NIS2: cauchemar des décideurs européens pour la conformité

Se conformer aux réglementations de la cybersécurité imposées par la directive NIS2 pose problème, en raison d’obstacles internes bloquant les efforts et de la non maitrise des étapes nécessaires à la mise en conformité. « Bien que la date limite de mise en conformité avec la norme NIS2 soit dépassée, cette Infobrief révèle une insuffisance critique dans les efforts de nombreuses entreprises pour se conformer aux normes » déclare Rob O’Connor, CISO and Security Technology Lead chez Insight.

Manque de connaissance des exigences

On observe une méconnaissance générale des implications de la directive et de la manière dont elle affecterait les activités quotidiennes :

• 3 entreprises européennes sur 4 ne sont pas pleinement conscientes de la directive NIS2 et n’en ont pas une connaissance approfondie.

Et pourtant, les sanctions financières et les responsabilités personnelles des dirigeants doivent être connues. Ces sanctions comprennent des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global, ainsi que la révocation des droits des cadres à occuper des postes de direction.

Top 5 des divergences entre direction générale et direction informatique

On note une divergence entre la perception des PDG sur l’état de préparation de l’entreprise et l’opinion des équipes informatiques.

• Gestion des risques

Selon 46 % des PDG européens, l’amélioration de la gestion des risques est la priorité N°1, mais selon 42 % des responsables des technologies de l’information et de la sécurité, le conseil d’administration n’est pas impliqué dans la conformité NIS2.

• Réel désengagement

Le conseil d’administration se concentre uniquement sur l’activité et la croissance. La conformité n’est pas une priorité – 43%

• Mauvaise compréhension des risques cyber

Le conseil d’administration comprend mal les risques liés à la cybersécurité et leur lien avec l’entreprise- 33%

• Aspects techniques non maitrisés

Le CA n’est pas en mesure de comprendre les aspects techniques – 30%

• Peu de sensibilisation

Le CA est peu sensibilisé aux risques liés à la cybersécurité – 28%

Manque d’expertise interne

L’autre enjeu est incontestablement humain. Les collaborateurs citent les facteurs humains comme le manque de personnel technique, comme défis à relever. Mais ce n’est pas tout.

• Charge de travail

Selon 57%, la charge de travail en matière de conformité dépasse les capacités de leurs équipes internes

• Compétences manquantes

Selon 52%, les compétences internes nécessaires pour se conformer pleinement à la réglementation font défaut. De plus, 54% vont faire appel à un fournisseur de services de sécurité managés au cours des deux prochaines années pour obtenir de l’aide.

Pour rappel, NIS2, en vigueur en Europe depuis le 17 octobre, est une approche commune de la conformité en matière de sécurité dans l’ensemble de l’Union européenne. A ce jour, seuls six[1] pays de l’UE ont intégré le NIS2 dans leur législation.

Source :Etude Insight & IDC InfoBrief – NIS2 : What Is Your Deadline – Personnes interrogées principalement des directeurs et des responsables informatiques (sécurité) – entreprises de 59 à 999 employés

[1] Belgique, Lituanie, Lettonie, Croatie, Hongrie, Italie