À l’approche de la date d’entrée en vigueur de la directive NIS2, les entreprises éprouvent des sentiments mitigés. Selon une enquête commanditée par Veeam, 90 % des entreprises européennes ont été confrontées à des incidents de cybersécurité que la conformité à la directive NIS2 aurait pu prévenir. Explications.
La règlementation NIS2 vise à renforcer la cybersécurité dans l’ensemble des pays de l’Union européenne en élargissant le champ d’application et en augmentant la rigueur des exigences de sécurité, entrera en vigueur le 18 octobre. L’éditeur Veam a demandé à Censuswide de mener une enquête sur ce sujet.
Les résultats révèlent que seulement 43 % des décideurs informatiques de la région EMEA estiment que cette règlementation améliorera de manière significative le niveau de cybersécurité au sein de l’UE et ce, bien qu’une écrasante majorité des personnes interrogées (90 %) ont signalé au moins un incident de sécurité que la directive NIS2 aurait pu permettre d’éviter au cours des douze derniers mois. À cet égard, il est inquiétant de signaler que 44 % des personnes interrogées ont subi plus de trois cyberincidents, dont 65 % ont été qualifiés de « très critiques ».
Les résultats de cette enquête, qui a été menée auprès de plus de 500 décideurs informatiques et de sécurité informatique exerçant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni, révèlent cette situation moins d’un mois avant l’entrée en vigueur de la directive, à savoir le 18 octobre. Si près de 80 % des entreprises se disent confiantes quant à leur capacité à se conformer à la directive NIS2, près des deux tiers déclarent ne pas être en mesure de respecter cette échéance imminente.
Pour être conformes à la directive NIS2, les entreprises doivent mettre en œuvre des mesures essentielles, telles que la définition de plans de réponse aux incidents, la sécurisation de la chaîne d’approvisionnement, l’évaluation des vulnérabilités et des niveaux de sécurité globaux. Cela concerne toutes les succursales et filiales, les partenaires et les membres de la chaîne logistique.
Or, plusieurs obstacles à la mise en conformité subsistent. Parmi les principaux défis évoqués par les décideurs informatiques figurent la dette technique (24 %), le manque de compréhension de la part des dirigeants (23 %) et l’insuffisance des budgets et des investissements (21 %). Il convient de souligner que 40 % des personnes interrogées ont signalé une diminution des budgets IT depuis que l’accord politique pour NIS2 a été proclamé en janvier 2023, malgré le risque de fortes sanctions comparables aux pénalités prévues dans le cadre du règlement général sur la protection des données (RGPD), la législation phare de l’UE en matière de confidentialité des données. 63 % des personnes interrogées considèrent le RGPD comme strict, et 62 % expriment le même sentiment vis-à-vis de la directive NIS2.
Autres enseignements de l’étude :
- Si 74 % des personnes interrogées considèrent que la directive NIS2 est bénéfique, 57 % doutent que son impact sera significatif sur la posture globale de l’UE en matière de cybersécurité.
- Les personnes sceptiques citent d’autres préoccupations, à savoir le manque d’exhaustivité de la directive NIS2 (35 %), la conviction que la conformité ne garantit en rien la sécurité (34 %) et le doublon avec les règlementations existantes (25 %).
- Parmi les autres obstacles à son adoption, citons le manque d’engagement en faveur de la conformité à la directive (20 %), des délais serrés (19 %), le déficit de compétences en cybersécurité (19 %), la complexité de la directive (19 %) et le cloisonnement organisationnel (19 %).
- Au-delà de leurs approches contradictoires, la plupart des personnes interrogées ont une perception positive de la directive NIS2 dans le contexte des obligations règlementaires de leur entreprise, et se déclarent optimistes (33%), confiantes (32%) et encouragées (27%).
