Dix millions d'euros. C'est le chiffre qu'on vous agite sous le nez dès qu'on parle de sanctions NIS2. Pratique pour vendre de la peur. Beaucoup moins utile pour comprendre ce que vous, dirigeant d'une PME industrielle, risquez réellement. Alors reprenons calmement.
Les montants que tout le monde cite
Le texte européen prévoit bien des amendes, et elles sont sérieuses. Pas de mystère là-dessus. Ce qui est moins souvent expliqué, c'est qu'il existe deux barèmes, pas un.
Entités essentielles, entités importantes : deux barèmes
NIS2 range les entreprises concernées en deux catégories, et chacune a son plafond de sanction.
Pour les entités essentielles, les plus grandes structures des secteurs les plus critiques, l'amende peut monter jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial. On retient le plus élevé des deux. Pour un grand groupe, le pourcentage dépasse vite les 10 millions, c'est d'ailleurs tout l'intérêt de la formule pour le régulateur.
Pour les entités importantes, un cran en dessous, le plafond descend à 7 millions d'euros, ou 1,4 % du chiffre d'affaires annuel mondial. Même logique, le montant le plus haut l'emporte.
Voilà les fameux chiffres. Gardez-les en tête une minute, le temps de comprendre pourquoi ils ne vous concernent probablement pas.
Pourquoi ces amendes ne visent pas votre PME
Regardez à qui s'adressent ces barèmes. Aux entités essentielles et importantes. C'est-à-dire aux entreprises que la directive désigne nommément, par leur taille et leur secteur, comme relevant directement de NIS2.
Votre PME sous-traitante de quarante ou quatre-vingts personnes, dans l'immense majorité des cas, n'est ni l'une ni l'autre. Elle passe sous les seuils. Elle n'est pas dans la liste. Le régulateur ne l'a pas dans son viseur, et ne peut donc pas lui infliger ces amendes.
Ça vous soulage ? Attendez la suite, parce que ce n'est pas une bonne nouvelle. C'est juste une nouvelle mal comprise.
Si vous n'êtes pas désigné par la directive, vous êtes quand même rattrapé par elle. Pas par la loi. Par le contrat. Vos donneurs d'ordre, eux, sont dans la liste, et ils ont l'obligation de sécuriser leur chaîne de fournisseurs. Nous avons décrit ce mécanisme en détail dans notre article sur l'effet cascade vers les sous-traitants. Résultat : la pression arrive, mais elle ne prend pas la forme d'une amende de l'État. Elle prend la forme d'une exigence de votre client. On y revient.
La responsabilité du dirigeant, ce qu'en dit vraiment le texte
Un autre point circule beaucoup, et celui-là mérite qu'on soit précis, parce qu'il est vrai. NIS2 fait remonter la cybersécurité au niveau de la direction.
Concrètement, l'article 20 de la directive demande aux organes de direction d'approuver les mesures de gestion des risques, d'en superviser la mise en œuvre, et de se former. La sécurité informatique n'est plus un truc qu'on délègue entièrement au prestataire IT en se disant que ça tourne. Elle engage la responsabilité de celui qui dirige.
Interdiction temporaire d'exercer
Le texte va plus loin pour les entités essentielles. En cas de manquement qui dure, l'article 32 permet à l'autorité de prononcer une interdiction temporaire d'exercer des fonctions de direction. En France, c'est la future loi Résilience qui donnera ce pouvoir à l'ANSSI. Une première dans notre droit cyber.
Là encore, lisez bien à qui ça s'applique. Aux entités essentielles. Pas à la PME sous-traitante lambda. Cette mesure spectaculaire, celle qui fait les gros titres, vise les dirigeants des grandes structures critiques, pas le gérant d'un atelier de mécanique de précision. C'est important de le dire, parce qu'on lit parfois l'inverse.
Ce qui déclenche une sanction, quand elle s'applique
Une amende ne tombe pas du ciel. Il est utile de savoir ce que le régulateur regarde, ne serait-ce que parce que vos donneurs d'ordre s'en inspirent pour bâtir leurs propres exigences.
Deux grands types de manquements exposent une entreprise concernée. D'abord, l'absence de mesures de sécurité proportionnées : pas de gestion des accès, pas de sauvegardes testées, pas de politique de mise à jour, rien d'écrit ni de piloté. Ensuite, et c'est celui qu'on sous-estime, le défaut de signalement. NIS2 impose aux entités concernées de notifier un incident significatif à l'autorité dans des délais très courts, une première alerte en 24 heures, un rapport plus complet ensuite. Ne pas déclarer un incident qu'on aurait dû déclarer, c'est un manquement en soi.
Pour une PME sous-traitante, ce cadre reste indirect, puisque vous n'êtes pas l'entité déclarante. Mais il dessine ce que votre client attendra de vous. S'il subit un incident qui remonte par un de ses fournisseurs, il devra en rendre compte, et il voudra pouvoir montrer qu'il avait sécurisé sa chaîne. D'où les questionnaires. D'où les clauses. La logique de sanction du régulateur devient, un cran plus bas, la logique d'exigence de votre donneur d'ordre.
La vraie sanction pour un sous-traitant : perdre le contrat
Voici le point que les articles anxiogènes oublient de vous dire, parce qu'il ne se résume pas en un chiffre à cinq zéros.
Pour une PME qui vit de ses donneurs d'ordre, la sanction qui fait mal n'est pas administrative. Elle est commerciale. Le jour où votre client renforce ses exigences et où vous ne pouvez pas prouver votre niveau de sécurité, il ne vous inflige pas d'amende. Il fait pire. Il vous sort de sa liste de fournisseurs référencés. Il donne le marché au concurrent qui, lui, a coché les cases.
Faites le calcul. Une amende NIS2, vous ne la recevrez sans doute jamais, parce que vous n'êtes pas dans le champ direct de la loi. Un contrat perdu parce que vous avez échoué au questionnaire sécurité de votre plus gros client, ça, c'est une perte bien réelle, et elle peut représenter beaucoup plus que quelques milliers d'euros. Pour certains sous-traitants, un seul donneur d'ordre pèse une part énorme du carnet de commandes.
C'est pour ça qu'on vous invite à changer de focale. Arrêtez de fixer le montant de l'amende que l'ANSSI ne vous mettra pas. Regardez le montant du contrat que votre client peut vous retirer. Le premier chiffre est un épouvantail. Le second est votre vraie exposition.
Et cette exposition, elle se matérialise presque toujours par un document. Un questionnaire sécurité envoyé par un client, une clause ajoutée au renouvellement de contrat. Le jour où il arrive, la question n'est plus théorique.
Où en est la France, et quand tombent les premières sanctions
Encore une raison de ne pas céder à la panique réglementaire. En France, à l'été 2026, les sanctions NIS2 ne sont pas applicables. Tout simplement parce que la loi qui doit les instaurer n'est pas encore promulguée.
Le texte, la loi Résilience, doit transposer NIS2 dans notre droit national. Son passage au Parlement est évoqué pour juillet 2026. Tant qu'il n'est pas voté et promulgué, l'ANSSI n'a pas les moyens juridiques de sanctionner qui que ce soit sur le fondement de NIS2.
L'agence n'a pas attendu la loi pour préparer le terrain. Elle a publié son référentiel, rebaptisé ReCyF pour Référentiel Cyber France, en mars 2026. Elle annonce une période d'accompagnement d'environ trois ans avant les premières vraies sanctions, et répète qu'elle privilégiera l'accompagnement à la répression, du moins au début.
Traduction pour vous : personne ne va vous verbaliser dans les prochains mois au nom de NIS2. Le risque d'amende immédiate, en France, à cette date, n'existe pas. Ce qui existe déjà, en revanche, c'est la pression de vos clients, qui eux se préparent depuis longtemps et répercutent leurs exigences sans attendre le calendrier de l'État. Voilà le décalage qu'il faut avoir en tête. Le régulateur prend son temps. Vos donneurs d'ordre, non.
Ce qui coûte le moins cher, au fond
Reprenons du recul. Les sanctions administratives NIS2 sont réelles, mais elles visent des entreprises plus grandes que la vôtre. La responsabilité personnelle du dirigeant existe dans le texte, mais ses formes les plus dures sont réservées aux entités essentielles. Et en France, rien n'est encore applicable.
Ce qui laisse une seule menace concrète pour un sous-traitant industriel : celle de ne plus être à la hauteur de ce que ses clients exigent. Elle n'a pas de plafond légal, elle. Elle a le montant de vos contrats.
La bonne nouvelle, c'est que l'antidote est le même dans tous les cas. Que la menace soit une amende, une responsabilité de dirigeant ou un client qui vous met la pression, la réponse commence par savoir où vous en êtes. Mesurer l'écart entre ce qu'on attend de vous et ce que vous avez réellement en place. C'est le rôle d'un diagnostic de conformité, qui pose votre situation à plat et débouche sur un plan d'action priorisé et chiffré. Vous savez ce qui est urgent, ce qui peut attendre, et combien ça coûte.
Comparez les ordres de grandeur. Un diagnostic se compte en milliers d'euros. Un contrat perdu, en dizaines ou centaines de milliers. Une mise en conformité étalée, en investissement maîtrisé. Vue comme ça, la vraie question n'est pas combien coûte NIS2. C'est combien coûte de ne rien faire.
Si vous voulez le tableau d'ensemble, de la définition de la directive NIS2 et qui elle concerne jusqu'aux étapes de mise en conformité, notre guide complet de la conformité NIS2 reprend tout dans l'ordre.