L’Europe est-elle confrontée à un cauchemar en matière de conformité à la norme NIS2 ?
Un récent InfoBrief [1] d’IDC, commandé par Insight Enterprises, révèle des retards alarmants dans toute l’Europe pour se conformer aux réglementations strictes en matière de cybersécurité imposées par la directive NIS2. Les résultats montrent que de nombreuses entreprises sont confrontées à d’importants obstacles internes qui entravent considérablement leurs efforts de mise en conformité.
Il est préoccupant de constater que cette étude met en évidence une méconnaissance généralisée des étapes essentielles nécessaires à la mise en conformité totale avec la directive NIS2, ajoutant des couches de complexité à un paysage réglementaire déjà décourageant.
Manque de sensibilisation ou de connaissance des exigences de la directive de la part des entreprises
Ce qui devrait préoccuper les entreprises, ce sont les sanctions financières et les responsabilités personnelles auxquelles les dirigeants s’exposent en cas de non-conformité à NIS2. Ces sanctions comprennent des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global, ainsi que la révocation des droits des cadres à occuper des postes de direction [2].
L’enquête menée auprès des responsables informatiques et des décideurs européens peu avant la date limite du 17 octobre a révélé une méconnaissance générale de toutes les implications de la directive et de la manière dont elle affecterait les activités quotidiennes des entreprises dans les organisations européennes.
Les principales conclusions de l’enquête sont les suivantes :
- Trois entreprises européennes sur quatre interrogées n’étaient pas pleinement conscientes de l’existence de la directive NIS2 et n’en avaient pas une connaissance approfondie.
Bien que chaque niveau organisationnel n’exige pas une connaissance détaillée de la mise en œuvre de la directive NIS2, les personnes interrogées étaient principalement des directeurs et des responsables informatiques (sécurité) dans des entreprises de 59 à 999 employés, qui pourraient être amenés à diriger ou à superviser la conformité à la directive NIS2 au sein de leur entreprise.
Désalignement entre les entreprises au niveau de la direction générale et de la direction informatique/technologique
L’étude a également mis en évidence une irrégularité dans la communication et l’alignement des entreprises. Les résultats montrent une divergence entre la perception qu’ont les PDG de l’état de préparation de leur entreprise et l’opinion de leurs propres équipes informatiques.
Si les dirigeants considèrent la conformité comme une priorité absolue, cette conviction n’est pas partagée par les responsables informatiques, qui sont nombreux à penser que les entreprises ne prennent pas la conformité suffisamment au sérieux.
L’enquête a révélé que :
- 46 % des PDG européens considèrent l’amélioration de la gestion des risques comme la priorité numéro 1 … mais 42 % des responsables des technologies de l’information et de la sécurité déclarent que leur conseil d’administration (C-Suite) n’est pas impliqué dans la conformité NIS2.
Interrogés sur les raisons de ce désengagement, les résultats montrent que :
- Le conseil d’administration se concentre uniquement sur l’activité et la croissance ; la conformité n’est pas une priorité (43%)
- Le conseil d’administration comprend mal les risques liés à la cybersécurité et leur lien avec l’entreprise (33%)
- Le conseil d’administration n’est pas en mesure de comprendre les aspects techniques (30%)
- Le conseil d’administration est peu sensibilisé aux risques liés à la cybersécurité (28%)
Manque d’expertise interne pour exécuter les tâches de mise en conformité
Les résultats de l’étude mettent en évidence un autre enjeu pour les entreprises, celui du personnel de leur entreprise. Interrogées sur les problèmes qui entravent la capacité de leur entreprise à se conformer à la directive, les personnes interrogées ont cité les « facteurs humains tels que le manque de personnel technique » comme l’un des trois principaux défis à relever.
En fait, les résultats ont montré que :
- 57% ont indiqué que leur charge de travail en matière de conformité dépassait les capacités de leurs équipes internes
- 52% admettent qu’elles ne disposent pas des compétences internes nécessaires pour se conformer pleinement à la réglementation.
L’incapacité de nombreuses entreprises à répondre aux besoins en personnel technique liés à la mise en conformité avec la norme NIS2 est également illustrée par le fait que 54 % d’entre elles prévoient de faire appel à un fournisseur de services de sécurité managés au cours des deux prochaines années pour obtenir de l’aide.
« Bien que la date limite de mise en conformité avec la norme NIS2 soit dépassée, cette Infobrief révèle une insuffisance critique dans les efforts de nombreuses entreprises pour se conformer aux normes », déclare Rob O’Connor, CISO and Security Technology Lead chez Insight. « Les résultats de l’étude mettent en exergue un écart alarmant dans la priorisation et la sensibilisation des cadres dirigeants à la conformité en matière de cybersécurité, telle qu’elle est perçue par la direction informatique. En outre, les résultats soulignent le manque d’expertise interne nécessaire pour assurer la conformité, ce qui entraîne une dépendance croissante à l’égard d’une assistance externe ».
Rob O’Connor ajoute : « En tant qu’intégrateur de solutions reconnu, nous assistons à une augmentation des demandes de conseils en matière de cybersécurité pour faire face aux lourdes exigences de la conformité NIS2. Même si la législation n’est pas encore entrée en vigueur dans tous les pays, ces résultats devraient servir de signal d’alarme et rappeler aux entreprises qu’elles doivent fixer immédiatement leurs propres délais de mise en conformité avec la directive NIS2 ».
La directive NIS2 est entrée en vigueur dans toute l’Europe le 17 octobre dernier. Elle constitue une approche commune de la conformité en matière de sécurité dans l’ensemble de l’Union européenne, mais à ce jour, seuls six [3] pays de l’UE ont intégré le NIS2 dans leur législation.
[2] excluant l’Allemagne
[3] Belgique, Lituanie, Lettonie, Croatie, Hongrie, Italie