NIS 2 : entre confiance et manque de compréhension

Voyons comment les entreprises se préparent à la nouvelle réglementation NIS 2, les défis rencontrés et la démarche engagée.

Pour rappel, la directive NIS 2 est un instrument législatif qui vise à atteindre un niveau élevé et uniforme de cybersécurité à travers l’Union Européenne. Les États membres doivent s’assurer que les entités de 15 secteurs industriels adoptent des mesures appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Elles doivent prévenir ou réduire au minimum l’impact des incidents sur les bénéficiaires des services et sur d’autres services connexes.

Répondre aux exigences de conformité NIS 2

On observe un écart entre la confiance des entreprises européennes à se conformer à la directive avant la date limite du 17 octobre 2024 et leur capacité à comprendre les exigences requises.

Si 80 % des responsables informatiques européens sont convaincus que leur entreprise respectera les exigences de conformité avant la date limite, seuls 14 % affirment être déjà en conformité.

Les équipes comprennent parfaitement les exigences (53%) et 49% pensent que la direction en saisit tout le sens.

Les RSSI doivent sensibiliser toutes les parties concernées (Conseil d’Administration, responsables de départements, salariés) pour garantir la conformité avant la date d’échéance.

Agir au plus vite

On remarque des frictions entre le discours sur la directive NIS 2 et les actions mises en œuvre.

Si les responsables informatiques reconnaissent l’importance croissante de la réglementation NIS 2, c’est une priorité absolue pour leurs dirigeants selon un tiers, et qui prend de plus en plus d’importance, selon 52%.

Or, les équipes informatiques portent le poids de la mise en conformité :

• 56 % ne reçoivent pas le soutien de la direction pour respecter l’échéance de mise en conformité.

« Si elles ne sont pas vigilantes, de nombreuses entreprises pourraient se retrouver à brûler les étapes et négliger ainsi d’autres processus de cybersécurité, une éventualité admise par 60 % des responsables informatiques. Les dirigeants doivent agir dès aujourd’hui et fournir à leurs équipes informatiques le soutien nécessaire pour éviter qu’elles ne passent à côté d’étapes clés dans leur parcours de mise en conformité, ce qui provoquerait alors des conséquences financières plus que sérieuses. » selon Olivier Godin, SRVP Sales de Zscaler France

Améliorations & Problématiques

Selon 62%, NIS 2 diffère largement de ce qu’ils appliquent actuellement.

Des modifications significatives doivent être apportées à la pile technologique, mais aussi

• aux solutions de cybersécurité – 34 %
• à la sensibilisation des collaborateurs – 20 %
• à la sensibilisation et des dirigeants – 17 %

Parmi les parties perçues comme problématiques :

• La sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information – 31 %
• Les pratiques de base en matière de cyber hygiène et de sensibilisation à la cybersécurité – 30 %
• Les politiques et procédures relatives à des mesures efficaces de gestion des risques de cybersécurité – 29 %

Niveau d’avancement

Les entreprises européennes ne sont pas aussi avancées qu’elles le devraient en matière de normes de cybersécurité. Quelques chiffres :

• Niveau actuel de cyber hygiène vu comme « excellent » – 31%
• Secteur du transport : seuls 14 % ont atteint ce niveau d’excellence
• Secteur de l’énergie : 21 % ont atteint ce niveau d’excellence.

« Les réglementations ne doivent pas être perçues comme un problème à résoudre, mais plutôt comme une opportunité d’améliorer la sécurité » selon James Tucker, Head of CISO chez Zscaler.

Source Etude Zscaler – NIS 2 & Beyond: Risk, Reward & Regulation Readiness. Retours de plus de 875 responsables informatiques – Royaume-Uni, France, Allemagne, Italie, Espagne, Pays-Bas et Belgique

Dossiers complémentaires sur le thème de NIS 2 avec les experts du site iTPro.fr

NIS 2 : la France améliorerait son niveau de résilience numérique

La directive NIS2 est perçue comme un guide pour une activité durable

NIS2 : le CESIN mobilise ses membres