En vigueur depuis le 17 oct. 2024·Jour 579·

Sanctions28 mars 20258 min

Comment les régulateurs nationaux calculeront votre amende NIS2

Jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. Le gros titre est simple. L’arithmétique derrière ne l’est pas.

Comment les régulateurs nationaux calculeront votre amende NIS2Sanctions

« Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial » est le gros titre. Court, dramatique, et presque toujours mal cité dans les supports de conseil. La règle réelle est à l'article 34 de la directive (UE) 2022/2555 et se lit, sous sa forme opérationnelle, comme une fonction de trois choses : une catégorie, une formule, et une liste de facteurs.

Voici ce que votre direction financière doit modéliser.

La formule : pas « ou », mais « le montant le plus élevé »

L'article 34, paragraphe 4, fixe le plafond pour les entités essentielles : amendes administratives « d'un montant maximal d'au moins 10 000 000 EUR ou d'un montant maximal d'au moins 2 % du chiffre d'affaires annuel total au niveau mondial réalisé au cours de l'exercice précédent par l'entreprise dont l'entité essentielle fait partie, le montant le plus élevé étant retenu ».

L'article 34, paragraphe 5, fixe le plafond pour les entités importantes : « d'un montant maximal d'au moins 7 000 000 EUR ou d'un montant maximal d'au moins 1,4 % du chiffre d'affaires annuel total au niveau mondial (...), le montant le plus élevé étant retenu ».

Ce qui saute en raccourci, c'est « le montant le plus élevé étant retenu ». Pour un groupe dont l'entité essentielle a 1 milliard d'euros de chiffre d'affaires mondial, le plafond n'est pas 10 M€ — c'est 2 % × 1 Md€ = 20 M€. Pour 10 Md€, c'est 200 M€. Le nombre fixe en euros ne s'applique qu'aux entités suffisamment petites pour que 2 % de leur chiffre d'affaires soit inférieur à 10 M€ — grosso modo, les groupes en dessous de 500 M€ de revenus.

Tout aussi important : le pourcentage se calcule sur l'entreprise (le groupe), pas sur la personne morale qui a commis le manquement. Une filiale entité essentielle d'un groupe multinational est sanctionnée en pourcentage du chiffre d'affaires mondial consolidé du groupe parent. Le texte est sans ambiguïté sur ce point.

Les facteurs : neuf modulateurs entre zéro et le plafond

L'article 34, paragraphe 3, liste ce que les autorités nationales compétentes doivent prendre en considération pour fixer le montant effectif à l'intérieur de ce plafond. La liste est limitative dans la directive mais largement interprétée dans la transposition nationale. Les neuf facteurs :

  1. La gravité et la durée du manquement.
  2. Les dommages causés ou pertes subies par l'entité, y compris les dommages économiques, sociaux ou environnementaux à des tiers.
  3. Le caractère intentionnel ou négligent du manquement.
  4. Les mesures prises pour prévenir ou atténuer les dommages.
  5. Le degré de responsabilité ou les éventuels manquements antérieurs.
  6. Le degré de coopération avec l'autorité compétente.
  7. La manière dont le manquement a été porté à la connaissance de l'autorité, en particulier si l'entité l'a notifiée elle-même, et avec quelle promptitude.
  8. L'adhésion à des codes de conduite approuvés ou à des mécanismes de certification.
  9. Tout avantage financier acquis ou pertes évitées du fait du manquement.

L'implication arithmétique : un facteur favorable (auto-notification dans les 72 heures, pleine coopération, ISO 27001 en vigueur, remédiation rapide) réduit l'amende. Un facteur défavorable (dissimulation, manquement antérieur, non-conformité intentionnelle, absence de certification) la pousse vers le plafond. Les autorités nationales compétentes ont commencé à publier des grilles de pondération approximatives — voir la méthodologie publiée du BSI en Allemagne et les linee guida sanzionatorie de l'ACN en Italie — et les modulateurs s'étalent couramment sur un ordre de grandeur.

Le pire-cas pour une entité essentielle à 1 Md€ de chiffre d'affaires est 20 M€. Le meilleur-cas pour la même entité, sur le même manquement, est plutôt 1 à 2 M€. Le travail n'est pas d'éviter l'amende — c'est de se déplacer le long de l'échelle des modulateurs.

Les facteurs aggravants qui poussent significativement vers le plafond

Trois facteurs produisent systématiquement une majoration dans les lignes directrices publiées :

  • Défaut de notification d'incident dans la fenêtre de 72 heures de l'article 23. C'est l'aggravant le plus fréquent parce que c'est le plus prouvable.
  • Récidive — un précédent constat sur l'article 21 dans les trois dernières années (les règles nationales varient sur la fenêtre rétrospective).
  • Non-conformité intentionnelle documentée dans les procès-verbaux du conseil ou dans des courriels internes. Une preuve trouvable que l'organe de direction a été averti qu'une mesure était absente et a choisi de ne pas la traiter est le pire modulateur.

Les facteurs atténuants qui réduisent significativement l'amende

À l'inverse, et tout aussi systématiquement :

  • Auto-notification du manquement à l'autorité compétente avant que le régulateur n'agisse.
  • Une certification ISO/IEC 27001 en cours de validité ou une certification nationale équivalente (Grundschutz du BSI, Esquema Nacional de l'INCIBE-CERT, schéma de l'ACN, parcours de certification du NCSC-IE).
  • Une supervision conseil documentée au titre de l'article 20 — les mêmes documents couverts dans notre analyse de l'article 20 (PV de conseil, dossiers de formation, registre des risques daté) se rattachent directement à ce facteur.
  • Remédiation rapide avec des dates de clôture mesurables communiquées au régulateur.

Articulation avec les amendes RGPD et DORA

L'article 32, paragraphe 2 de NIS2 contient une clause de coordination : lorsque le même comportement déclenche à la fois NIS2 et le RGPD ou DORA, les autorités compétentes doivent se coordonner pour éviter la double peine sur les mêmes faits. En pratique, cela n'annule que rarement une amende — cela fait plutôt basculer quel régulateur pilote et lequel est informé. L'exposition agrégée sur un incident de violation de données personnelles qui constitue aussi un incident important NIS2 est le plus élevé des deux plafonds, pas leur somme.

Pour les entités du secteur financier également dans le périmètre de DORA, le plafond combiné est encore plus stratifié. Une décision au niveau du conseil d'investir dans la conformité au plus exigeant des deux (typiquement DORA pour les services financiers concernés) est la posture défendable.

Variation nationale

La directive fixe des plafonds minimums (« d'au moins »). Les États membres peuvent fixer des plafonds plus élevés, et plusieurs ont utilisé l'option :

  • Allemagne : la NIS2UmsuCG retient les minima de la directive mais ajoute une responsabilité civile explicite des dirigeants au §32.
  • France : le cadre d'application de l'ANSSI suit les minima de la directive ; le Conseil d'État a une compétence de supervision sur les contentieux.
  • Espagne, Italie, Irlande : minima de la directive confirmés, avec des spécificités procédurales nationales sur les voies d'opposition et de recours.
  • Belgique : la transposition est allée plus loin, avec une responsabilité civile explicite des personnes physiques exerçant des fonctions de direction.

L'arithmétique est celle de la directive. La procédure et la voie de recours sont nationales. Les conseils qui modélisent leur exposition à l'amende doivent dérouler la formule avec les chiffres de la directive et ajouter un calque de coût procédural propre à chaque État membre d'opération.

Ce que ça signifie pour le budget

La posture budgétaire rationnelle n'est pas « provisionner l'amende maximale au cas où ». C'est :

  • Modéliser le plafond sur le chiffre d'affaires du groupe.
  • Tracer l'attendu réel d'après le profil de facteurs actuel de l'entité (certifications, gouvernance conseil, prêteur à notifier, antécédents).
  • Traiter l'écart entre les deux comme un dossier de business case d'investissement en contrôles. Chaque euro dépensé sur un contrôle qui déplace un facteur d'aggravant vers atténuant est, en valeur attendue, remboursé plusieurs fois face au plafond d'amende.

C'est cette conversation qu'invite réellement l'article 34. Le chiffre du gros titre est le début, pas la réponse.

Sources

  1. Directive (UE) 2022/2555, article 34 (« Conditions générales d'imposition d'amendes administratives »).
  2. Directive (UE) 2022/2555, article 34, paragraphes 4 et 5 (plafonds entités essentielles et importantes).
  3. Directive (UE) 2022/2555, article 34, paragraphe 3 (facteurs à prendre en considération pour fixer l'amende).
  4. Directive (UE) 2022/2555, article 32, paragraphe 2 (coordination avec le RGPD et autres sanctions de droit de l'Union).
  5. Directive (UE) 2022/2555, article 23 (obligations de déclaration d'incident — référencé comme facteur d'amende).
  6. Directive (UE) 2022/2555, considérants 130 à 135 (sanctions et application).
  7. Lignes directrices d'application des autorités nationales compétentes : BSI (DE), ANSSI (FR), INCIBE (ES), ACN (IT), NCSC-IE (IE), et analyses comparatives de l'ENISA.

Autres articles

Authentification multifacteur NIS2 : 5 classes d'accès à protégerMesures techniques

Authentification multifacteur NIS2 : 5 classes d'accès à protéger

11 mai 2026·Lire · 7 min
Transposition NIS2 France, Allemagne, Espagne, Italie : où en sont les quatre marchésExécution nationale

Transposition NIS2 France, Allemagne, Espagne, Italie : où en sont les quatre marchés

6 mai 2026·Lire · 7 min
Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matinGestion des incidents

Incident significatif NIS2 : l’arbre de décision pour l’astreinte à 3 h du matin

6 mai 2026·Lire · 7 min