) La loi allemande de transposition de NIS2 est en vigueur depuis décembre 2025, et environ 29 500 entreprises se trouvent désormais sous la supervision de la BSI. Les Pays-Bas, la France et une douzaine d'autres États membres de l'UE emboîtent le pas.

Si votre organisation est soumise à NIS2 et que votre conseil d'administration n'a pas encore agi, la fenêtre pour vous préparer sans pression se ferme rapidement.

Comment fonctionnent réellement les amendes NIS2

La directive NIS2 (UE 2022/2555) établit deux niveaux de pénalités en vertu de l'article 34. Les montants dépendent du classement de votre organisation en tant qu'entité essentielle ou importante.

Les entités essentielles — énergie, transports, santé, banque, infrastructure numérique, eau et fournisseurs de services TIC — font face à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel total mondial, le montant le plus élevé s'appliquant.

Les entités importantes — services postaux, gestion des déchets, production alimentaire, chimie, fabrication et fournisseurs numériques — font face à des amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel total mondial, le montant le plus élevé s'appliquant.

La clause « le montant le plus élevé s'applique » est critique. Pour une entreprise avec un chiffre d'affaires annuel de 800 millions d'euros, 2 % équivaut à 16 millions d'euros — bien au-dessus du plancher de 10 millions d'euros. Les montants fixes ne plafonnent que les organisations plus petites.

Unknown comparison key: finesComparison

Ces amendes s'appliquent aux défaillances dans deux domaines : l'absence de mise en œuvre des mesures de cybersécurité requises (article 21) et le non-respect des obligations en matière de déclaration d'incidents (article 23). Les autorités nationales peuvent également imposer des astreintes périodiques pour forcer le respect continu.

Un exemple concret

Considérez un fournisseur de services informatiques gérés avec 50 millions d'euros de chiffre d'affaires annuel, classé comme entité essentielle. Si un régulateur constate qu'ils manquent de procédures appropriées de réponse aux incidents et de contrôles de sécurité de la chaîne d'approvisionnement, l'exposition maximale aux amendes est de 10 millions d'euros (puisque 2 % de 50 millions d'euros équivaut à 1 million d'euros, le plafond fixe s'applique). Cela représente 20 % de leur chiffre d'affaires annuel — suffisant pour menacer la survie de l'entreprise.

Votre conseil d'administration est personnellement responsable

L'article 20 de la directive NIS2 introduit quelque chose que beaucoup d'administrateurs n'ont pas encore pleinement compris : la responsabilité de l'organe de gestion pour la cybersécurité.

Votre conseil d'administration doit :

1. Approuver les mesures de gestion des risques de cybersécurité que votre organisation met en œuvre en vertu de l'article 21
2. Superviser la mise en œuvre de ces mesures
3. Suivre une formation régulière à la cybersécurité — et s'assurer que les employés reçoivent une formation continue également
4. Accepter la responsabilité pour les manquements à l'article 21

Ce n'est pas une obligation favorable à la délégation. La directive stipule explicitement que les organes de gestion peuvent être tenus responsables du non-respect. Pour les entités essentielles, les articles 32 et 33 vont plus loin : les autorités compétentes peuvent demander aux tribunaux d'interdire temporairement aux administrateurs individuels d'exercer des fonctions de gestion jusqu'à ce que l'organisation atteigne la conformité.

L'étendue exacte de la responsabilité personnelle varie selon l'État membre — l'Allemagne, l'Italie et la Belgique ont déjà mis en œuvre des mécanismes spécifiques de responsabilité personnelle dans leurs législations nationales. Mais la direction est claire dans toute l'UE : la cybersécurité est désormais une responsabilité du niveau du conseil d'administration, pas un problème du service informatique.

Ce que cela signifie en pratique

Si votre organisation subit un incident de cybersécurité important et que le régulateur constate que le conseil n'a jamais approuvé de politique de cybersécurité, n'a jamais suivi de formation et n'a jamais examiné la posture de risque de l'organisation — les conséquences personnelles pour les administrateurs dépassent l'amende de l'organisation.

Les 10 mesures que votre organisation doit mettre en œuvre

L'article 21 prescrit dix mesures minimales de gestion des risques de cybersécurité. Celles-ci ne sont pas facultatives et s'appliquent à chaque entité concernée :

1. Analyse des risques et politiques de sécurité de l'information — documentées et approuvées par le conseil
2. Gestion des incidents — procédures qui soutiennent les délais de déclaration de 24/72 heures
3. Continuité d'activité — gestion des sauvegardes, reprise après sinistre et gestion de crise
4. Sécurité de la chaîne d'approvisionnement — exigences de sécurité pour les fournisseurs directs et les prestataires de services
5. Sécurité dans l'acquisition, le développement et la maintenance des systèmes — y compris la gestion des vulnérabilités
6. Évaluation de l'efficacité — politiques et procédures pour évaluer si vos mesures fonctionnent réellement
7. Hygiène informatique et formation — pratiques de base pour tous les employés
8. Politiques de cryptographie — y compris le chiffrement le cas échéant
9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
10. Authentification multifacteur — et communications sécurisées le cas échéant

Article 21 — 10 Mesures de Cybersécurité NIS2
🛡️
Article 21
10 Mesures de Cybersécurité
📊
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
🚨
Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
🔗
Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
🔐
Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
👥
Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Vous n'êtes pas sûr que votre organisation respecte ces 10 exigences ? Faites le Quick Scan NIS2 gratuit — il cartographie votre posture actuelle par rapport à l'Article 21 en moins de 10 minutes.

Les mesures les plus souvent carentes dans les organisations de taille moyenne sont la sécurité de la chaîne d'approvisionnement, les procédures formelles de gestion des incidents, l'évaluation de l'efficacité et le déploiement de l'authentification multifacteur au-delà du courrier électronique. Ce sont aussi les domaines où les régulateurs devraient se concentrer en priorité.

Déclaration d'incidents : l'échéancier 24-72-30

L'article 23 établit des délais de déclaration stricts pour lesquels de nombreuses organisations ne sont pas préparées :

Étape	Délai	Ce que vous devez déclarer
Alerte précoce	24 heures après avoir pris connaissance	Si l'incident est suspecté malveillant ; impact potentiel transfrontalier
Notification d'incident	72 heures après avoir pris connaissance	Informations mises à jour, évaluation initiale de la gravité, indicateurs de compromission
Rapport final	1 mois après la notification	Analyse des causes profondes, mesures d'atténuation prises, évaluation complète de l'impact

Calendrier de Notification des Incidents NIS2
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 1
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 2
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 3
24h
⚡
Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72h
📋
Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1mo
📊
Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Le non-respect de ces délais expose votre organisation aux mêmes amendes en vertu de l'article 34 que le défaut de mise en œuvre des mesures de sécurité. L'alerte précoce de 24 heures est particulièrement exigeante — elle nécessite que votre organisation dispose déjà de processus de surveillance, classification et escalade avant qu'un incident ne se produise.

Où en est l'exécution en ce moment

Le paysage de l'exécution en Europe est inégal, mais s'accélère :

L'Allemagne est pleinement opérationnelle. La NIS2UmsuCG est entrée en vigueur le 6 décembre 2025. Le portail d'enregistrement de la BSI a ouvert ses portes le 6 janvier 2026, avec un délai d'enregistrement du 6 mars 2026. Environ 29 500 entités sont concernées — contre 4 500 selon l'ancien régime NIS1.

Les Pays-Bas ne sont pas loin derrière. La Cyberbeveiligingswet (Cbw) était en débat parlementaire fin mars 2026, avec une entrée en vigueur prévue au deuxième trimestre 2026. Le RDI supervisera l'infrastructure numérique ; l'ILT couvre les transports. L'infrastructure d'enregistrement est déjà disponible pour une préparation préalable.

La France a lancé son cadre ReCyF via l'ANSSI (mars 2026) avec 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes. Cependant, la loi de transposition française n'est pas encore adoptée — l'examen parlementaire est prévu pour juillet 2026.

La Belgique, l'Italie, la Croatie, la Hongrie et plusieurs autres États membres ont pleinement transposé la directive. La Commission européenne a adressé des avis motivés à 19 États membres en mai 2025 pour avoir manqué le délai initial d'octobre 2024.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
✅
Pleinement en vigueur
🇧🇪Belgique
🇭🇷Croatie
🇭🇺Hongrie
🇱🇹Lituanie
🇱🇻Lettonie
🇮🇹Italie
6 pays
📋
Adopté — fin 2025
🇩🇪Allemagne
🇨🇿République tchèque
🇫🇮Finlande
3 pays
⏳
En cours — prévu 2026
🇳🇱Pays-Bas
🇫🇷France
🇪🇸Espagne
🇵🇱Pologne
🇦🇹Autriche
🇸🇪Suède
🇮🇪Irlande
7 pays

La conclusion : l'application n'est pas une préoccupation future. Dans plusieurs pays de l'UE, elle se déroule maintenant.

Ce que votre conseil d'administration devrait faire cette semaine

Vous n'avez pas besoin de tout résoudre à la fois. Mais votre conseil d'administration doit commencer — visiblement, formellement et documenté.

Étape 1 : Déterminez votre classification. Êtes-vous une entité essentielle ou importante ? Les seuils sont clairs : 50+ employés ou chiffre d'affaires de 10 millions d'euros ou plus dans un secteur couvert. Certaines entités (fournisseurs DNS, services de confiance) sont toujours concernées indépendamment de leur taille.

Étape 2 : Impliquez formellement votre conseil d'administration. Planifiez une résolution du conseil approuvant une approche de gestion des risques de cybersécurité. Documentez-la. Cela répond directement à l'exigence de responsabilité de l'article 20.

Étape 3 : Réservez une formation pour la direction. La directive l'exige. Une seule session ne suffira pas — cela doit être continu. Assurez-vous que les membres de votre conseil peuvent démontrer qu'ils comprennent la posture de risque cyber de l'organisation.

Étape 4 : Évaluez vos défaillances actuelles. Mappez vos mesures de sécurité existantes par rapport aux 10 exigences de l'article 21. Où êtes-vous les plus faibles ? La sécurité de la chaîne d'approvisionnement et la réponse aux incidents sont des défaillances courantes.

Étape 5 : Préparez votre capacité de déclaration. Votre organisation peut-elle détecter, classifier et déclarer un incident dans les 24 heures ? Si ce n'est pas le cas, ce processus doit être construit maintenant — pas après le premier incident.

Vous voulez savoir où se situe votre organisation ? Lancez le scan NIS2 gratuit — cela prend 10 minutes et vous donne une image claire de vos défaillances en matière de conformité par rapport à l'article 21.

Le coût de l'attente

Chaque mois de retard augmente votre exposition aux risques. L'Allemagne applique déjà la directive. Les Pays-Bas sont à quelques semaines. La France, l'Espagne et la Pologne sont dans les derniers stades de la transposition.

Les amendes NIS2 sont conçues pour être proportionnées mais significatives — assez importantes pour que ignorer la directive ne soit jamais le choix économiquement rationnel. Et avec la responsabilité personnelle du conseil inscrite dans la loi de l'UE, les conséquences dépassent le bilan.

Les organisations qui agissent maintenant dépenseront moins, feront face à moins de surprises et éviteront la ruée quand l'exécution commencera en toute rigueur. Le parcours de conformité est gérable — mais seulement si vous commencez avant que le régulateur ne le fasse.

---

Lecture connexe : 7 sanctions NIS2 pires que l'argent — Au-delà des amendes, NIS2 donne aux régulateurs le pouvoir d'interdire les dirigeants, de nommer publiquement votre organisation et de suspendre vos opérations. Connaissez le tableau complet.