Deux études montrent un décalage entre la confiance affichée par les responsables quant au respect de la directive dans les délais et leur compréhension réelle de son contenu.
Préparation insuffisante ! Alors que 80 % des organisations se disent confiantes quant à leur capacité à se conformer à NIS2, seulement 14 % se déclarent conformes. « Bien qu’il règne une certaine confiance dans la capacité des entreprises à se mettre en conformité avec NIS 2 avant la date limite qui approche à grands pas, il apparait que cette confiance repose peut-être sur des bases relativement fragiles », note Olivier Godin, SRVP Sales, Zscaler France.
Intitulée NIS 2 & Beyond : Risk, Reward & Regulation Readiness, l’étude de Zscaler recense les retours de plus de 875 responsables informatiques sur six marchés européens. L’étude montre aussi un décalage entre les Etats membres. Certains ont déjà transposé la directive dans leur législation nationale et se préparent à appliquer les mesures de conformité à partir d’octobre 2024. D’autres, comme la France, le Danemark et les Pays-Bas, ont annoncé qu’ils ne l’appliqueront qu’au début de 2025. L’Allemagne, quant à elle, ne pourra respecter le délai en raison de la législation nationale en attente. En fait, peut-on lire entre les lignes, beaucoup attendent la législation nationale, supposant que les retards d’application leur donneront suffisamment de temps pour mettre en place les mesures requises.
Préparation insuffisante, une pile technologique trop lourde
Danger ! « Si elles ne sont pas vigilantes, de nombreuses entreprises pourraient se retrouver à brûler les étapes et négliger ainsi d’autres processus de cybersécurité », prévient Olivier Godin. C’est une éventualité admise par 60 % des responsables informatiques. « Les dirigeants doivent agir dès aujourd’hui et fournir à leurs équipes informatiques le soutien nécessaire pour éviter qu’elles ne passent à côté d’étapes clés dans leur parcours de mise en conformité, ce qui provoquerait alors des conséquences financières plus que sérieuses. »
Même si la directive NIS 2 repose sur le cadre NIS actuel, 62 % des personnes interrogées estiment qu’elle diffère largement de ce qu’elles appliquent actuellement. Pour respecter la directive, les responsables informatiques doivent apporter des modifications significatives à leur pile technologique et à leurs solutions de cybersécurité (34 %), à la sensibilisation des collaborateurs (20 %) et des dirigeants (17 %).
NIS2 n’irait pas assez loin…
Une enquête de Eversheds Sutherland co-publiée avec ESET Nederland révèle une situation similaire : un tiers des organisations ont mis en œuvre la directive, tandis que 15 % estiment qu’elles ne sont pas concernées et 14 % sont incertaines quant à leurs exigences de conformité. Environ 38 % n’ont pas encore commencé, mais prévoient de le faire prochainement. Malgré une attention significative sur le sujet, la mise en œuvre réelle est souvent insuffisante, conduisant à l’une des principales critiques de la directive : le chemin vers la conformité n’est pas toujours clair. La préparation insuffisante aurait donc d’autres raisons…
A travers son étude, Zscaler montre aussi que la conformité n’est pas la finalité. 53 % des personnes interrogées sont d’avis que NIS 2 ne va pas assez loin compte tenu des défis auxquels les entreprises sont confrontées. « Les réglementations ne doivent pas être perçues comme un problème à résoudre, mais plutôt comme une opportunité d’améliorer la sécurité, insiste James Tucker, Head of CISO, Zscaler. Elles doivent être intégrées dans les processus de révision des entreprises plutôt que de constituer une activité distincte pour les équipes informatiques. Les entreprises devraient profiter de cette occasion pour réévaluer leurs piles technologiques et trouver des moyens de simplifier et de suivre leur matériel et leurs logiciels sur une plateforme unique pour réduire la complexité de leur environnement organisationnel. » De fait.