En une phrase. Le régime de sanctions NIS 2 française (loi 30 avril 2024) habilite l’ANSSI à exercer les contrôles et propose des sanctions à une autorité administrative indépendante. Plafonds : 10 M€ ou 2 % du CA mondial (Entités Essentielles), 7 M€ ou 1,4 % du CA (Entités Importantes). Innovation majeure NIS 2 : responsabilité personnelle des dirigeants (art. 20 et 32 de la directive), avec sanctions d’interdiction d’exercer temporaire. Premières sanctions attendues fin 2026 / début 2027 après période de mise en conformité.
L’ANSSI dispose désormais des pouvoirs de contrôle comparables à la CNIL. C’est un changement majeur : l’ANSSI passe de conseiller à régulateur. Les 15 000 entités françaises NIS 2 entrent dans un régime contraignant comparable au RGPD pour la cybersécurité.
Pour approfondir : PSSI ANSSI, PCA ANSSI, SecNumCloud.
Points clés
- L’ANSSI obtient des pouvoirs de contrôle et d’enquête (loi 30 avril 2024).
- Sanctions : 10 M€ ou 2 % CA mondial (EE), 7 M€ ou 1,4 % CA (EI).
- Responsabilité dirigeants : interdiction d’exercer temporaire (innovation NIS 2).
- Astreintes par jour de manquement possibles.
- Premières sanctions effectives attendues fin 2026 / 2027.
1. Architecture du régime français
| Acteur | Rôle |
|---|---|
| ANSSI | Contrôle, instruction, expertise technique |
| AAI sanctions | Décision de sanction (souvent commission spécialisée) |
| DGE / DGCCRF | Coopération sectorielle |
| Ministères sectoriels | Régulations spécifiques (santé, finance) |
| CSPN | Audit produits sécurité |
2. Pouvoirs de contrôle ANSSI
L’ANSSI peut désormais :
- Contrôles sur pièces (demande documents)
- Contrôles sur place (audit physique)
- Audits de sécurité par ses agents ou prestataires qualifiés
- Scans de sécurité ciblés (vulnérabilités externes)
- Demandes d’informations sous astreinte
- Injonctions de mise en conformité avec délais
Les agents ANSSI assermentés peuvent verbaliser. Refus de contrôle = sanction pénale (3 ans/45 K€ — par analogie LIL).
3. Procédure type de sanction
| Étape | Délai |
|---|---|
| Identification non-conformité | Variable |
| Notification de griefs par ANSSI | — |
| Mise en demeure + plan de mise en conformité | 1-6 mois |
| Si non-conformité persistante : saisine AAI | — |
| Procédure contradictoire + audition | 2-4 mois |
| Décision de sanction par AAI | — |
| Recours Conseil d’État | 2 mois |
Durée totale typique : 12-24 mois entre contrôle et sanction finale.
4. Plafonds de sanctions
| Catégorie | Amende pécuniaire | Pourcentage CA |
|---|---|---|
| Entité Essentielle (EE) | 10 M€ | 2 % CA mondial annuel |
| Entité Importante (EI) | 7 M€ | 1,4 % CA mondial annuel |
| Sanctions personnes physiques | Variable | — |
| Astreinte journalière | Jusqu’à 5 % CA/jour | — |
Calcul : le plus élevé des deux (montant fixe ou pourcentage) s’applique.
5. Critères de modulation
L’AAI examine :
- Gravité du manquement
- Durée de la non-conformité
- Nature des données ou services impactés
- Caractère intentionnel ou négligent
- Mesures correctives prises
- Coopération avec l’ANSSI
- Antécédents (récidive = facteur aggravant)
- Capacité financière de l’entité
Le CA mondial sert de plafond et de référence (groupe consolidé).
6. Responsabilité des dirigeants : innovation NIS 2
Article 20 directive NIS 2 (transposé) :
- Les organes de gestion doivent approuver les mesures cyber
- Doivent superviser la mise en œuvre
- Doivent suivre une formation régulière
- Sont responsables des manquements
Article 32 : sanctions possibles contre dirigeants :
- Interdiction d’exercer temporaire (DG, gérant)
- Sanctions individuelles financières
- Solidarité avec sanctions à la personne morale (variable)
C’est une révolution par rapport à NIS 1 (responsabilité purement de la personne morale).
7. Sanctions non pécuniaires
Au-delà des amendes :
- Injonction de mise en conformité sous astreinte
- Suspension d’autorisation ou de certification (cas particuliers)
- Publication de la décision (sanction réputationnelle)
- Notification aux personnes/utilisateurs concernés
- Désignation contrôleur externe (au frais de l’entité)
- Interdiction d’exercer dirigeant (rare)
8. Articulation avec RGPD et autres régimes
Cumul possible avec :
- RGPD (CNIL) : 20 M€ ou 4 % CA mondial
- DORA (ACPR, AMF) : pour secteur financier
- LPM (ANSSI) : pour OIV
- eIDAS : pour prestataires de confiance
Principe non bis in idem : pas de double sanction pour les mêmes faits. Mais des faits différents peuvent être sanctionnés sous plusieurs régimes (sécurité défaillante → ANSSI sous NIS 2 ; fuite de données → CNIL sous RGPD).
9. Périmètre des sanctions
Sanctionnés en cas de manquement :
- Non-respect des 10 mesures art. 21
- Défaut de notification d’incident (24h alerte / 72h notification)
- Refus de coopérer avec l’ANSSI
- Fausses déclarations ou rétention d’informations
- Non-respect des injonctions ANSSI
- Sous-traitance non sécurisée (art. 21 §2d)
10. Préparation : 6 actions prioritaires
Pour limiter le risque sanction :
- Auto-évaluation sur cyber.gouv.fr (MonEspaceNIS2)
- Désignation interlocuteur ANSSI (RSSI / CISO)
- Gap analysis vs 10 mesures art. 21
- Plan d’action documenté avec milestones
- Formation dirigeants (obligation directe)
- Procédure notification 24h opérationnelle
11. Sanctions européennes comparées
Bien que NIS 2 fixe un plancher, les transpositions varient :
| Pays | Statut sanctions NIS 2 |
|---|---|
| Allemagne | Loi NIS2UmsuCG (2024), sanctions alignées 10M€/2% |
| Italie | Décret transpositions 2024 |
| Belgique | Loi 26 avril 2024 |
| France | Loi 30 avril 2024 + ordonnances 2024-2025 |
| Pays-Bas | Cyberbeveiligingswet 2024 |
| Espagne | Real Decreto 2024 |
La coopération ANSSI-BSI-équivalents en cas d’incident transfrontalier est organisée par le CSIRT Network.
12. Premières sanctions attendues
Calendrier prévisible :
- 2024-2025 : ordonnances et décrets français
- 2025 : entrée en application
- 2025-2026 : phase pédagogique ANSSI (mises en demeure, pas sanctions)
- Fin 2026 : premières sanctions sur cas flagrants
- 2027+ : régime de croisière, sanctions exemplaires
L’ANSSI a annoncé une doctrine progressive : pas de sanction immédiate, mais accompagnement vers conformité, puis sanctions à compter de fin 2026.
FAQ
Quel est le plafond de sanction NIS 2 en France ?
10 M€ ou 2 % du CA mondial annuel pour Entités Essentielles, 7 M€ ou 1,4 % pour Entités Importantes. Le plus élevé des deux montants s’applique. Sanctions journalières (astreinte) jusqu’à 5 % du CA quotidien possibles en cas de manquement persistant.
Les dirigeants peuvent-ils être personnellement sanctionnés ?
Oui — innovation majeure NIS 2 (art. 32). Sanctions possibles : interdiction d’exercer des fonctions de direction (temporaire), sanctions financières individuelles, publication de la décision. C’est un changement par rapport à NIS 1 (seule personne morale sanctionnée).
Qui sanctionne en France ?
L’ANSSI instruit, contrôle, propose la sanction. La décision finale revient à une autorité administrative indépendante (la commission de sanctions spécialisée, organisation en cours de définition par les décrets). Recours possible devant le Conseil d’État.
Quand seront prononcées les premières sanctions ?
Selon la doctrine ANSSI 2024-2025 : phase pédagogique (mises en demeure) jusqu’à fin 2026. Premières sanctions formelles : fin 2026 / début 2027 sur cas flagrants. Régime de croisière à partir de 2027.
Comment éviter les sanctions NIS 2 ?
(1) Auto-évaluation sur cyber.gouv.fr pour qualifier votre statut, (2) Gap analysis vs 10 mesures art. 21, (3) Plan de mise en conformité documenté avec milestones, (4) Formation dirigeants obligatoire, (5) Procédure notification 24h opérationnelle, (6) Coopération active avec l’ANSSI en cas de contrôle.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial