Avec l’entrée en vigueur de la directive NIS2 dans l’ensemble de l’Union européenne, une enquête récente réalisée par Censuswide pour Veeam Software a révélé l’impact considérable que les entreprises ont eu en s’adaptant aux nouvelles normes de sécurité informatique. Veeam a découvert que, même si la plupart des responsables de TI sont sûrs de pouvoir cumuler avec NIS2, ils sont également confrontés à des défis accrus, comme la question des ressources et l’évasion des qualifications personnelles.
La découverte est que cette « faute de compétences » est le principal obstacle pour les organisations de la région EMEA, avec un 30 % des entreprises utilisant leurs présupposés de contrat pour obtenir le cumul de NIS2.
Présupposé pour NIS2 : Un logro costoso
Même si les responsables de TI ont obtenu le présupposé nécessaire pour fonctionner avec NIS2, cela a eu un impact significatif dans d’autres domaines. Les 68 % des entreprises ont reçu des fonds supplémentaires pour le cumul, mais les 20 % sont également présumés comme une barre importante. Depuis l’acuerdo politique pour NIS2 en 2023, 40 % des entreprises ont vu réduire leurs présupposés de TI, alors que les 20 % n’ont pas expérimenté de changements. De plus, 95 % des organisations ont utilisé d’autres domaines pour couvrir les coûts de cumul, affectant les présupposés de gestion des risques, de contrat, de gestion de crise et de réserves d’urgence.
Edwin Weijdema, Field CTO EMEA chez Veeam, commente que garantir un présupposé adéquat pour la cybersécurité est un principe constant pour les dirigeants de TI. Les sanctions strictes et l’application de la responsabilité corporative de NIS2 peuvent faciliter ce processus, mais avec les présupposés de TI réduits ou d’établissements dus aux coûts des entreprises et à l’inflation, NIS2 exerce une pression sur un fond si limité. Il est préoccupant de savoir si les réserves de contrat et d’émergence sont exploitées, car NIS2 ne devrait pas être traité comme une crise, même si une de chaque quatre entreprises semble être la même.
NIS2 et les défis pour les responsables de TI
L’enquête révèle également les principales fonctions qui occupent les responsables de TI. NIS2 occupe la dernière place dans sa liste de priorités, ce qui reflète la diversité des défis qui se posent. Les cinq principaux résultats sont : le manque de qualification (24 %), la préoccupation pour la rentabilité (23 %), la transformation numérique (23 %), l’augmentation des coûts d’entreprise (20 %) et le manque de ressources (20 %). %). Ces résultats montrent que les ressources humaines et financières sont les principales limites des dirigeants de TI, même si NIS2 nécessite plus.
Le cumul de NIS2 aggrave la compétence informatique et la pression sur les ressources
Pour respecter la norme, les entreprises doivent faire diverses mesures, comme réaliser des auditoires informatiques (29%), réviser les processus et les meilleures pratiques de cybersécurité (29%), développer de nouvelles politiques et procédures (28%), inverser de nouvelles technologies ( 28%) et augmenter la présupposée pour la cybersécurité (28%). Les principaux facilitateurs du recrutement de NIS2 sont les nouvelles solutions technologiques (27%), les auditoires informatiques (25%) et les compétences organisationnelles internes (25%), qui nécessitent une présupposée et des connaissances spécifiques.
Présupposé de TI en EMEA : Sécurité et cumul normatif
En raison des réductions générales des présupposés de TI au cours des dernières années, des fonds supplémentaires ont été attribués au cumul de NIS2, ainsi que du présupposé de TI ou d’autres domaines de l’entreprise. Ceci explique pourquoi 80 % des présupposés de TI dans la région EMEA sont désormais destinés à la cybersécurité et au respect des normes. Il reste peu de marge pour aborder d’autres revenus importants en termes de compétences, de rentabilité et de transformation numérique.
« Maintenir la sécurité et la participation est vital pour toute organisation, mais celui qui représente actuellement la plus grande partie du présupposé de TI doit avoir les peu de préparations et de points de recours qui sont les organisations. Les responsables de TI ont une présupposée limitée, mais ils doivent trouver des ressources pour s’exécuter rapidement avec NIS2. Ceux qui ont adopté une approche globale de la sécurité et les meilleures pratiques avant que la législation ne s’applique, imposeront moins de pression et pourront aborder les meilleures autres priorités et recommandations », a ajouté Andre Troskie, RSSI de terrain EMEA de Veeam.
Royaume-Uni : diriger l’inversion et la confiance dans NIS2
Même si NIS2 n’affecte pas directement les entreprises britanniques, celles qui opèrent avec des entités de l’UE doivent se compléter, et leurs réponses peuvent donner un panorama différent. Le Royaume-Uni est le seul pays enquêté qui a informé d’une augmentation des présupposés de TI à partir de l’année 2023, avec un 62% des responsables de TI au Royaume-Uni informés d’une augmentation des présupposés et seulement un 14% expérimentant un disminution. Cela a permis aux entreprises britanniques d’inverser davantage et d’améliorer leur sécurité avant l’entrée avec la vigueur de la directive.
Les 38 % des enquêtés du Royaume-Uni ont réalisé des inversions pour réviser les processus et les meilleures pratiques de cybersécurité, et les 34 % ont été inversés dans de nouvelles technologies, cifras supérieures à celles de leurs homologues de l’UE. Les responsables de TI du Royaume-Uni ont également un plan d’investissement significatif dans le futur, avec un plan de 30 % pour réviser les processus et les meilleures pratiques de cybersécurité, et un plan de 25 % pour de nouvelles inversions technologiques, en comparaison avec un média de 15 % et le 16% dans d’autres pays enquêtés.