La procédure d'amende NIS 2 étape par étape
L'article 34 de NIS 2 fixe le plafond. Le Ordnungswidrigkeitengesetz allemand fixe la procédure. Le §65 BSIG les articule.
Ce que décrit cet article
NIS 2 oblige les États membres à prévoir des amendes administratives à l'encontre des entités qui manquent à leurs obligations de gestion des risques de cybersécurité ou de signalement. L'article 34 de NIS 2 fixe les montants maximaux et les critères de calcul. Chaque État membre intègre ce plafond dans sa propre loi sur les contraventions administratives.
En Allemagne, la loi BSI met en œuvre le catalogue d'amendes au §65 BSIG. Les rails procéduraux se trouvent dans l'Ordnungswidrigkeitengesetz (OWiG) : audition au titre du §55 OWiG, avis d'amende au titre du §41 OWiG, opposition dans un délai de deux semaines au titre du §67 OWiG. Les règles de calcul de fond du §17 OWiG opèrent parallèlement aux facteurs spécifiques à NIS 2 prévus à l'article 34, paragraphe 7.
Cette page décrit l'apparence de la procédure vue de l'extérieur. Elle ne conseille pas sur la manière d'y répondre. Une défense concrète dans une procédure §65 BSIG requiert un conseil pénal et réglementaire.
Niveau UE : article 34 de NIS 2
Les États membres veillent à ce que les amendes administratives infligées aux entités essentielles et importantes en vertu du présent article pour les violations de la présente directive soient, dans chaque cas d'espèce, effectives, proportionnées et dissuasives.
L'article 34, paragraphe 4, fixe le maximum à 10 millions EUR ou à 2 pour cent du chiffre d'affaires annuel mondial total de l'exercice précédent pour les entités essentielles. L'article 34, paragraphe 5, fixe 7 millions EUR ou 1,4 pour cent pour les entités importantes, le montant le plus élevé étant retenu dans chaque cas.
Niveau national : §65 BSIG (Allemagne)
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
Le §65 BSIG reprend le plafond de l'article 34 de NIS 2. La liste des comportements punissables au §65(1) BSIG couvre, entre autres, les manquements aux mesures de gestion des risques du §30 BSIG, le défaut de signalement d'incident du §32 BSIG, et le défaut d'enregistrement du §33 BSIG.
Code de procédure : OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
L'OWiG régit la procédure. Le §55 OWiG exige une audition avant l'avis d'amende. Le §41 OWiG précise la forme du Bußgeldbescheid. Le §67 OWiG accorde au destinataire deux semaines à compter de la notification pour former un Einspruch. Le §17 OWiG régit le calcul de fond, appliqué conjointement avec les critères de l'article 34, paragraphe 7, de NIS 2.
Ouverture
Une procédure §65 BSIG débute généralement après que l'autorité de contrôle a établi un fait déclencheur : un manquement aux mesures de cybersécurité du §30 BSIG découvert lors d'un audit ou d'un autosignalement, une notification d'incident du §32 BSIG manquée ou tardive (alerte précoce à 24 heures, suivi à 72 heures, rapport final à un mois), ou un défaut d'enregistrement du §33 BSIG. L'autorité ouvre un Ordnungswidrigkeitenverfahren et notifie l'entité.
Anhörungsschreiben
Avant qu'un quelconque avis d'amende puisse être émis, l'autorité envoie un Anhörungsschreiben énumérant les faits reprochés, la base juridique au titre du §65 BSIG, et un délai pour formuler des observations. La lettre d'audition est procédurale, pas un verdict. Le silence n'arrête pas la procédure. Le cadre du §65 BSIG prévoit que l'affaire soit tranchée sur dossier si l'entité ne répond pas.
Bußgeldbescheid
Si l'autorité conclut que l'infraction est établie, elle émet un Bußgeldbescheid au titre du §41 OWiG. Le montant est calculé au regard des critères de l'article 34, paragraphe 7, de NIS 2 (gravité, durée, intention ou négligence, infractions antérieures, avantage financier, coopération, mesures préalables) conjointement avec le §17 OWiG. L'avis comporte une instruction au titre du §67 OWiG : deux semaines pour former un Einspruch.
Effectives, proportionnées, dissuasives
L'article 34, paragraphe 1, de NIS 2 lie l'autorité à la proportionnalité. Le plafond de 10 millions EUR ou 2 pour cent est un maximum, pas un tarif. Le §17 OWiG exige de l'autorité qu'elle pèse l'importance de l'infraction et la situation économique de l'entité. En pratique, le calcul va dans les deux sens : à la hausse pour la gravité et la récidive, à la baisse pour une coopération sincère et des mesures préalables démontrables.
La coopération est un facteur de calcul
L'article 34, paragraphe 7, point f, de NIS 2 énumère le degré de coopération avec les autorités compétentes comme facteur atténuant. La divulgation volontaire de la violation, la preuve de mesures correctives et le plein accès au dossier comptent tous dans le calcul. Les mesures préalables de l'entité au titre du §30 BSIG (article 34, paragraphe 7, point d, de NIS 2) sont appréciées au regard de la même base de référence.
Bundesamt für Sicherheit in der Informationstechnik
Le BSI est l'autorité de contrôle compétente pour la plupart des secteurs NIS 2 en Allemagne au titre du §1 BSIG. Il ouvre et mène la procédure d'amende §65 BSIG. Les exploitants d'installations critiques (KRITIS) relèvent de la même autorité. Les Bußgeldbescheide et la correspondance relative à l'Einspruch transitent par le BSI.
ENISA et groupe de coopération
L'ENISA n'inflige pas d'amendes. Elle produit des orientations et coordonne le groupe de coopération NIS au titre de l'article 14 de NIS 2. Les productions de l'ENISA (taxonomie des incidents, orientations sectorielles) éclairent ce qui constitue l'état de l'art au titre de l'article 21, paragraphe 2, de NIS 2 et alimentent donc le calcul de l'article 34, paragraphe 7.
Superviseurs sectoriels
Pour la finance, l'énergie, les transports et la santé, les régulateurs sectoriels conservent un rôle parallèle au titre du §61 BSIG et du droit sectoriel. Le plafond du §65 BSIG s'applique néanmoins. Lorsque DORA couvre une entité financière, le régime de sanction propre à DORA prime sur les mesures de cybersécurité, mais l'obligation d'enregistrement de l'article 27 de NIS 2 court toujours.
Le plafond de 2 pour cent est calculé sur le chiffre d'affaires de l'entité allemande.
L'article 34, paragraphe 4, de NIS 2 et le §65 BSIG calculent le pourcentage sur le chiffre d'affaires annuel mondial total de l'entreprise à laquelle l'entité appartient au cours de l'exercice précédent. Pour les filiales au sein d'un groupe plus large, cela peut relever le plafond de plusieurs ordres de grandeur au-dessus du revenu local.
Si nous ignorons l'Anhörung, l'affaire disparaîtra.
Le §55 OWiG exige seulement que l'autorité donne à l'entité la possibilité de formuler des observations. Il n'exige pas de réponse. Le cadre du §65 BSIG prévoit que l'affaire évolue vers un Bußgeldbescheid sur dossier si aucune observation n'arrive. Le code de procédure ne ralentit pas face au silence.
La divulgation complète de chaque détail opérationnel minimisera l'amende.
L'article 34, paragraphe 7, point f, de NIS 2 récompense la coopération avec l'autorité compétente. Il n'exige pas de l'entité qu'elle construise le dossier de l'autorité à sa place. La ligne entre coopération et auto-incrimination est le point à partir duquel un conseil intervient. Les admissions procédurales faites sans conseil sont difficiles à rétracter.
Le délai d'Einspruch de deux semaines prévu au §67 OWiG court à compter de la notification du Bußgeldbescheid. C'est un délai légal, non négociable. Le manquer rend l'avis définitif au titre du §66 OWiG, après quoi seules d'étroites voies de restitution subsistent. La lettre d'audition au titre du §55 OWiG ne comporte pas de délai propre équivalent, mais l'autorité en fixe un dans la lettre.
Une défense concrète dans une procédure §65 BSIG requiert un conseil pénal et réglementaire. Cet article décrit la procédure et les ancrages juridiques. Il ne traite pas de la manière de répondre à une lettre d'audition ou à un avis d'amende spécifique. Tout ce qui touche à la substance de la gestion des risques de l'entité (§30 BSIG), à son historique de signalement (§32 BSIG) ou à ses mesures préalables au titre de l'article 21 de NIS 2 devrait être discuté avec un conseil avant de quitter l'entité.
Une procédure §65 BSIG est tranchée sur dossier. Le calcul de l'article 34, paragraphe 7, de NIS 2 récompense les mesures préalables, la coopération et un historique documenté. Cet historique se construit avant l'arrivée de toute lettre : qui a approuvé quel contrôle, quand un incident a été signalé, quelles preuves étayaient les mesures de gestion des risques du §30 BSIG.
La plateforme enregistre cet historique en continu. Les approbations, les pistes d'affectation, les notifications d'incident et les approbations de politiques portent des horodatages et des identités. Rien de tout cela ne tranche une procédure. Mais tout cela constitue le type de dossier que regarde le calcul du §17 OWiG et de l'article 34, paragraphe 7, de NIS 2.
- Directive (UE) 2022/2555 (NIS 2), article 34 : conditions générales pour l'imposition d'amendes administratives aux entités essentielles et importantes.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65 : Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, productions du groupe de coopération NIS 2 et orientations techniques de mise en œuvre.