•  
  •  Accueil 
  •  Veille CERT 
  •  Veille Techno 
  •  CyberSécurité 
  •  Livrables gratuits 
  •  Articles LinkedIn 
  •  A propos 

    •  

     

     

     

     

  • DORA, NIS2, LPM/SAIV : combien ça coûte de “faire plus tard” la résilience ?

    •  

  • Publié sur LinkedIn le 18 mars 2026

    •  

  • La résilience, c’est souvent vu comme un sujet de “gouvernance” ou de “conformité”. En vrai, c’est surtout un sujet de risque financier. Et sur DORA / NIS2 / LPM-SAIV, le législateur a un message simple : ça doit piquer.

    •  

     

  • 1) NIS2 : des amendes façon RGPD (mais version cyber)
  • NIS2 prévoit des plafonds d’amendes administratives au minimum (les États peuvent faire plus sévère) :

    •  

  • • Entités essentielles : jusqu’à 10 M€ ou 2 % du CA annuel mondial (le plus élevé).

    •  

  • • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA annuel mondial (le plus élevé).

    •  

  • Côté France, la transposition a pris (et prend encore) du retard, avec des débats sur le calendrier (des éléments évoquent une inscription à l’agenda pouvant aller jusqu’à l’été 2026). Donc : le plafond UE est connu, mais le dispositif français final dépend de la loi de transposition.

    •  

     

  • 2) DORA : pas “un barème UE”, mais des sanctions bien réelles en France

    •  

  • DORA (applicable depuis 17 janvier 2025) impose le cadre, et demande aux États de prévoir des sanctions effectives, proportionnées et dissuasives via leurs autorités compétentes.

    •  

  • En France, pour une entité financière, l’exposition “amende” vient surtout des régulateurs :

    •  

  • 🔹 ACPR (banques, assurances, EP/EME, etc.)

    •  

  • • La Commission des sanctions peut prononcer une sanction pécuniaire jusqu’à 100 M€.

    •  

  • • Et selon les cadres applicables, on trouve aussi des plafonds alternatifs (ex. 10 % du chiffre d’affaires annuel net / 2× l’avantage retiré en matière prudentielle).

    •  

  • 🔹 AMF (sociétés de gestion, PSI, etc.)

    •  

  • • Plafond : 100 M€ ou 10× l’avantage retiré ou 15 % du CA annuel total (selon les cas).

    •  

  • Bonus DORA souvent oublié : pour les prestataires TIC “critiques” supervisés au niveau UE, il existe une astreinte pouvant aller jusqu’à 1 % du CA mondial quotidien moyen (par jour, avec limite de durée) si non-conformité persistante.

    •  

     

  • 3) LPM / SAIV (OIV – Code de la défense) : du pénal, avec mise en demeure

    •  

  • Sur le périmètre OIV / SIIV, le Code de la défense prévoit (schématiquement) :

    •  

  • • 150 000 € d’amende pour les dirigeants en cas de non-respect d’obligations après mise en demeure (selon les cas prévus).

    •  

  • • Pour les personnes morales, l’amende suit les modalités de l’article 131-38 du Code pénal (règle du quintuple), ce qui mène classiquement à un maximum de 750 000 € lorsque le plafond personne physique est 150 000 €.

    •  

  • Et l’ANSSI rappelle la logique : contrôles, mise en demeure, puis sanctions en dernier recours.

    •  

     

  • Conclusion

    •  

  • Ces textes n’ont pas inventé “la cyber”. Ils ont inventé le prix de l’excuse.

    •  

  • Si tu veux réduire le risque (audit, régulateur, incident réel), la base reste la même :

    •  

  • • preuves de gouvernance (rôles, arbitrages, reporting)
  • • gestion des risques et plans de continuité
  • • gestion et notification des incidents
  • • maîtrise des tiers (contrats, inventaires, exigences)
  • • tests (techniques et organisationnels) et amélioration continue

    •