D’après une étude réalisée par le spécialiste de la sauvegarde Veeam quelques jours avant la date butoir du 17 octobre 2024, neuf entreprises européennes interrogées sur dix admettent avoir été confrontées à des incidents que les contrôles imposés par la directive NIS2 auraient permis d’éviter.

The Register résume ce que requiert la directive de manière générale :

  • Déterminer si votre entreprise fait partie du champ d’application de NIS2
  • Comprendre les exigences et déterminer le niveau de conformité actuel
  • Obtenir le budget nécessaire pour les changements requis
  • Déterminer quelles sont les autres lois des Etats membres et les lois européennes qui s’appliquent à votre organisation en matière de cybersécurité
  • Evaluer les cyber-risques pour comprendre l’exposition aux vulnérabilités et autres menaces
  • Evaluer les cyber-risques liés à des tiers et mettre en place des procédures de gestion des risques appropriées
  • Elaborer des plans complets de réponse aux incidents, de continuité des activités et de cybersécurité
  • Mettre en œuvre toutes les mesures de sécurité requises
  • Veiller à ce que le personnel reçoive une formation actualisée en matière de cybersécurité

Veeam constate que les personnes interrogées dans le cadre de son enquête déclarent ne pas être effrayées par les sanctions potentielles. Cette situation est déroutante étant donné que les sanctions associées aux manquements comprennent des amendes substantielles et engagent la responsabilité personnelle des personnes occupant des postes de direction.

« Le manque d’orientation de la part des autorités, depuis l’approbation de la directive NIS2 il y a deux ans jusqu’à la date limite du 17 octobre, a laissé de nombreuses organisations dans l’incertitude », déclare Jesper Olsen, responsable de la sécurité chez Palo Alto Networks en Europe du Nord. « Les entreprises ne savent plus très bien quelles sont leurs responsabilités. Les organisations directement soumises aux exigences ignorent actuellement les prochaines étapes, ce qui entraîne un énorme manque de préparation. Avec un soutien limité, de nombreuses organisations s’interrogent également sur la capacité des autorités à les aider à se mettre en conformité, ce qui diminue encore l’urgence ».

En France, le directeur général de l’Anssi, Vincent Strubel, dit vouloir laisser une période de trois ans aux organisations concernées pour se conformer complètement à cette directive, à partir du moment où le strict minimum est fait. Ce minimum consistera en l’enregistrement de l’entité auprès de l’Anssi sur le portail monespaceNIS2, la notification des incidents cyber et le partage d’information sur les investissements effectués en matière de cybersécurité.

Nos lecteurs ont lu ensuite


Quantification des risques de cybersécurité : effet de mode ou modèle innovant ?
La quantification des risques de cybersécurité désigne une approche de l’évaluation des risques utilisant des modèles mathématiques et statistiques permettant de valoriser en termes financiers les conséquences des évènements cyber. L’agence de notation Moody’s déclarait...

La réglementation NIS2 : une opportunité pour le réarmement technologique de la nation
La cybersécurité est aujourd’hui un sujet stratégique qui concerne toutes les organisations. Dans un contexte où la France cherche à réarmer son économie et régénérer sa vitalité technologique, faire évoluer sa gouvernance cyber, professionnaliser son...

Cinquième directive LCB-FT, quel impact pour le monde des Fintechs ?
Expertise de Nans Lorenzini, responsable juridique, Limonetik Depuis le texte fondateur de la lutte anti-blanchiment en 1996, l’Union Européenne n’a de cesse de légiférer pour encadrer et protéger le système financier et éviter une dérégulation...

Gestion des risques SSI et lutte contre la corruption : Une approche mutualisée
Les entreprises sont de plus en plus interdépendantes. Elles interagissent avec des tiers (fournisseurs, sous-traitants, partenaires…) de plus en plus nombreux. Chacune de ces relations induit des risques et le respect de référentiels variés, qu’il...

Veeam propose des solutions « tout en un » de gestion des environnements VMware
Veeam Software annonce Veeam One, une solution « tout en un » permettant le monitoring,  la planification des ressources, la gestion des changements, l’édition de rapports et la répartition...