Ce n’est pas une révélation mais plutôt une confirmation chiffrée. Selon Insight, 75 % des décideurs informatiques européens ne sont toujours pas sûrs des exigences de conformité NIS2 pour leur entreprise…
La directive NIS 2, adoptée par l’Union européenne, vise à renforcer la cybersécurité des infrastructures critiques en imposant des exigences plus strictes aux entreprises. Elle prévoit des sanctions sévères en cas de non-conformité, notamment des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et engage la responsabilité personnelle des dirigeants.
En France, le projet de loi de transposition a été présenté en Conseil des ministres le 15 octobre dernier. Il doit désormais être discuté et adopté par le Parlement. Une fois la loi promulguée, des décrets et arrêtés préciseront les modalités pratiques de mise en œuvre. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) prévoit une période de transition de trois ans pour permettre aux entités concernées de se conformer aux nouvelles obligations.
Et ces trois ans ne seront probablement pas de trop. Une étude récente commandée par Insight Enterprises et réalisée par IDC met en lumière un évident retard dans la préparation des entreprises européennes à cette nouvelle réglementation. Selon cette enquête, 75 % des décideurs informatiques européens ne sont toujours pas pleinement conscients des exigences de conformité liées à la directive NIS 2 pour leur entreprise. Il est vrai que tant que la directive n’a pas été officiellement transposée en Droit français, des doutes subsistent toujours et encore.
Mais que trois entreprises sur quatre n’aient pas une connaissance approfondie de la directive NIS 2 telle que définit par l’Europe révèle un manque de sensibilisation des directeurs et responsables informatiques susceptibles de piloter la conformité au sein de leur organisation.
Désalignement entre la direction générale et les équipes informatiques
L’étude révèle également un décalage entre la perception des dirigeants et celle des responsables informatiques concernant la priorité donnée à la cybersécurité. Si 46 % des PDG européens considèrent l’amélioration de la gestion des risques comme une priorité absolue, 42 % des responsables IT estiment que leur direction n’est pas suffisamment impliquée dans la conformité à NIS 2.
Les raisons de ce désengagement incluent :
– Une focalisation de la direction sur l’activité et la croissance au détriment de la conformité (43 %).
– Une mauvaise compréhension des risques liés à la cybersécurité et de leur impact sur l’entreprise (33 %).
– Une difficulté à appréhender les aspects techniques liés à la cybersécurité (30 %).
– Une faible sensibilisation générale aux risques cyber (28 %).
Les entreprises font également face à un manque d’expertise interne pour assurer la mise en conformité :
– 57 % des répondants indiquent que la charge de travail liée à la conformité dépasse les capacités de leurs équipes.
– 52 % reconnaissent ne pas disposer des compétences internes nécessaires pour se conformer pleinement à la réglementation.
En conséquence, 54 % des entreprises prévoient de recourir à des fournisseurs de services de sécurité managés dans les deux prochaines années pour les aider dans leur démarche.
Et pour Rob O’Connor, directeur de la sécurité de l’information chez Insight, il y a urgence : « Les résultats de l’étude mettent en évidence un écart inquiétant dans la priorisation et la sensibilisation des cadres dirigeants à la conformité en matière de cybersécurité. Il est impératif que les entreprises prennent immédiatement des mesures pour comprendre les exigences de NIS 2 et élaborer des plans d’action concrets. »
Alors que la directive NIS 2 est déjà en vigueur dans certains pays, cette étude sert de signal d’alarme pour les organisations européennes et françaises. La mise en conformité n’est pas seulement une obligation légale, mais aussi une nécessité pour protéger les infrastructures critiques et garantir la résilience face à des cybermenaces croissantes et qui n’ont pas fini de croître, de s’intensifier et de se complexifier.