‘La directive NIS2 de l’UE, conçue pour garantir la préparation à la cybersécurité dans tous les États membres, est officiellement entrée en vigueur le 16 janvier 2023. La période de transition clémente jusqu’au 17 octobre 2024, visant à fournir un temps suffisant pour une adaptation en douceur au nouveau cadre de cybersécurité, semble maintenant insuffisante pour plusieurs organisations et États membres. Cependant, les données d’une enquête de Veeam suggèrent qu’une grande partie de ceux à risque pourraient avoir causé leur propre situation.
L’enquête, réalisée peu de temps avant la date limite d’octobre 2024, révèle que les deux tiers des organisations interrogées n’avaient pas mis en œuvre les contrôles imposés par NIS2. Pour compliquer encore les choses, bon nombre de ces organisations ont connu par le passé des incidents qui auraient pu être évités grâce au respect de la directive NIS2. Fait marquant, seuls deux des 27 États membres de l’UE, l’Italie et la Croatie, ont complètement intégré la directive dans leur législation nationale.
Plusieurs États membres sont encore en train de transposer la directive tandis que quelques-uns, comme l’Estonie et le Portugal, n’ont même pas encore commencé les démarches, selon le suivi de la Fondation de recherche sur les DNS.
Ce qui nous échappe est la nonchalance à respecter la date limite, les raisons comprenant des priorités concurrentes et une inattention générale envers la possibilité de conséquences punitives à la suite de la non-conformité. L’enquête de Veeam suggère que l’ampleur des sanctions potentielles, y compris des amendes massives et des répercussions personnelles pour les responsables, n’a pas été pleinement réalisée par ceux qui risquent la non-conformité.
Les résultats impliquent soit un manque d’application et de communication des implications de la non-conformité à NIS2, soit peut-être, une sous-estimation systémique de la préparation à la cybersécurité au sein de certaines organisations. C’est un dilemme parce que les enjeux liés à l’échec à satisfaire aux exigences de NIS2 sont à la fois importants et multidimensionnels. Et à mesure que la date limite se rapproche, l’urgence d’agir augmente naturellement.’