Qui devrait lire ceci: cadres supérieurs, conseillers juridiques internes, responsables de la conformité, responsables de la gestion des risques
La directive NIS2, comme son prédécesseur NIS1, prévoit des sanctions administratives en cas de non-conformité. Cependant, les enjeux ont considérablement augmenté. Les articles 34 et 35 définissent une structure de sanctions à plusieurs niveaux qui peut infliger des amendes allant jusqu’à 10 millions d’euros pour des violations graves et 7 millions d’euros pour d’autres violations des obligations fondamentales de la directive.
Pour les cadres supérieurs et les équipes de conformité, ces sanctions constituent une incitation financière directe pour garantir que la conformité à la NIS2 est authentique, opportune et documentée. Une amende de 10 millions d’euros est importante: elle peut rivaliser avec d’importantes violations de cybersécurité en termes d’impact financier, mais elle est totalement évitable grâce à une mise en conformité adéquate.
Cet article décrit le cadre des amendes du NIS2: quelles violations entraînent quelles sanctions, comment les États membres appliquent ces dispositions, quelles sont les circonstances atténuantes qui peuvent s’appliquer et comment les organisations peuvent démontrer leur conformité de bonne foi aux régulateurs. Une compréhension détaillée des sanctions permet de clarifier les priorités réglementaires et contribue à orienter les décisions d’investissement en matière de conformité.
La structure des pénalités à deux niveaux
Le NIS2 établit deux niveaux d’amendes administratives, correspondant à deux catégories d’infractions:
Niveau 1 (10 millions d’euros): violations des obligations opérationnelles fondamentales définies aux articles 20 à 26. Ces articles obligent les entités à mettre en œuvre des mesures techniques et organisationnelles, à signaler les incidents, à se soumettre à des audits et à coopérer avec les autorités compétentes. Toute violation de ces dispositions, par exemple le fait de ne pas mettre en œuvre des contrôles de cybersécurité proportionnés, de ne pas signaler un incident significatif ou de refuser de coopérer à une enquête réglementaire, peut entraîner des amendes allant jusqu’à 10 millions d’euros.
Niveau 2 (7 millions d’euros): violations d’autres dispositions de la directive, telles que les obligations des États membres, la désignation des autorités compétentes ou les délais de mise en œuvre. Ils sont généralement moins directement liés à la posture de cybersécurité opérationnelle d’une entité qu’à la conformité administrative.
Il est important de noter que les articles 34 et 35 autorisent également des amendes «proportionnées» inférieures à ces plafonds. Les régulateurs doivent calibrer les sanctions en fonction de la gravité de l’infraction, de la taille et des ressources de l’organisation, de la durée de la non-conformité, du degré de culpabilité et de l’efficacité des mesures correctives.
Quelles violations entraînent des amendes de niveau 1 (10 millions d’euros)
L’article 34 précise que les manquements suivants aux obligations opérationnelles peuvent entraîner des amendes allant jusqu’à 10 millions d’euros:
Défaut de mise en œuvre de mesures techniques et organisationnelles proportionnées (article 21): il s’agit de l’obligation fondamentale. Une entité tenue de mettre en œuvre des contrôles de cybersécurité «appropriés» proportionnés à son profil de risque doit effectivement les mettre en œuvre. Une entité qui procède à une évaluation des risques, identifie la nécessité de segmenter le réseau, puis omet de segmenter ses réseaux violerait cette obligation. De même, une entité qui reconnaît la nécessité de procédures de réponse aux incidents mais qui fonctionne sans procédure documentée pourrait être confrontée à des mesures coercitives.
Absence de déclaration des incidents significatifs (article 23): le NIS2 impose aux prestataires de services essentiels d’informer les autorités compétentes et les CSIRT sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la détection d’un incident significatif. Une entité qui détecte une violation atteignant le seuil d’importance et qui n’en informe pas les autorités est clairement en infraction. Le délai de 24 heures est contraignant; une notification différée, selon les circonstances, pourrait entraîner l’exécution.
Absence de réalisation d’audits de sécurité ou de fourniture de résultats d’audit (article 26): les prestataires de services essentiels doivent autoriser les autorités à effectuer des audits de sécurité pour vérifier la conformité. Une entité qui refuse une demande d’audit, ne coopère pas lors d’un audit ou refuse de communiquer les résultats de l’audit aux autorités enfreint cette obligation.
Défaut de coopération avec les autorités compétentes ou les CSIRT (article 23 et obligations générales de coopération): les autorités ont des pouvoirs d’enquête. Une entité qui ignore les demandes réglementaires, retarde les réponses ou fournit des informations incomplètes peut se voir infliger des amendes.
Défaut de gestion des risques liés aux tiers (article 22): les entités doivent s’assurer que les fournisseurs et prestataires de services tiers mettent en œuvre des mesures de cybersécurité proportionnées. Une entité qui passe un contrat avec un fournisseur de services gérés, un fournisseur de cloud ou une société de support informatique sans établir d’exigences claires en matière de cybersécurité, sans contrôler la conformité ou sans exiger de notification d’incident ne respecte pas cette obligation.
Il ne s’agit pas de violations techniques; elles sont au cœur de l’objectif de NIS2: s’assurer que les entités gérant des infrastructures critiques mettent en œuvre et maintiennent des programmes de cybersécurité réellement proportionnés.
Le rôle de la proportionnalité et de la marge d’appréciation des États membres
L’une des caractéristiques essentielles du cadre des amendes NIS2 est que les sanctions doivent être «proportionnées». Les articles 34 et 35 fixent des amendes maximales, mais les régulateurs des États membres doivent calibrer les sanctions réelles en fonction de facteurs tels que:
Gravité de l’infraction: la violation a-t-elle créé un risque réel pour la sécurité publique, la santé ou le fonctionnement des services essentiels? L’absence de mise en œuvre de contrôles d’accès expose les systèmes à une utilisation non autorisée; l’absence de correction de vulnérabilités connues expose les systèmes à des exploits connus. Elles sont graves. L’échec de la mise à jour d’une procédure de réponse aux incidents est moins grave.
Durée de la non-conformité: la violation était-elle un oubli ponctuel, rapidement corrigée, ou était-elle le résultat d’une tendance persistante qui s’est étalée sur des mois ou des années? Le fait de ne pas signaler un seul incident peut entraîner une amende moins élevée qu’une tendance systématique de sous-déclaration.
Degré de culpabilité: l’entité a-t-elle sciemment ignoré les exigences du NIS2, ou a-t-elle fait un effort de bonne foi pour s’y conformer mais n’a pas réussi? L’inobservation volontaire est traitée plus sévèrement que la non-conformité par négligence.
Taille et ressources de l’entité: une amende de 10 millions d’euros représente une sanction catastrophique pour un petit établissement de santé; pour un grand opérateur de télécommunications, c’est une amende importante mais gérable. Les régulateurs doivent ajuster les sanctions pour s’assurer qu’elles sont proportionnées à la capacité financière de l’entité.
Efficacité des mesures correctives: l’entité a-t-elle immédiatement pris des mesures correctives après avoir découvert une violation? Une entité qui déclare elle-même une violation, met en œuvre des mesures correctives et fournit des preuves de mesures correctives peut se voir infliger une pénalité réduite.
Antécédents de conformité: une entité ayant des antécédents de non-conformité est passible d’amendes plus élevées qu’une personne contrevenant pour la première fois.
La proportionnalité étant requise, il est peu probable que l’amende maximale (10 millions d’euros) soit infligée, sauf en cas de non-respect flagrant, délibéré ou persistant. Toutefois, des amendes proportionnées de l’ordre de 1 à 5 millions d’euros sont certainement possibles pour des infractions graves.
Scénarios illustratifs
Pour fonder cette discussion, considérez plusieurs scénarios:
Scénario 1: incident lié à un ransomware non signalé. Un hôpital est victime d’une attaque par rançongiciel qui chiffre son système de dossiers médicaux électroniques, obligeant à passer aux dossiers papier. L’équipe informatique de l’hôpital détecte l’attaque au bout de 36 heures mais n’en informe l’autorité compétente que cinq jours plus tard. Il s’agit d’une violation flagrante de l’article 23 (délai de déclaration de 24 heures). La défaillance de l’hôpital contrevenait directement à une exigence fondamentale du NIS2. Si l’autorité compétente détermine que l’hôpital aurait dû disposer d’une détection de menace adéquate pour détecter l’attaque plus rapidement, l’infraction est encore plus grave (impliquant des contrôles inadéquats au titre de l’article 21). Une amende de 3 à 7 millions d’euros serait proportionnée.
Scénario 2: aucune procédure de réponse aux incidents. Un opérateur de système financier gère un programme de cybersécurité complet avec segmentation du réseau, détection des menaces et contrôles d’accès, mais ne dispose d’aucune procédure de réponse aux incidents documentée. Un incident survient et la réponse de l’opérateur est ponctuelle et différée. L’opérateur enfreint l’article 21 (qui exige implicitement la planification de la réponse aux incidents) et l’article 23 (qui exige un signalement en temps utile). Cependant, la violation des contrôles opérationnels est indirecte (absence de procédure, et non absence de contrôles eux-mêmes). Une amende de 1 à 3 millions d’euros serait proportionnée.
Scénario 3: Non-coopération répétée lors des audits. Un fournisseur de services cloud soumis au NIS2 reçoit des demandes d’audit de plusieurs États membres. Il tarde à répondre, fournit des informations incomplètes et finit par refuser de coopérer à un audit particulier, invoquant une sensibilité commerciale. Il s’agit d’une tendance persistante de non-coopération au sens de l’article 26. Le fournisseur n’a pas immédiatement enfreint les exigences opérationnelles fondamentales (ses contrôles peuvent être adéquats), mais il a systématiquement entravé la surveillance réglementaire. Une amende de 2 à 5 millions d’euros serait proportionnée.
Scénario 4: échec de la gestion des risques liés aux tiers. Un processeur de données médicales passe un contrat avec un petit fournisseur de cloud pour stocker les dossiers des patients. Le sous-traitant ne fait pas preuve de diligence raisonnable quant aux pratiques de cybersécurité du fournisseur, n’inclut pas d’exigences en matière de cybersécurité dans le contrat et ne surveille pas la conformité du fournisseur. Le fournisseur est victime d’une violation, exposant les données des patients. Le sous-traitant enfreint l’article 22 (manquement à l’obligation de garantir la gestion des risques liés aux tiers). La violation est grave, elle a permis une violation évitable, mais les contrôles du processeur peuvent être adéquats. Une amende de 500 000 euros à 2 millions d’euros serait proportionnée, en fonction de l’ampleur de l’infraction et de la taille du processeur.
Mécanismes d’exécution et pouvoirs d’enquête
L’article 34 prévoit que les États membres désignent les autorités compétentes chargées de faire appliquer le NIS2. Ces autorités ont des pouvoirs d’investigation, notamment la capacité de demander des informations aux entités, de mener des audits et d’accéder aux installations (sous réserve des contraintes légales).
Une action coercitive commence généralement par une autorité notifiant à une entité toute non-conformité présumée, demandant des informations ou des documents et donnant à l’entité la possibilité de réagir. Si la réponse de l’entité est inadéquate ou si l’autorité découvre des preuves de violations, elle peut émettre un ordre d’exécution (nécessitant des mesures correctives spécifiques) et/ou infliger une amende.
Il est important que les États membres accordent aux entités le droit à une procédure régulière. Une entité à l’encontre de laquelle une amende est proposée a généralement le droit d’être entendue, de présenter des preuves à titre d’atténuation et de faire appel de la décision devant un tribunal.
Pour les organisations, cela signifie que les violations présumées n’entraînent pas automatiquement des amendes. La coopération avec les autorités, la correction rapide des lacunes identifiées et une explication crédible de toute non-conformité peuvent influencer de manière significative le résultat. Une entité qui, dès la notification d’une violation, met immédiatement en œuvre des mesures correctives et fournit des preuves de mesures correctives peut voir l’amende réduite ou supprimée (si l’autorité détermine que la violation n’était pas grave ou a été rapidement corrigée).
Stratégies d’atténuation et conformité de bonne foi
Plusieurs stratégies peuvent atténuer le risque et l’impact des amendes:
Conformité en temps opportun: la stratégie la plus évidente consiste à s’assurer que la conformité à la norme NIS2 est mise en œuvre dans les délais. Les États membres ont commencé à désigner des fournisseurs de services essentiels en 2024, la mise en œuvre complète étant attendue d’ici octobre 2024 (pour les fournisseurs de services essentiels) et octobre 2025 (pour les principaux fournisseurs de services numériques). Les entités qui se sont conformées à ces délais font preuve de bonne foi et réduisent les chances d’application.
Documentation complète: Conservez une documentation détaillée sur les politiques de cybersécurité, les évaluations des risques, les contrôles, les audits et la réponse aux incidents. Cette documentation montre aux régulateurs que l’entité a sérieusement réfléchi à la conformité à la NIS2, a adapté les contrôles à son profil de risque spécifique et a mis en œuvre des contrôles au lieu de simplement les planifier.
Discipline en matière de signalement des incidents: si un incident se produit, signalez-le rapidement. Un rapport de 24 heures sur 24 est contraignant; tenter d’enquêter avant de signaler, dans l’espoir d’éviter la divulgation ou retarder la gestion du récit ne sont pas des stratégies viables. Les autorités considèrent que le signalement rapide et transparent constitue un facteur atténuant.
Coopération avec les régulateurs: répondez rapidement aux demandes d’informations, fournissez des informations complètes et précises et planifiez des audits en coopération. Une entité qui fait obstacle à la surveillance ou bloque les régulateurs sera passible d’amendes plus élevées.
Contrats avec des tiers: définissez des exigences claires en matière de cybersécurité dans les contrats avec les fournisseurs, les prestataires de services et les partenaires. Exigez des attestations de conformité, spécifiez les exigences en matière de notification des incidents et réservez les droits d’audit. Cela montre que l’entité a pris au sérieux la gestion des risques liés aux tiers.
Auto-évaluation et correction: Réaliser des examens internes de la conformité à la norme NIS2, identifier les lacunes et mettre en œuvre des mesures correctives. Si vous découvrez une violation et que vous y remédiez avant qu’un organisme de réglementation ne le fasse, vous faites preuve de bonne foi et vous êtes susceptible de bénéficier de la clémence.
Principaux points à retenir
- Le NIS2 établit une structure d’amendes à deux niveaux: jusqu’à 10 millions d’euros pour les violations des exigences opérationnelles fondamentales (articles 20 à 26) et jusqu’à 7 millions d’euros pour les autres infractions.
- Les violations de niveau 1 incluent le défaut de mise en œuvre de contrôles proportionnés, le défaut de signalement d’incidents importants dans les 24 heures, le défaut de coopération lors des audits et l’incapacité à gérer les risques de cybersécurité liés à des tiers.
- La proportionnalité est obligatoire: les amendes réelles doivent être calibrées en fonction de la gravité, de la durée, de la culpabilité, de la taille de l’entité, de l’efficacité des mesures correctives et des antécédents de conformité. L’amende maximale est peu probable, sauf dans les cas graves.
- L’application de la réglementation commence par la notification et la possibilité de répondre; les entités ont le droit de bénéficier d’une procédure régulière, y compris la possibilité de faire appel des amendes devant les tribunaux. La coopération et la rapidité des mesures correctives sont de puissants facteurs atténuants.
- La conformité de bonne foi, une documentation complète, le signalement rapide des incidents et une coopération transparente avec les régulateurs réduisent considérablement la probabilité d’amendes et peuvent entraîner une réduction des sanctions si des violations sont découvertes.
- La gestion des risques liés aux tiers est explicitement applicable; les contrats doivent établir des attentes claires en matière de cybersécurité et inclure des droits d’audit et de surveillance.
