La directive NIS2 établit des sanctions spécifiques pour les cas de non-conformité, comprenant :

Recours non Monétaires

• Ordres de Conformité
• Instructions de Liaison
• Ordres d’Audit de Sécurité
• Notifications de Menace aux Clients

Amendes Administratives

• Pour les Entités Essentielles (EE) : jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial.
• Pour les Entités Importantes (IE) : jusqu’à 7 000 000 € ou 1,4 % des recettes annuelles mondiales.

Sanctions Pénales pour la Gestion

Dans un effort pour réduire la pression exercée sur les services informatiques et pour responsabiliser davantage la haute direction, le NIS2 introduit de nouvelles mesures. Il permet aux autorités des États membres de tenir personnellement responsables les gestionnaires d’organisation en cas de négligence grave lors d’incidents de sécurité. Cela peut inclure :

• Ordonner la divulgation publique des violations de conformité.
• Publier des déclarations identifiant les personnes et entités responsables des violations.
• En cas de violations répétées dans une entité essentielle, interdire temporairement à une personne d’occuper des postes de direction.

Ces mesures visent à responsabiliser la direction au plus haut niveau et à prévenir la négligence grave dans la gestion des risques cybernétiques.