NIS2 : les entreprises ne peuvent pas respecter la date limite de mise en conformité

Améliorer le niveau de cybersécurité

NIS2 qui vise à renforcer la cybersécurité dans les pays de l’Union européenne en élargissant le champ d’application et en augmentant la rigueur des exigences de sécurité, est entrée en vigueur le 18 octobre 2024.

Selon 43 % des décideurs informatiques (EMEA), cette règlementation améliorera le niveau de cybersécurité au sein de l’UE. Par ailleurs, 90% ont signalé au moins un incident de sécurité que NIS2 aurait pu permettre d’éviter au cours des douze derniers mois.

Toutefois, 74 % considèrent que la directive NIS2 est bénéfique et 57 % doutent que son impact sera significatif sur la posture globale de l’UE en matière de cybersécurité

Lever les obstacles à la mise en conformité à la directive NIS2

Pour être conformes, les entreprises doivent mettre en œuvre des mesures comme

• la définition de plans de réponse aux incidents
• la sécurisation de la chaîne d’approvisionnement
• l’évaluation des vulnérabilités et des niveaux de sécurité globaux

Les succursales et filiales, les partenaires et les membres de la chaîne logistique sont concernés.

Alors, quels sont les obstacles à la mise en conformité ?

• la dette technique – 24 %
• le manque de compréhension de la part des dirigeants – 23 %
• l’insuffisance des budgets et des investissements – 21 %
• le manque d’engagement en faveur de la conformité à la directive – 20 %
• des délais serrés – 19 %
• le déficit de compétences en cybersécurité – 19 %
• la complexité de la directive – 19 %
• le cloisonnement organisationnel – 19 %.

En outre, 40 % ont signalé une diminution des budgets IT depuis que l’accord politique pour NIS2 a été proclamé en janvier 2023.

Mesurer les pressions concurrentielles

La lenteur de l’adoption serait liée aux pressions commerciales et aux priorités liées à la concurrence.

Ainsi, NIS2 est classée au plus bas en termes d’urgence, derrière 10 autres problématiques (manque de compétences, rentabilité, transformation numérique). De plus, selon 42 %, cette directive n’est pas importante pour l’amélioration de la cybersécurité de l’UE.

Au-delà des approches contradictoires, une perception positive de la directive NIS2 se dégage dans le contexte des obligations règlementaires, et 33% se déclarent optimistes, 32% confiantes et 27% encouragées.

Top 5 des chiffres français

• 95% des entreprises françaises ont été confrontées à des incidents de cybersécurité que la conformité à NIS2 aurait pu prévenir
• 88% font confiance à NIS2 mais 68% ne pourront pas respecter l’échéance de mise en conformité
• Parmi les défis : on note le manque de compréhension des dirigeants, l’absence de focalisation sur NIS2 et la complexité de NIS2
• 61 % des décideurs informatiques français estiment que cette règlementation améliorera de manière significative le niveau de cybersécurité au sein de l’UE
• Les sceptiques citent des préoccupations comme le doublon avec les règlementations existantes – 55 %, et l’absence de réelles conséquences pour les organisations non conformes après la date limite – 36%.

Source Etude Veeam & Censuswide – 500 décideurs informatiques et de sécurité informatique exerçant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni.