Directive NIS2 en UE : une échéance imminente, une préparation insuffisante

Cybersécurité
ENISA menace cyber 2022

Cette directive impose dix mesures de sécurité destinées à renforcer la cyber résilience des infrastructures critiques, incluant la gestion de la continuité des activités, la gestion des risques cyber, la sécurité de la chaîne d’approvisionnement et la formation et l’éducation.

Alors que les États membres de l’UE sont tenus d’introduire la directive sur les systèmes de réseaux et d’information 2022 (NIS2) dans leur droit national d’ici octobre 2024, tous ne semblent pas prêts à honorer cette échéance.

Cette directive impose dix mesures de sécurité destinées à renforcer la cyber résilience des infrastructures critiques, incluant la gestion de la continuité des activités, la gestion des risques cyber, la sécurité de la chaîne d’approvisionnement et la formation et l’éducation.

Différences entre pays de l’UE dans la mise en œuvre de la directive NIS2

Certains États membres ont déjà transposé la directive dans leur législation nationale et se préparent à appliquer les mesures de conformité à partir d’octobre 2024. D’autres, comme la France, le Danemark et les Pays-Bas, ont annoncé qu’ils ne l’appliqueront qu’au début de 2025. L’Allemagne, quant à elle, ne pourra respecter le délai en raison de la législation nationale en attente.

Les différences dans la mise en œuvre de la directive sont également significatives. Par exemple, la France inclut explicitement les autorités locales, ce qui n’est pas le cas en Allemagne. Ces variations ont laissé de nombreuses organisations paneuropéennes en difficulté pour comprendre la directive et ses diverses mises en œuvre à travers l’UE.

Confiance et préparation des organisations

80 % des organisations sont confiantes quant à leur capacité à se conformer. Cependant, beaucoup attendent la législation nationale, supposant que les retards d’application leur donneront suffisamment de temps pour mettre en place les mesures requises. Actuellement, seulement 14 % des organisations se déclarent conformes.

Cependant, de nombreuses organisations manquent de confiance dans leur capacité à comprendre les exigences (53 %), et 49 % signalent une absence notable de soutien de la part de leur direction. Sans un soutien adéquat de la hiérarchie, qui est personnellement responsable et redevable de la mise en œuvre et de la sécurité de l’organisation, les équipes informatiques peuvent se trouver prêtes, mais l’organisation dans son ensemble ne le sera pas.

Perspectives des organisations européennes

Une autre enquête révèle une situation similaire : un tiers des organisations ont mis en œuvre la directive, tandis que 15 % estiment qu’elles ne sont pas concernées et 14 % sont incertaines quant à leurs exigences de conformité. Environ 38 % n’ont pas encore commencé mais prévoient de le faire prochainement. Malgré une attention significative sur le sujet, la mise en œuvre réelle est souvent insuffisante, conduisant à l’une des principales critiques de la directive : le chemin vers la conformité n’est pas toujours clair.

Bien que la législation soit retardée et que les organisations disposent encore de temps pour se préparer, il est impératif d’utiliser cette période avec intention et diligence.

La directive NIS2 ne doit pas être perçue comme une simple obligation de conformité supplémentaire, mais comme un signal d’alarme pour toutes les infrastructures critiques et leurs fournisseurs. Il est essentiel de faire de la cybersécurité une priorité stratégique afin de protéger nos nations contre les menaces croissantes des acteurs malveillants, qu’il s’agisse d’États-nations, de hacktivistes ou de cybercriminels.


Auteur
En savoir plus 
Expert en sensibilisation à la cybersécurité
Knowbe4
En savoir plus 

Livres blancs A la Une