Où en sont les entreprises dans leur mise en conformité avec la directive du 14 décembre 2022, dite NIS 2 (Network and Information System Security, Sécurité des réseaux et des systèmes d'information) ?
C'est la question sur laquelle s'est penchée Veeam, société américaine qui propose des solutions de sauvegarde, restauration et gestion des données, dans le cadre d'une enquête menée auprès de 500 décideurs informatiques et de sécurité informatique exerçant en France, Allemagne, Belgique, Pays-Bas et Royaume-Uni. Ce dernier n'est plus membre de l'Union européenne mais son gouvernement s'est engagé à faire évoluer la réglementation pour s'aligner sur le nouveau texte européen.
80% des entreprises sont prêtes
Les résultats sont plutôt encourageants : près de 80% des entreprises se disent confiantes quant à leur capacité à se conformer aux nouvelles obligations de la directive. Pour rappel, NIS 2 a pour objectif de renforcer les capacités de protection face aux menaces cyber en élargissant le périmètre d'application de la directive NIS 1 du 6 juillet 2016.
Alors que le texte initial concernait près de 300 entités, NIS 2 couvre plus de 10 000 entités sur 18 secteurs d'activités, tels que les administrations publiques, l'eau, l'espace, l'énergie, les marchés financiers, la santé... Elles sont réparties en deux groupes - les entités essentielles et les entités importantes - selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).
En quelques mots, NIS 2 soumet les entités à un partage d'informations à l'Agence nationale de la sécurité des systèmes d'information (Anssi), la mise en place de mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent leur sécurité ainsi que la signalement à l'Agence des incidents de sécurité ayant un impact important.
Dette technique, manque de budget, manque de compréhension...
Bien que la majorité se dise prête, 20% des répondants ont déclaré ne pas être en mesure de respecter l'échéance de l'entrée en vigueur du texte. A noter que les Etats membres ont jusqu'en octobre 2024 pour transposer la directive dans leur législation nationale mais certaines exigences seront soumises à un délai de mise en conformité.
Parmi les obstacles à cette mise en conformité, ils évoquent la dette technique (24%), le manque de compréhension de la part des dirigeants (23%) et l'insuffisance des budgets et des investissements (21%). Sur ce dernier point, les entreprises sont 40% à avoir signalé une diminution des budgets IT depuis l'accord politique pour NIS 2, "malgré le risque de fortes sanctions comparables aux pénalités (...) du RGPD", s'étonne l'étude.
Plus généralement, les décideurs ont une vision plus positive du texte : 74% d'entre eux considèrent que NIS 2 est bénéfique, 33% se disent optimistes, 32% confiants et 27% encouragés. En revanche, ils sont plus de la moitié (57%) à douter que son impact sera significatif sur la posture globale de l'UE en matière de cybersécurité. Pire encore, 42% des personnes considèrent que cette directive n'est pas importante pour l'amélioration de la cybersécurité de l'UE. Elles attribuent cette situation "aux conséquences inappropriées de la non-conformité [ayant] entraîné une apathie généralisée à l'égard de ce nouveau texte".
Pourtant, les entreprises interrogées sont 90% à avoir signalé au moins un incident de sécurité au cours des 12 derniers mois, "que la directive NIS 2 aurait pu permettre d'éviter". 44% des personnes ont même subi plus de trois "cyberincidents", dont 65% ont été qualifiés de "très critiques".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
