Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes
1. Les États membres veillent à ce que les amendes administratives imposées aux entités essentielles et importantes en vertu du présent article pour des violations de la présente directive soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.
2. Les amendes administratives sont imposées en complément de l’une ou l’autre des mesures visées à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g).
3. Au moment de décider s’il y a lieu d’imposer une amende administrative et de décider de son montant, dans chaque cas d’espèce, il est dûment tenu compte, au minimum, des éléments prévus à l’article 32, paragraphe 7.
4. Les États membres veillent à ce que, lorsqu’elles violent l’article 21 ou 23, les entités essentielles soient soumises, conformément aux paragraphes 2 et 3 du présent article, à des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.
5. Les États membres veillent à ce que, lorsqu’elles violent l’article 21 ou 23, les entités importantes soient soumises, conformément aux paragraphes 2 et 3 du présent article, à des amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 EUR ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.
6. Les États membres peuvent prévoir le pouvoir d’imposer des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la présente directive conformément à une décision préalable de l’autorité compétente.
7. Sans préjudice des pouvoirs des autorités compétentes en vertu des articles 32 et 33, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l’administration publique.
8. Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, cet État membre veille à ce que le présent article soit appliqué de telle sorte que l’amende soit déterminée par l’autorité compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités compétentes. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. L’État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du présent paragraphe au plus tard le 17 octobre 2024 et, sans tarder, toute disposition légale modificative ou modification ultérieure les concernant.
Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et confie a l'ILR le pouvoir d'imposer les amendes administratives prevues a l'article 34. L'ILR applique les plafonds européens (10M EUR / 2% pour les entités essentielles, 7M EUR / 1,4% pour les entités importantes) et peut prononcer des astreintes journalieres jusqu'a la cessation de la violation. Pour les entités de l'administration publique luxembourgeoise, la loi précisé un regime spécifique excluant les amendes pecuniaires mais maintenant les mesures contraignantes et les injonctions de l'ILR.
Pratique Luxgap : nous parametrons le Fine Exposure Simulator avec le bareme ILR effectif et la grille d'inspection publiee par le régulateur, et nous integrons le formulaire de notification incident de la plateforme ILR pour chronometrer la chaîne 24h / 72h en conditions reelles.