Le piège classique
L'article 36 oblige chaque Etat membre a fixer son propre regime de sanctions, en plus des amendes administratives plafonnees a 10 M EUR ou 2% du chiffre d'affaires mondial prevues par NIS 2 pour les entités essentielles. Au Luxembourg, c'est l'ILR qui supervise l'execution et qui transmet ses constats au procureur pour les sanctions penales eventuelles. Le piège : les dirigeants oublient que NIS 2 prevoit aussi des sanctions personnelles contre les organes de direction (interdiction temporaire d'exercer des fonctions de direction, publication nominative), ce qui change radicalement le calcul de risque par rapport au RGPD.
Le cumul des sanctions que l'ILR peut déclencher
- Amende administrative jusqu'a 10 M EUR ou 2% du CA mondial (entités essentielles), 7 M EUR ou 1,4% (entités importantes)
- Astreintes journalieres pour forcer la mise en conformité apres une injonction restee sans effet
- Suspension temporaire de certification ou d'autorisation pour les services critiques (DNS, cloud, datacenters)
- Interdiction temporaire d'exercer visant nominativement le CEO, le COO ou le RSSI defaillant (article 32 paragraphe 5)
- Publication nominative de la décision sur le site de l'ILR, avec effet reputationnel direct sur les appels d'offres publics
- Sanctions penales renvoyees au parquet en cas d'entrave a l'enquête ou de fausses déclarations sur l'incident
Le test de proportionnalite : votre seule défense
L'article 36 impose des sanctions effectives, proportionnees et dissuasives. Devant l'ILR, votre seule marge de défense est de démontrer que les mesures techniques et organisationnelles etaient appropriees au moment des faits (article 21), que la gouvernance etait documentee (article 20), et que la notification d'incident a respecte les 24h/72h/1 mois (article 23). Sans preuve datee et opposable, la sanction maximale devient la référence.
Comment Luxgap automatise ce risque
Notre Luxgap Sanction Shield est le bouclier predictif qui simule en continu votre exposition financiere et penale au regime NIS 2 luxembourgeois. Un agent IA croise vos contrôles techniques reels (Defender, Sentinel, CrowdStrike, Wazuh, eBRC SOC) avec la grille d'analyse de l'ILR pour calculer, jour par jour, l'amende maximale théorique en cas de contrôle, et identifié les 3 contrôles a renforcer en priorité pour faire chuter ce chiffre.
- Module Exposure Calculator : calcule l'amende maximale (10 M EUR ou 2% CA) ajustee par votre score de maturite NIS 2, mise a jour quotidienne
- Module Director Liability Map : cartographie nominative des dirigeants exposes a l'interdiction d'exercer (article 32.5), avec score de risque individuel
- Module Evidence Vault : coffre cryptographiquement scelle qui horodate chaque mesure de l'article 21 (MFA, backup, chiffrement, formation) pour produire la preuve opposable devant l'ILR
- Module Incident Clock : déclenche automatiquement le compteur 24h/72h/1 mois des qu'un SIEM detecte un incident significatif, avec brouillons de notification ILR pre-remplis
- Module Sanction Simulator : rejoue des scenarios de contrôle ILR (ransomware, fuite, defaut de notification) et estime la sanction probable en fonction de vos défenses actuelles
- Module Audit Pack : genere en 1 clic le dossier de défense complet (PDF horodate signe) a remettre a l'ILR en cas de demande d'information
Disponible en SaaS (plans Starter jusqu'a 100 actifs, Pro jusqu'a 500, Enterprise illimite multi-entites), ou inclus dans le mandat DPO/CISO Luxgap. Demandez un audit blanc gratuit de votre exposition NIS 2 en 48h, avec rapport d'amende théorique signe.
