95% des entreprises situées en Europe détournent d'autres budgets pour respecter les nouvelles obligations introduites par la directive européenne NIS 2 (Network and information security), d'après une étude commandée par l'entreprise Veeam à Censuswide publiée ce mardi 29 octobre. Plus de 500 décideurs informatiques en France, Belgique, Allemagne, Pays-Bas et Royaume-Uni ont été interrogés sur l'aspect budgétaire de la mise en application de ce texte, dont l'objectif est de renforcer le niveau de cybersécurité des organisations qui proposent des services essentiels dans des secteurs clés (énergie, administration publique, santé, eaux potables, transports...).
Adoptée en novembre 2022, NIS 2 s'applique dans tous les pays membres de l'Union européenne depuis le 17 octobre 2024. Rares sont les pays ayant adopté une loi nationale de transposition. La France a présenté son texte en conseil des ministres le 16 octobre ; la procédure ayant pris du retard avec la dissolution de l'Assemblée nationale. Le projet doit désormais être adopté. Reste que les nouvelles obligations s'appliquent aux plus de 10 000 entités concernées, réparties en deux catégories - les entités essentielles (EE) et les entités importantes (EI) - dans plus de 18 secteurs.
Un budget suffisant mais pas dédié
Dans le détail, le sondage montre que les responsables informatiques ont réussi à obtenir "un budget suffisant" pour se conformer à la directive, mais il ne s'agit pas d'une somme dédiée. C'est ainsi que 34% des entreprises interrogées ont puisé dans leurs budgets de gestion des risques (28,85% en France), 30% dans celui dédié aux recrutements (31,73% en France), 29% dans la gestion de crise (26,92% en France) et 25% dans les fonds d'urgence (21,15% en France).
"Il est particulièrement inquiétant de voir des fonds des ressources dédiées au recrutement et à l'urgence être réorientés. NIS 2 ne doit pas être traité comme une situation de crise. Or, une entreprise sur quatre semble le considérer comme tel", a déclaré Edwin Weijdema, Field CTO pour la zone EMEA au sein de Veeam. "NIS 2 puise dans un fonds déjà limité", s'alarme-t-il. En effet, depuis l'accord politique sur NIS 2 intervenu en janvier 2023, 40% des entreprises ont fait face à une diminution de leurs budgets informatiques. Seules 20% ont des finances inchangées.
Par ailleurs, l'enquête met en évidence les principales pressions commerciales ressenties par les responsables informatiques. NIS 2 se classe en bas de la liste des priorités, à la dixième place. Les principaux défis sont le déficit de compétences (24%), les problèmes de rentabilité (23%), la transformation numérique (23%), l'augmentation du coût de l'activité (20%) et le manque de ressources (20%).
Quels leviers pour se mettre en conformité ?
Les entreprises ont également été interrogées sur les mesures prises pour se conformer à la directive. Elles citent la réalisation d'audits informatiques (29%), la révision des processus et des meilleures pratiques en matière de cybersécurité (29%), l'élaboration de nouvelles politiques et procédures (28%), l'investissement dans de nouvelles technologies (28%) et l'augmentation du budget alloué à la sécurité informatique (28%).
Point intéressant : alors qu'il ne fait plus partie de l'Union européenne, le Royaume-Uni est le seul pays à avoir signalé une augmentation des budgets informatiques depuis janvier 2023. Seulement 14% des décideurs interrogés indiquent une diminution. De plus, 33% des répondants ont déjà investi dans la révision des processus et des meilleures pratiques en matière de sécurité informatique et 34% dans des nouvelles technologies. "Ce qui représente des chiffres plus élevés que ceux rapportés par leurs homologues dans l'UE", note l'étude. A noter que Londres s'est engagé à faire évoluer ses normes en matière de cybersécurité pour s'aligner sur les nouvelles exigences européennes.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
