Alors que la date butoir de la transposition nationale NIS2 était fixée au 17 octobre 2024, la France par la voie de l’ANSSI a décidé de laisser un délai de 3 ans aux entreprises concernées pour se mettre en conformité, moyennant quelques exigences.
Si ce démarrage difficile de conformité n'affecte pas seulement l'hexagone, une récente étude indique que des incidents critiques de sécurité auraient pu être évité par une meilleure prise en compte du sujet.
Rappelons que pour être conformes à la directive NIS2, les entreprises doivent mettre en œuvre des mesures essentielles, telles que la définition de plans de réponse aux incidents, la sécurisation de la chaîne d’approvisionnement, l’évaluation des vulnérabilités et des niveaux de sécurité globaux. Cela concerne aussi toutes les succursales et filiales, les partenaires et les membres de la chaîne logistique.
Une récente étude[1] menée par Censuswide pour Veeam révèle que 90% des entreprises européennes interrogées dans le cadre de cette mise en conformité ont signalé au moins un incident de sécurité que la directive aurait pu permettre d’éviter au cours des douze derniers mois.
Ce qui reste inquiétant c’est que 44 % des personnes interrogées ont subi plus de trois cyber-incidents au cours des derniers mois, dont 65 % qualifiés de « très critiques ».
Principaux freins au démarrage difficile du NIS2
Parmi les principaux défis évoqués par les décideurs informatiques interrogés dans le cadre de cette étude figurent la dette technique à 24 %, le manque de compréhension de la part des dirigeants à 23 % et l’insuffisance des budgets et des investissements à 21 %.
La lenteur de la mise en conformité de la directive NIS2 est aussi probablement liée à la multitude de pressions commerciales et de priorités auxquelles font face les entreprises aujourd'hui.
Les entreprises interrogées classent ainsi la directive NIS2 au plus bas en termes d’urgence et de priorité, et ce, bien derrière dix autres problématiques telles que le manque de compétences, la rentabilité ou la transformation numérique.
Par ailleurs, 57 % d'entre elles doutent que l'impact de la NIS2 sera significatif sur la posture globale de l’UE en matière de cybersécurité.
La France n'est pas le pire des élèves
Bien entendu la France n’est pas le seul pays européen à ne pas avoir respecté la date de la transposition nationale de la directive.
Parmi les mauvais élèves, citons également la Bulgarie, le Portugal, l’Espagne et l’Estonie (épicentre européen de la cyber), qui n’ont à ce jour pas avancé dans le processus de transposition.
Viennent ensuite le Danemark, la France , l’Irlande et la Roumanie qui ont commencé leurs projets de transposition. A ce titre la France, par la voie de l’Anssi a autorisé une période de trois ans aux organisations concernées pour se conformer complètement à cette directive, à partir du moment où le strict minimum serait fait.
Ce strict minimum intègre notamment la notification des incidents cyber, le partage d’information sur les investissements effectués en matière de cybersécurité, ainsi que l’enregistrement de l’organisation auprès de l’Anssi sur le portail mon espace NIS2
Les meilleurs élèves de l'U.E
Les pays ayant déjà soumis leurs projets de transposition sont l’Autriche, Chypre, la République tchèque, la Finlande, l’Allemagne, la Grèce, l’Italie, la Lituanie, le Luxembourg, les Pays bas, la Pologne, la Slovaquie, la Slovénie, et la Suède.
Parmi les meilleurs élèves, à savoir les pays qui ont transposé à date la directive au niveau national, citons la Belgique, la Hongrie, la Croatie, and la Lettonie.
Une aide de l'ENISA pour la mise en œuvre de la directive NIS2
L'ENISA (Agence europénne pour la cybersécurité) a ouvert récemment une consultation auprès des entités concernées, sur le guide de bonne pratiques, afin d'aider à la mise en œuvre technique et méthodologique de la directive NIS2.
Cette consultation est ouverte jusqu'au 9 décembre prochain. L'objectif est de proposer.
Des conseils et astuces, explications supplémentaires sur les concepts et les termes utilisés,
Exemples de preuves, qui pourraient être utilisés pour évaluer si une exigence est satisfaite.
Des tableaux de mise en correspondance les exigences de sécurité du règlement d’exécution avec les normes européennes et internationales, ainsi qu’avec les cadres nationaux.
Pour accéder au guide, cliquez ICI
Pour accéder à la consultation, cliquez ICI
[1] Cette étude a été menée auprès de plus de 500 décideurs informatiques et de sécurité informatique exerçant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni.
Comments