NIS 2 ne convainc pas. Une étude constate que seuls 43 % des décideurs informatiques de la région EMEA estiment que cette règlementation améliorera de manière significative le niveau de cybersécurité au sein de l’UE. Selon une enquête menée par Veeam, 90 % des entreprises de la région EMEA ont été confrontées à des incidents de cybersécurité que la conformité à la directive NIS 2 aurait pu prévenir…

Alors que sa transposition en droit français est toujours en suspens à ce jour, NIS 2 est sur toutes les lèvres. Mais seule une minorité est confiante et prête à être en conformité ! Menée auprès de plus de 500 décideurs informatiques et de sécurité informatique exerçant dans 5 pays européens, dont la France, cette enquête note que 66 % d’entre eux ne seront pas en mesure de respecter la date limite de mise en conformité.

Quel paradoxe alors que près de 80 % des entreprises se disent confiantes quant à leur capacité à se conformer à la directive NIS 2... Les résultats révèlent que seulement 43 % des décideurs informatiques de la région EMEA estiment que cette règlementation améliorera de manière significative le niveau de cybersécurité au sein de l’UE…

… mais une écrasante majorité des personnes interrogées (90 %) a signalé au moins un incident de sécurité que la directive NIS 2 aurait pu permettre d’éviter au cours des douze derniers mois.

NIS 2, pas une urgence

Le pire est d’apprendre que 44 % des personnes interrogées ont subi plus de trois cyberincidents, dont 65 % ont été qualifiés de « très critiques ». Pourquoi une telle situation ? Différents obstacles à la mise en conformité sont pointés du doigt. Pour être conformes à la directive NIS 2, les entreprises doivent mettre en œuvre
des mesures essentielles :
  • la définition de plans de réponse aux incidents

  • la sécurisation de la chaîne d’approvisionnement

  • l’évaluation des vulnérabilités et des niveaux de sécurité globaux…
Parmi les principaux défis évoqués par les décideurs informatiques figurent :
  • la dette technique (24 %)

  • le manque de compréhension de la part des dirigeants (23 %)

  • l’insuffisance des budgets et des investissements (21 %).
Il convient de souligner que 40 % des personnes interrogées ont signalé une diminution des budgets IT depuis que l’accord politique pour NIS 2 a été proclamé en janvier 2023. Une baisse malgré le risque de fortes sanctions comparables aux pénalités prévues dans le cadre du RGPD. 63 % des personnes interrogées considèrent le RGPD comme strict, et 62 % expriment le même sentiment vis-à-vis de la directive NIS 2.

Bénéfique, mais pas significative

« La lenteur de l’adoption de la directive NIS 2 est probablement liée à la multitude de pressions commerciales et de priorités liées à la concurrence auxquelles font face les entreprises. Les personnes interrogées classent la directive NIS 2 au plus bas en termes d’urgence, derrière dix autres problématiques telles que le manque de compétences, la rentabilité ou la transformation numérique », lit-on dans ce rapport.

Pire, 42 % des personnes interrogées considèrent que cette directive n’est pas importante pour l’amélioration de la cybersécurité de l’UE. En un mot, la directive NIS 2 est considérée comme bénéfique, mais son impact sera peu significatif.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR