L’Europe est-elle confrontée à un cauchemar en matière de conformité à la norme NIS2 ?

Un récent InfoBrief[1] d’IDC, commandé par Insight Enterprises (NASDAQ:NSIT), révèle des retards alarmants dans toute l’Europe pour se conformer aux réglementations strictes en matière de cybersécurité imposées par la directive NIS2. Les résultats montrent que de nombreuses entreprises sont confrontées à d’importants obstacles internes qui entravent considérablement leurs efforts de mise en conformité. Il est préoccupant de constater que cette étude met en évidence une méconnaissance généralisée des étapes essentielles nécessaires à la mise en conformité totale avec la directive NIS2, ajoutant des couches de complexité à un paysage réglementaire déjà décourageant.

Manque de sensibilisation ou de connaissance des exigences de la directive de la part des entreprises

Ce qui devrait préoccuper les entreprises, ce sont les sanctions financières et les responsabilités personnelles auxquelles les dirigeants s’exposent en cas de non-conformité à NIS2. Ces sanctions comprennent des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global, ainsi que la révocation des droits des cadres à occuper des postes de direction[2].

L’enquête menée auprès des responsables informatiques et des décideurs européens peu avant la date limite du 17 octobre a révélé une méconnaissance générale de toutes les implications de la directive et de la manière dont elle affecterait les activités quotidiennes des entreprises dans les organisations européennes. Les principales conclusions de l’enquête sont les suivantes :

  • Trois entreprises européennes sur quatre interrogées n’étaient pas pleinement conscientes de l’existence de la directive NIS2 et n’en avaient pas une connaissance approfondie.

Bien que chaque niveau organisationnel n’exige pas une connaissance détaillée de la mise en œuvre de la directive NIS2, les personnes interrogées étaient principalement des directeurs et des responsables informatiques (sécurité) dans des entreprises de 59 à 999 employés, qui pourraient être amenés à diriger ou à superviser la conformité à la directive NIS2 au sein de leur entreprise.

Désalignement entre les entreprises au niveau de la direction générale et de la direction informatique/technologique

L’étude a également mis en évidence une irrégularité dans la communication et l’alignement des entreprises. Les résultats montrent une divergence entre la perception qu’ont les PDG de l’état de préparation de leur entreprise et l’opinion de leurs propres équipes informatiques. Si les dirigeants considèrent la conformité comme une priorité absolue, cette conviction n’est pas partagée par les responsables informatiques, qui sont nombreux à penser que les entreprises ne prennent pas la conformité suffisamment au sérieux. L’enquête a révélé que :

  • 46 % des PDG européens considèrent l’amélioration de la gestion des risques comme la priorité numéro 1 … mais 42 % des responsables des technologies de l’information et de la sécurité déclarent que leur conseil d’administration (C-Suite) n’est pas impliqué dans la conformité NIS2.

Interrogés sur les raisons de ce désengagement, les résultats montrent que :

  • Le conseil d’administration se concentre uniquement sur l’activité et la croissance ; la conformité n’est pas une priorité (43 %)
  • Le conseil d’administration comprend mal les risques liés à la cybersécurité et leur lien avec l’entreprise (33 %)
  • Le conseil d’administration n’est pas en mesure de comprendre les aspects techniques (30 %)
  • Le conseil d’administration est peu sensibilisé aux risques liés à la cybersécurité (28 %)

Manque d’expertise interne pour exécuter les tâches de mise en conformité

Les résultats de l’étude mettent en évidence un autre enjeu pour les entreprises, celui du personnel de leur entreprise. Interrogées sur les problèmes qui entravent la capacité de leur entreprise à se conformer à la directive, les personnes interrogées ont cité les « facteurs humains tels que le manque de personnel technique » comme l’un des trois principaux défis à relever. En fait, les résultats ont montré que :

  • 57 % ont indiqué que leur charge de travail en matière de conformité dépassait les capacités de leurs équipes internes
  • 52 % admettent qu’elles ne disposent pas des compétences internes nécessaires pour se conformer pleinement à la réglementation.

L’incapacité de nombreuses entreprises à répondre aux besoins en personnel technique liés à la mise en conformité avec la norme NIS2 est également illustrée par le fait que 54 % d’entre elles prévoient de faire appel à un fournisseur de services de sécurité managés au cours des deux prochaines années pour obtenir de l’aide.

« Bien que la date limite de mise en conformité avec la norme NIS2 soit dépassée, cette Infobrief révèle une insuffisance critique dans les efforts de nombreuses entreprises pour se conformer aux normes », déclare Rob O’Connor, CISO and Security Technology Lead chez Insight. « Les résultats de l’étude mettent en exergue un écart alarmant dans la priorisation et la sensibilisation des cadres dirigeants à la conformité en matière de cybersécurité, telle qu’elle est perçue par la direction informatique. En outre, les résultats soulignent le manque d’expertise interne nécessaire pour assurer la conformité, ce qui entraîne une dépendance croissante à l’égard d’une assistance externe. »

  1. O’Connor ajoute: « En tant qu’intégrateur de solutions reconnu, nous assistons à une augmentation des demandes de conseils en matière de cybersécurité pour faire face aux lourdes exigences de la conformité NIS2. Même si la législation n’est pas encore entrée en vigueur dans tous les pays, ces résultats devraient servir de signal d’alarme et rappeler aux entreprises qu’elles doivent fixer immédiatement leurs propres délais de mise en conformité avec la directive NIS2. »

La directive NIS2 est entrée en vigueur dans toute l’Europe le 17 octobre. Elle constitue une approche commune de la conformité en matière de sécurité dans l’ensemble de l’Union européenne, mais à ce jour, seuls six[3] pays de l’UE ont intégré le NIS2 dans leur législation.

Pour plus d’informations sur Insight, voir NIS2 | Insight UK.

À propos d’Insight

Membre du Fortune 500, Insight Enterprises, Inc. est un intégrateur de solutions qui aident les entreprises à accélérer leur transformation digitale afin de moderniser leur activité et de maximiser la valeur des technologies. Nous élaborons, concevons et gérons des solutions pour des environnements informatiques complexes. Nos services de transformation digitale comprennent une expertise approfondie en matière de Cloud, de données, d’IA, de cybersécurité et de périphérie intelligente, renforcée par des relations de longue date avec plus de 8 000 partenaires technologiques. En fournissant rapidement et efficacement les solutions les mieux adaptées, nous aidons nos clients à simplifier les processus d’entreprises modernes afin d’améliorer l’expérience client et professionnelle, la veille stratégique, l’efficacité et la croissance. Nous sommes classés parmi les entreprises Great Place To Work®, parmi les meilleurs employeurs selon Forbes et parmi les meilleurs environnements de travail selon Fortune. Pour en savoir plus, rendez-vous sur insight.com. NSIT-M.

[1] Source : IDC InfoBrief, commandé par Insight, NIS2 : What Is Your Deadline, doc #EUR252648424, octobre 2024.

[2] excluant l’Allemagne

[3] Belgique, Lituanie, Lettonie, Croatie, Hongrie, Italie

Articles similaires
Onapsis présente sa solution de sécurité SAP et Oracle aux Assises

Onapsis, le leader du marché de la sécurité et de la mise en conformité des environnements SAP et Oracle, annonce sa seconde participation aux Assises de la cybersécurité (stand L33) qui se tiendront du 9 au 12 octobre 2024 à Monaco. À cette occasion, Onapsis y présentera sa plateforme. Celle-ci assure la protection des applications essentielles […]

Insight nomme Naoual Chekrouni et Laetitia Elie en qualité de Senior Sales Manager

Insight Enterprises (NASDAQ:NSIT), intégrateur de solutions membre du Fortune 500 aidant ses clients à accélérer leur transformation digitale, annonce la nomination de Naoual Chekrouni et de Laetitia Elie, en tant que Senior Sales Manager. Laetitia Elie occupera également la fonction de Head of Sales. Elles reportent respectivement à Pierre Vivier Merle, Directeur des Solutions France […]

cybersécurité
Cybersécurité : Bpifrance noue un partenariat avec Docaposte pour proposer son offre de protection et de sauvegarde à destination des TPE, PME et ETI françaises.

Bpifrance renforce sa mobilisation auprès des entreprises désireuses de se prémunir contre les risques cyber en s’associant à Docaposte, leader des solutions numériques, afin de leur proposer le Pack Cyber, l’offre de cybersécurité lancée par Docaposte, adaptée aux TPE, PME et ETI, simple et accessible.