L’implémentation de la directive NIS2 dans l’Union Européenne a mis en difficulté les entreprises de la région EMEA (Europe, Moyen-Orient et Afrique), qui font face à une pression considérable pour se conformer aux normes exigeantes de cybersécuritéLes solutions de cybersécurité sont essentielles dans l’ère di… établies. Une étude récente, commandée par Veeam® Software, leader mondial de la résilience des données, révèle que la majorité des entreprises ont dû détourner des fonds d’autres budgets pour couvrir les coûts associés à la réglementation, augmentant la charge sur les départements IT déjà limités en ressources et compétences.
Pénurie de compétences et de ressources : le défi principal
La directive NIS2, adoptée en janvier 2023, établit de nouvelles exigences strictes de cybersécurité pour les entreprises des secteurs critiques. Bien que 95 % des entreprises interrogées aient réussi à sécuriser le budget nécessaire pour se conformer à la réglementation, 30 % ont dû puiser dans des fonds destinés au recrutement de personnel pour combler le déficit. Le manque de compétences en TI, identifié comme le principal défi pour 24 % des organisations, a généré une forte concurrence sur le marché du travail, car les entreprises recherchent des experts capables de mettre en oeuvre les nouvelles réglementations de cybersécurité.
Un effort coûteux d’adaptation
Selon l’étude de Veeam, 68 % des entreprises ont reçu des fonds supplémentaires pour se conformer à NIS2, bien que 20 % considèrent toujours le budget comme un obstacle majeur. La nécessité de se conformer à la réglementation a amené les organisations à recourir à d’autres budgets : 34 % ont prélevé des fonds sur la gestion des risques, 29 % sur la gestion de crise et 25 % sur les réserves d’urgence. Edwin Weijdema, CTO de terrain de Veeam en EMEA, a averti de la tendance inquiétante à traiter la directive NIS2 comme une crise : « NIS2 ne devrait pas être traitée comme une urgence, cependant, une entreprise sur quatre semble le voir de cette manière ».
L’impact de NIS2 sur le budget IT
Les demandes de cybersécurité de NIS2 ont conduit à ce que 80 % du budget IT en EMEA soit alloué à la sécurité et à la conformité, laissant peu de marge pour relever d’autres défis clés, tels que la transformation numérique ou la rentabilité. Les entreprises ont dû mettre en place une variété de mesures pour se conformer à NIS2, y compris des audits IT (29 %), la révision des processus de cybersécurité (29 %), le développement de nouvelles politiques et procédures (28 %), et l’investissement dans la technologie (28 %).
Andre Troskie, Field CISO de Veeam en EMEA, a noté que la majeure partie du budget consacrée à la cybersécurité est un symptôme du manque de préparation des organisations : « Les leaders IT ont des budgets limités, mais ils doivent se conformer rapidement à NIS2. Ceux qui ont adopté une approche holistique de la sécurité avant que la loi ne l’exige, font maintenant face à moins de pression ».
Royaume-Uni : une réponse proactive et plus de ressources pour NIS2
Bien que le Royaume-Uni ne soit pas directement affecté par NIS2, les entreprises britanniques opérant dans l’UE doivent se conformer à la réglementation. Étonnamment, le Royaume-Uni a été le seul pays interrogé qui a augmenté son budget IT depuis janvier 2023. Avec 62 % des leaders IT britanniques rapportant une augmentation de leur budget, les entreprises du pays sont mieux positionnées pour renforcer leur posture de sécurité face à la directive.
Dan Middleton, vice-président régional de Veeam pour le Royaume-Uni et l’Irlande, a souligné l’avantage du Royaume-Uni en termes d’investissement et de préparation : « 90 % des leaders IT britanniques se sentent confiants de respecter les exigences réglementaires, le plus haut niveau de confiance en EMEA. Cette approche proactive bénéficiera aux entreprises britanniques lorsque le prochain Cyber Security and Resilience Bill entrera en vigueur ».
Qu’est-ce que NIS2 et pourquoi change-t-il le paysage de la cybersécurité ?
La directive NIS2 a été conçue pour améliorer la cybersécurité dans les secteurs critiques au sein de l’UE, en augmentant la responsabilité des entreprises et la résilience face aux cyberattaques. Depuis son adoption, les entreprises ont dû redoubler d’efforts pour s’adapter à ses exigences, faisant face à de strictes sanctions en cas de non-conformité. Les organisations qui investissent dans la technologie avancée et renforcent leurs équipes de cybersécurité sont mieux préparées pour aborder la complexité de cette réglementation.
Le défi pour l’avenir de la cybersécurité dans la région EMEA
L’entrée en vigueur de NIS2 souligne la priorité croissante de la cybersécurité dans l’environnement numérique actuel. Bien que le coût initial soit significatif, les avantages à long terme d’une plus grande résilience et d’une conformité efficace à la réglementation sont indéniables. Veeam conclut que les entreprises qui adoptent une approche de sécurité intégrale seront mieux positionnées non seulement pour se conformer à NIS2, mais aussi pour relever les défis d’une économie numérique en constante évolution.