NIS2 amplifie les défis existants, à savoir la restriction des ressources et la pénurie de talents

Si les responsables IT ont réussi à dégager un budget suffisant pour assurer la conformité à la directive NIS2, les conséquences sur d’autres domaines pourraient être significatives, craint Veeam. On voit NIS2 comme une « crise ». Et c’est une erreur !

Pourtant, alors que 68 % des entreprises déclarent avoir reçu la rallonge budgétaire nécessaire pour respecter la directive européenne, 20 % d’entre elles considèrent le budget comme étant un obstacle majeur à cette mise en conformité.

Depuis l’entrée en vigueur de l’accord politique en janvier 2023, 40 % des entreprises ont vu leur budget informatique diminuer, tandis que 20 % ont constaté un statu quo de leur budget. En outre, 95 % des entreprises ont réaffecté certains budgets provenant d’autres secteurs pour couvrir les coûts de mise en conformité à la directive NIS2. Plus précisément, 34 % des entreprises ont utilisé leur budget dédié à la gestion des risques, 30 % leur budget de recrutement, 29 % leur budget de gestion de crise et 25 % leurs réserves d’urgence. Cette réaffectation des fonds souligne la pression supplémentaire exercée sur les ressources financières déjà serrées de ces entreprises.

Une crise. Par crainte…

Pour Edwin Weijdema, Field CTO EMEA, Veeam, la plupart des budgets IT étant soit réduits, soit stagnants -en d’autres termes, en baisse compte tenu de l’augmentation des coûts et de l’inflation- la directive NIS2 pioche dans une réserve déjà limitée « On a dégagé du budget de crainte des pénalités élevées », ne craint-il pas d’affirmer. Egalement pour l’accent mis sur la responsabilité de l’entreprise dans le cadre de la directive NIS2. « Cela a contribué à assouplir le processus » .

Or, la plupart des budgets IT étant soit réduits, soit stagnants -en d’autres termes, en baisse compte tenu de l’augmentation des coûts et de l’inflation- la directive NIS2 pioche dans une réserve déjà limitée . « Il est particulièrement inquiétant que des fonds soient empruntés au recrutement et aux réserves d’urgence. NIS2 est traitée comme une crise ! » C’est ce qu’une entreprise sur quatre semble considérer .

Pour NIS2, observe Veeam, on a ponctionné le budget informatique ou d’autres sources de l’entreprise. Cette contrainte permet d’expliquer pourquoi 80 % du budget informatique des entreprises de la région EMEA tenues de se conformer à la nouvelle directive sont désormais alloués à la cybersécurité et à la conformité. Et  Edwin Weijdema  de regretter que « cette réaffectation ne laisse guère de latitude aux responsables informatiques pour relever d’autres défis, tels que le déficit de compétences, la rentabilité ou la transformation numérique … »

Entreprises mal préparées et en manque de ressources

La sécurité et la conformité sont deux enjeux vitaux pour toutes les entreprises, enchaine Andre Troskie, Field CISO EMEA, Veeam. Toutefois, le fait qu’ils consomment actuellement la majeure partie du budget informatique souligne à quel point les entreprises sont mal préparées et manquent de ressources. « Bien que disposant de budgets limités, les responsables IT doivent trouver les moyens de répondre rapidement aux exigences de la directive NIS2. Ceux qui adoptent une approche holistique de la sécurité et appliquent des bonnes pratiques avant que la législation ne les impose subiront naturellement une pression moins élevée, ce qui leur permettra de répondre à d’autres priorités et de relever d’autres défis majeurs dans de meilleures conditions »