Chaque pays membre de l’Union Européenne décidera lui-même des sanctions en cas de non-respect des règles nationales découlant de la directive NIS2, mais ces sanctions devront être efficaces, appropriées à la gravité de l’infraction commise et suffisamment sévères pour dissuader les organisations de violer les obligations prévues par la directive européenne sur la sécurité des réseaux et systèmes d’informations.
Les États membres ont jusqu’au 17 janvier 2025 pour informer la Commission européenne des sanctions qu’ils auront mises en place conformément à la directive NIS2 ainsi que des autres mesures prises, et s’ils modifient ces règles après cette date, ils devront immédiatement notifier ces changements à la Commission européenne pour garantir la transparence.
Le but principal des sanctions prévues par la directive NIS2 est d’assurer la sécurité des réseaux informatiques et de prévenir les violations en incitant fortement les acteurs concernés à respecter leurs obligations ; ces sanctions doivent être suffisamment fortes et proportionnées pour convaincre toutes les entités responsables de prendre les mesures de sécurité nécessaires sérieusement.
Selon la directive NIS2, ce sont les gouvernements de chaque pays membre de l’Union Européenne qui ont la responsabilité exclusive de décider du type et du niveau des sanctions applicables localement, tant que celles-ci respectent les critères imposés par la directive, à savoir : efficacité, proportionnalité et capacité à avoir un effet dissuasif suffisant auprès des entités concernées.
