Sanctions NIS2 : ce que vous risquez réellement
Quatre paliers de sanctions, exemples de calcul concrets pour trois tailles d'entreprise, scénarios d'application réalistes, et la responsabilité personnelle de la direction que l'assurance D&O ne couvre probablement pas.
Le cadre des sanctions est réel, mais proportionné
Les sanctions NIS2 sont calquées sur la structure de sanctions du GDPR, conçues pour être suffisamment élevées afin que les entreprises ne puissent pas traiter les amendes comme un simple coût d'exploitation. Les montants maximaux (jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial) font la une, mais la réalité pour la plupart des entreprises de taille intermédiaire est plus nuancée. Les amendes sont évaluées en fonction de la gravité de la violation, de la taille de l'entreprise, de la bonne foi de l'entreprise et des mesures correctives prises.
Cela dit, le cadre des sanctions n'est pas théorique. Le BSI dispose de pouvoirs d'exécution, les amendes sont codifiées au §65 BSIG, et la responsabilité personnelle de la direction au titre du §38 est un mécanisme juridique distinct. Ignorer NIS2 n'est pas une stratégie viable de gestion des risques. Comprendre la structure réelle des sanctions vous aide à prendre des décisions proportionnées sur l'investissement en conformité, sans paniquer ni minimiser les risques.
Jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial
Entités essentielles - violations des mesures de cybersécurité
S'applique aux entités essentielles (secteurs de l'annexe I) qui ne mettent pas en œuvre des mesures de cybersécurité adéquates au titre du §30 BSIG, ne notifient pas les incidents importants au titre du §32, ou enfreignent par ailleurs des obligations substantielles de NIS2. L'amende est la PLUS ÉLEVÉE de 10 M€ ou 2 % du chiffre d'affaires mondial de l'exercice précédent.
Jusqu'à 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial
Entités importantes - violations des mesures de cybersécurité
S'applique aux wichtige Einrichtungen (entités importantes, secteurs de l'annexe II) pour les mêmes violations substantielles. Le plafond inférieur reflète le principe de proportionnalité de la directive NIS2 : les entités importantes relèvent de secteurs à criticité moindre. L'amende est la PLUS ÉLEVÉE de 7 M€ ou 1,4 % du chiffre d'affaires mondial de l'exercice précédent.
Jusqu'à 500 000 €
Violations d'enregistrement
Sanction spécifique pour défaut d'enregistrement auprès du BSI au titre du §33 BSIG ou fourniture d'informations d'enregistrement incorrectes. Il s'agit d'une violation autonome : vous pouvez être sanctionné pour défaut d'enregistrement même si vos mesures de cybersécurité réelles sont adéquates. La sanction d'enregistrement s'applique tant aux entités essentielles qu'aux entités importantes.
Jusqu'à 500 000 €
Violations de notification
Sanction spécifique pour défaut de notification des incidents importants dans les délais requis (alerte précoce de 24 h, notification de 72 h, rapport final d'un mois) ou pour défaut de fourniture des informations requises lors des enquêtes du BSI. Chaque défaut de notification constitue une violation potentielle distincte.
| Type d'entreprise | Chiffre d'affaires annuel | Amende max. (essentielle) | Amende max. (importante) |
|---|---|---|---|
| Petite entreprise de taille intermédiaire | 15 000 000 € | 10 000 000 € (le plafond fixe s'applique - 2 % ne ferait que 300 000 €) | 7 000 000 € (le plafond fixe s'applique - 1,4 % ne ferait que 210 000 €) |
| Entreprise de taille intermédiaire moyenne | 50 000 000 € | 10 000 000 € (le plafond fixe s'applique - 2 % ne ferait que 1 000 000 €) | 7 000 000 € (le plafond fixe s'applique - 1,4 % ne ferait que 700 000 €) |
| Grande entreprise | 200 000 000 € | 10 000 000 € (le plafond fixe s'applique - 2 % feraient 4 000 000 €) | 7 000 000 € (le plafond fixe s'applique - 1,4 % feraient 2 800 000 €) |
Quatre scénarios d'application réalistes
Ce qui déclenche réellement l'exécution par le BSI et à quoi ressemblent les conséquences en pratique.
Enregistrement BSI tardif ou manquant
Votre entreprise remplit les critères du champ d'application de NIS2 mais ne s'est pas enregistrée auprès du BSI au titre du §33 BSIG. Le BSI vous identifie via des bases de données sectorielles, des listes d'adhérents d'associations professionnelles ou des registres du commerce.
Le BSI émet une injonction de conformité exigeant l'enregistrement dans un délai déterminé. Si vous vous conformez, l'affaire peut s'arrêter là, surtout si vous pouvez démontrer que vous l'ignoriez réellement. Si vous ignorez l'injonction, des amendes pouvant atteindre 500 000 € peuvent être prononcées. Le défaut d'enregistrement crée également une documentation attestant que vous étiez en non-conformité dès le départ, ce qui affaiblit votre position sur toute autre violation de NIS2.
Défaut de notification d'un incident important
Votre entreprise subit une attaque par rançongiciel qui perturbe les services pendant 48 heures. Vous gérez la réponse technique mais ne notifiez pas le BSI. L'incident devient public par la couverture médiatique ou les plaintes des clients.
Le défaut de dépôt de l'alerte précoce initiale dans les 24 heures constitue une violation distincte du défaut de dépôt de la notification de 72 heures et du rapport final : chacun est un fait générateur de sanction indépendant. Le BSI enquête et constate qu'aucun rapport n'a été déposé. Au-delà de l'amende (jusqu'à 500 000 € par défaut de notification), l'absence de notification soulève des questions sur l'ensemble de votre posture de conformité, pouvant déclencher un audit plus large.
Aucun processus de gestion des risques en place
Lors d'un audit du BSI (pour les entités essentielles) ou à la suite d'un incident (pour les entités importantes), le BSI constate que votre entreprise ne dispose d'aucune évaluation des risques documentée, d'aucun inventaire des actifs et d'aucune mesure de cybersécurité au-delà de l'exploitation informatique de base.
Il s'agit de la violation substantielle la plus grave : une absence totale de conformité au §30 BSIG. Les sanctions maximales s'appliquent (10 M€/2 % pour les essentielles, 7 M€/1,4 % pour les importantes). En pratique, le BSI émettrait probablement d'abord des instructions contraignantes et imposerait des sanctions en cas de non-respect de celles-ci. Mais l'absence de tout processus de gestion des risques ne laisse aucune place au moyen de défense « nous avons agi de bonne foi ».
Lacunes de sécurité de la chaîne d'approvisionnement
Votre entreprise externalise l'exploitation informatique à un prestataire de services gérés. Le prestataire subit une violation de données qui expose les données de vos clients. Le BSI enquête et constate l'absence d'évaluation de sécurité du fournisseur, l'absence d'exigences contractuelles de cybersécurité et l'absence de surveillance de la posture de sécurité du prestataire.
Vous êtes responsable de la sécurité de votre chaîne d'approvisionnement au titre du §30(2)(4) BSIG, indépendamment du lieu où la violation s'est produite. L'absence de diligence raisonnable sur le fournisseur signifie que vous n'avez pas mis en œuvre les mesures requises. Cela peut déclencher des sanctions au titre du cadre des mesures de cybersécurité (jusqu'à 10 M€/7 M€ selon le type d'entité), et l'incident lui-même déclenche des obligations de notification. Si vous omettez également de notifier, les sanctions se cumulent.
Le §38 BSIG crée un mécanisme de responsabilité personnelle pour la direction de l'entreprise, distinct des amendes administratives infligées à l'entreprise. La Geschäftsführung doit approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et suivre une formation en cybersécurité. Si ces obligations sont négligées et que l'entreprise subit un préjudice de ce fait, la direction peut être tenue personnellement responsable de ce préjudice. Il s'agit d'une responsabilité civile : la demande d'indemnisation émane de l'entreprise (ou de son administrateur judiciaire) à l'encontre des dirigeants individuels.
Élément crucial, le §38 BSIG dispose que cette responsabilité ne peut faire l'objet d'une renonciation par résolution des associés. Même dans une GmbH dirigée par son propriétaire, où le Geschäftsführer est aussi l'associé unique, la responsabilité existe. Les polices d'assurance D&O excluent généralement les amendes et sanctions réglementaires, et la couverture de la responsabilité propre à NIS2 est un domaine en évolution : vérifiez votre police spécifique plutôt que de présumer d'une couverture. L'implication pratique : la conformité NIS2 est désormais une question de gestion des risques personnels pour chaque Geschäftsführer, et non une simple case à cocher de gouvernance d'entreprise.
Questions fréquentes
Quelle est l'amende maximale pour mon entreprise ?
Cela dépend de la classification de votre entité. Entités essentielles (secteurs de l'annexe I) : le plus élevé de 10 M€ ou 2 % du chiffre d'affaires annuel mondial. Entités importantes (secteurs de l'annexe II) : le plus élevé de 7 M€ ou 1,4 % du chiffre d'affaires annuel mondial. Pour la plupart des entreprises de taille intermédiaire (chiffre d'affaires inférieur à 500 M€), le montant fixe s'applique car 2 % du chiffre d'affaires sont inférieurs à 10 M€. Des sanctions distinctes pouvant atteindre 500 000 € s'appliquent aux violations d'enregistrement et de notification.
Puis-je être personnellement sanctionné en tant que Geschäftsführer ?
Les amendes administratives au titre du §65 BSIG sont infligées à l'entreprise, et non à la personne. Toutefois, le §38 BSIG crée une responsabilité civile personnelle pour les préjudices résultant du défaut d'approbation et de surveillance des mesures de cybersécurité. Cela signifie que vous encourez une responsabilité personnelle pour les pertes de l'entreprise : non pas une amende publique, mais potentiellement une demande d'indemnisation. Dans un scénario d'insolvabilité, l'administrateur judiciaire peut faire valoir cette demande à votre encontre personnellement.
L'assurance D&O couvre-t-elle les sanctions NIS2 ?
La plupart des polices D&O excluent les amendes réglementaires et les sanctions administratives : celles-ci sont généralement non assurables en droit allemand. La responsabilité civile au titre du §38 BSIG (demandes d'indemnisation) peut être couverte par l'assurance D&O, selon les termes de votre police. Examinez votre police spécifique et discutez de l'exposition à NIS2 avec votre courtier. Ne présumez pas qu'une couverture existe : demandez une confirmation écrite de ce qui est et n'est pas couvert.
Qu'est-ce qui déclenche l'exécution par le BSI ?
Pour les entités essentielles : le BSI peut mener des audits et inspections proactifs sans déclencheur spécifique. Pour les entités importantes : l'exécution est généralement réactive, déclenchée par un incident notifié, une plainte de tiers, une couverture médiatique d'une violation ou un défaut d'enregistrement. Le BSI croise également le registre du commerce et les bases de données sectorielles pour identifier les entités qui devraient être enregistrées mais ne le sont pas.
Les sanctions sont-elles proportionnelles à la taille de l'entreprise ?
Oui, par conception. Le calcul fondé sur un pourcentage du chiffre d'affaires garantit que les sanctions évoluent avec la taille de l'entreprise. Pour une entreprise réalisant 15 M€ de chiffre d'affaires, l'amende maximale pour une entité essentielle est de 10 M€ (le plafond fixe, puisque 2 % ne représentent que 300 000 €). Pour une entreprise réalisant 600 M€, le maximum est de 12 M€ (2 % du chiffre d'affaires dépassent le plancher de 10 M€). En outre, le BSI est tenu de prendre en compte la proportionnalité lors de l'évaluation des sanctions : la taille de l'entreprise, la gravité de la violation, la durée et les efforts de bonne foi entrent tous en compte dans le montant réel de la sanction.
- BSIG - §38 (responsabilité de la direction), §65 (amendes administratives et cadre des sanctions)
- Directive NIS2 (UE) 2022/2555 - article 34 (mesures de surveillance pour les entités essentielles), article 35 (mesures de surveillance pour les entités importantes), article 36 (sanctions)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - Documentation parlementaire sur la conception du cadre des sanctions et les considérations de proportionnalité
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft) - Analyse de la couverture d'assurance D&O pour la responsabilité réglementaire (2025)