NIS2 : quelles sanctions en cas de non-conformité ?

Les amendes administratives

NIS2 distingue deux niveaux de sanctions selon la catégorie de l'entité :

La responsabilité personnelle des dirigeants

C'est la nouveauté la plus importante de NIS2 par rapport à NIS1. La directive prévoit explicitement que les organes de direction peuvent être tenus personnellement responsables en cas de manquement grave aux obligations de cybersécurité.

Concrètement, cela signifie que le PDG, le DG, ou le membre du conseil d'administration en charge des risques peut faire l'objet :

• →D'une interdiction temporaire d'exercer des fonctions de direction
• →D'une mise en cause personnelle par les actionnaires ou parties prenantes
• →D'une publication de la sanction (name and shame)

Comment l'ANSSI contrôle-t-elle ?

L'ANSSI dispose de plusieurs outils de contrôle :

• →Contrôle sur pièces : demande de documentation (politiques, procédures, rapports d'audit internes)
• →Contrôle sur place : inspection dans les locaux de l'entité
• →Audit technique : tests de pénétration, scan de vulnérabilités
• →Déclaration d'incident : tout incident significatif doit être notifié sous 24h (rapport initial) puis 72h (rapport complet)

Ce que les entreprises font pour se préparer

La bonne nouvelle : NIS2 ne demande pas d'être parfait. Elle demande de démontrer une démarche sérieuse et documentée. En cas de contrôle, une entreprise qui peut montrer :

• ✓Un diagnostic daté de son niveau de maturité
• ✓Un plan d'action formalisé avec des priorités
• ✓Une progression documentée sur 12-18 mois

...est dans une position bien meilleure qu'une entreprise qui n'a rien fait — même si elle n'a pas encore atteint tous les objectifs.