Sanctions NIS2 : risques réels pour une PME française en 2026

Quand on parle de sanctions NIS2, le chiffre qui revient le plus souvent est 10 millions d’euros. Le marketing de certains cabinets de cybersécurité s’appuie largement sur cette borne haute pour convaincre les dirigeants de PME de signer rapidement. Mais la réalité juridique est plus nuancée : les sanctions financières ne sont qu’un volet du dispositif, et pour une PME le risque le plus concret n’est probablement pas l’amende de l’autorité, mais la perte de contrats avec ses donneurs d’ordre. Cet article décrypte les sanctions NIS2 telles qu’elles s’appliqueront réellement en France en 2026, avec un focus sur les TPE et PME.

Le cadre général des sanctions NIS2

La directive (UE) 2022/2555 a été pensée pour donner aux autorités nationales un arsenal proportionné, dissuasif et harmonisé dans toute l’Union. Le législateur européen a explicitement pris exemple sur le RGPD pour calibrer les amendes : un plafond élevé en valeur absolue et en pourcentage du chiffre d’affaires, à l’autorité de retenir le plus élevé des deux selon la gravité.

Quatre types de sanctions sont prévus.

Premièrement, les amendes administratives, prononcées par l’autorité nationale (en France, l’ANSSI agira en lien avec l’autorité administrative à désigner par le décret d’application). Deuxièmement, les mesures correctrices (mise en demeure, ordre de mise en conformité, publication de l’incident). Troisièmement, les sanctions personnelles à l’encontre des dirigeants (suspension temporaire, interdiction d’exercer). Quatrièmement, les conséquences indirectes : suspension de contrats par les donneurs d’ordre, non-attestation par les assureurs cyber, perte de certifications.

Les amendes administratives en chiffres

Le montant maximal des amendes dépend de la catégorie de l’entité.

Pour les entités essentielles, le plafond est de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le plus élevé des deux. Concrètement, une entité essentielle à 100 M€ de CA mondial s’expose à une amende maximale de 2 millions d’euros ; au-dessus de 500 M€ de CA mondial, on dépasse les 10 millions et le plafond en pourcentage prime.

Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial, le plus élevé des deux. Une PME importante à 20 M€ de CA s’expose à une amende maximale d’environ 280 000 €, ce qui reste lourd pour la plupart des structures.

À cela s’ajoutent des sanctions plus spécifiques pour des manquements précis : non-respect du délai de notification d’incident (24h alerte / 72h rapport / 1 mois rapport final), non-désignation d’un point de contact, refus de coopérer avec l’autorité de contrôle.

Comment l’autorité décide du montant

Les sanctions NIS2 ne sont pas appliquées automatiquement à leur plafond. La directive énumère plusieurs critères de modulation que l’autorité doit prendre en compte :

• la gravité, la durée et la nature de la violation,
• le caractère intentionnel ou négligent,
• le préjudice subi par les utilisateurs ou les tiers,
• les mesures prises par l’entité pour limiter ou réparer le dommage,
• le degré de coopération avec l’autorité,
• les antécédents,
• la taille et le chiffre d’affaires de l’entité.

L’expérience du RGPD, qui repose sur des critères similaires, montre qu’une PME ayant manifesté un effort sincère de mise en conformité, qui coopère et qui démontre un retour d’expérience post-incident, sera généralement sanctionnée en bas de fourchette voire seulement mise en demeure. À l’inverse, une PME qui ignore les demandes de l’autorité et qui ne fournit pas de documentation cohérente s’expose à une sanction lourde, même sur un manquement initialement modeste.

La responsabilité personnelle des dirigeants

C’est l’une des nouveautés les plus marquantes de NIS2 par rapport à NIS1. La directive prévoit explicitement que les organes de direction approuvent les mesures de gestion des risques cybersécurité et suivent une formation régulière sur le sujet. Le dirigeant n’est plus simplement le représentant légal qui signe ; il devient personnellement comptable du dispositif cybersécurité.

En cas de manquement caractérisé, les autorités nationales pourront prononcer une suspension temporaire des fonctions du dirigeant, ou interdire à l’entité concernée d’exercer certaines activités jusqu’à mise en conformité. La transposition française précise les modalités d’application de ces sanctions personnelles, mais le principe est posé par la directive elle-même.

Concrètement, pour une PME, cela signifie deux choses. Première chose, le dirigeant doit pouvoir prouver qu’il a approuvé formellement la politique de sécurité, l’analyse de risques et le plan d’action. Cela passe par des comptes rendus de réunion, des signatures, des délibérations. Deuxième chose, il doit avoir suivi une formation cybersécurité spécifique. Les décrets d’application devraient préciser le format minimum (durée, contenu, justification), mais les bonnes pratiques actuelles tablent sur 4 à 8 heures par an, soit en e-learning soit en présentiel.

Les sanctions indirectes : le vrai risque pour les PME

Pour la majorité des PME, le risque n’est pas l’amende de l’ANSSI : c’est la perte de contrats avec les donneurs d’ordre régulés.

Les entités essentielles et importantes ont une obligation de sécurisation de leur chaîne d’approvisionnement au titre de la mesure 5 de l’article 21. Elles doivent auditer leurs fournisseurs critiques, inscrire des clauses contractuelles, et vérifier la conformité de leurs sous-traitants. Si vous êtes sous-traitant d’un industriel régulé, d’un hôpital, d’un opérateur télécom ou d’un fournisseur cloud, ce dernier vous demandera de prouver votre conformité NIS2. Pas de preuve, pas de contrat.

L’effet est déjà visible en France au début 2026 : plusieurs grands donneurs d’ordre du secteur de l’énergie, de la santé et de l’industrie ont commencé à envoyer des questionnaires fournisseurs structurés autour des dix mesures de l’article 21. Les fournisseurs qui ne renvoient pas, ou qui renvoient des réponses incohérentes, sont sortis des short-lists.

À cela s’ajoutent les assureurs cyber. Depuis 2022, les compagnies d’assurance ont durci les conditions de souscription des contrats cyber après l’explosion des sinistres ransomware. Certaines refusent purement et simplement de couvrir les structures qui ne peuvent pas démontrer un niveau de conformité minimal. NIS2 va accélérer cette exigence.

Le retour d’expérience RGPD : ce qu’on peut anticiper

Le RGPD est entré en application en mai 2018 avec un schéma de sanctions très proche de celui de NIS2. Sept ans plus tard, on dispose d’un retour d’expérience qui éclaire ce qu’il faut anticiper pour NIS2 en 2026.

Premier enseignement : les autorités sanctionnent rarement les PME qui font des efforts de bonne foi. Sur les milliers de sanctions CNIL prononcées depuis 2018, la grande majorité vise des structures qui ont manifesté une mauvaise foi caractérisée (refus de coopération, non-réponse aux mises en demeure, manquement délibéré). Les PME structurées, qui ont une politique en place et qui répondent aux demandes, s’en sortent généralement avec un avertissement.

Deuxième enseignement : les sanctions médiatisées concernent presque toujours de grandes structures (Amazon, Google, Meta, Carrefour, Free…). Pour une PME, le risque réputationnel d’une sanction publiée par l’autorité est faible, mais le risque commercial (perte de confiance des clients) peut être élevé.

Troisième enseignement : les fuites de données et les failles non notifiées dans les délais sont les principales causes de sanctions. La symétrie avec NIS2 est forte : la non-notification d’un incident de cybersécurité dans les 24h/72h sera un motif fréquent de sanction. C’est pourquoi le plan de réponse aux incidents est l’un des livrables prioritaires d’un audit NIS2.

Cas pratiques

Pour rendre concret tout ce qui précède, voici trois scénarios typiques d’application des sanctions à des PME françaises.

Cas 1 — La PME industrielle de 30 personnes, sous-traitante d’un OSE santé. Elle reçoit en mars 2026 un questionnaire NIS2 de son client donneur d’ordre. Faute de réponse, le contrat n’est pas renouvelé en septembre. Coût : perte de 60% du chiffre d’affaires, soit environ 800 k€/an. Aucune amende de l’ANSSI, aucune sanction personnelle, mais un impact économique majeur.

Cas 2 — L’agence web de 12 personnes opérant des services managés. Elle subit un ransomware fin 2026 affectant les sites de plusieurs clients. Elle ne notifie pas l’incident dans les 72h. L’autorité sanctionne pour défaut de notification : amende de 50 000 €. Plus douloureux, plusieurs clients résilient leur contrat dans les semaines qui suivent : perte estimée à 200 k€/an.

Cas 3 — Le SaaS B2B de 25 personnes, sans politique cyber formalisée. Audité par l’autorité en 2027 à la suite d’un signalement, il ne peut produire ni politique de sécurité, ni analyse de risques, ni plan de continuité. Mise en demeure, plan de mise en conformité imposé sous 6 mois, et publication du contrôle. Pas d’amende dans un premier temps, mais une perte de confiance commerciale qui se chiffre en années.

Comment se protéger

La meilleure protection contre les sanctions NIS2 n’est pas de devenir parfaitement conforme — chose impossible en absolu — mais de pouvoir démontrer une démarche structurée.

Étape 1 : un audit pour identifier les écarts (notre pré-audit à 299€ est calibré pour cela). Étape 2 : un plan d’action validé par la direction, avec des dates et des responsables. Étape 3 : la mise en œuvre des contrôles techniques de base (MFA, sauvegardes, journaux). Étape 4 : la documentation (politique, charte, plan de réponse aux incidents). Étape 5 : la formation des dirigeants et des collaborateurs. Étape 6 : la maintenance dans la durée (revues annuelles, exercices, veille).

Un dirigeant qui peut présenter ces six étapes à l’autorité ou à un client donneur d’ordre est dans une position défendable, même si tous les contrôles ne sont pas encore parfaits. C’est l’objectif réaliste à viser.

Conclusion

Les sanctions NIS2 sont réelles, mais elles ne ressemblent probablement pas à l’image qu’en donnent certains commerciaux : pour une PME, le risque principal n’est pas l’amende de 10 M€ — qui ne s’appliquera qu’aux structures les plus négligentes ou aux grandes entités essentielles. Le risque concret, c’est la perte de contrats avec les donneurs d’ordre régulés, la non-couverture par l’assurance cyber, et — pour le dirigeant — une responsabilité personnelle qui n’existait pas sous NIS1. Démarrer une démarche structurée dès aujourd’hui, même partielle, c’est se mettre à l’abri des trois.

Pour aller plus loin : le guide complet NIS2 PME 2026, les 10 mesures de l’article 21 expliquées, et notre pré-audit à 299€ pour un état des lieux en 48h.