La conformité NIS2 aggrave la pénurie de compétences informatiques

Exposition

Une nouvelle enquête sur la mise en œuvre de NIS2 à l'échelle européenne montre l'impact significatif sur les entreprises de l'adaptation à cette directive clé en matière de cybersécurité.

Veeam, fournisseur de résilience des données par part de marché, note que même si la plupart des responsables informatiques sont confiants quant à la conformité à la norme NIS2, la politique a exacerbé les défis existants tels que les limitations des ressources et le manque de compétences. L'enquête montre que le déficit de compétences constitue le principal sujet de tension pour les organisations de la région EMEA, 30 % d'entre elles déclarant avoir puisé dans leurs budgets de recrutement pour soutenir leurs efforts de conformité NIS2.

Exposition

Le budget NIS2 est sécurisé

L'enquête a également montré que même si certains responsables informatiques ont réussi à obtenir un budget suffisant pour la conformité NIS, l'impact sur d'autres domaines pourrait être significatif : 68 % des entreprises déclarent avoir reçu le budget supplémentaire requis pour la conformité NIS2. Pourtant, 20 % considèrent leur budget comme un obstacle important à la conformité. Depuis l’accord politique sur NIS2 en janvier 2023, 40 % des entreprises ont dû se contenter de budgets informatiques réduits et 20 % de ressources financières inchangées. En outre, 95 % des organisations ont détourné des fonds d'autres domaines d'activité pour couvrir les coûts de conformité NIS2, affectant spécifiquement les budgets de gestion des risques (34 %), de recrutement (30 %), de gestion de crise (29 %) et de réserves d'urgence ( 25 pour cent). Cette redistribution prouve qu’il existe une pression supplémentaire sur des ressources financières déjà rares.

Edwin Weijdema, Field CTO EMEA chez Veeam, explique : « Garantir un budget de cybersécurité adéquat est souvent un défi pour les responsables informatiques, mais les sanctions strictes de NIS2 et l'accent mis sur la responsabilité de l'entreprise peuvent faciliter ce processus. Cependant, alors que la plupart des budgets informatiques sont réduits ou stagnent – ​​en réalité en diminution en raison de la hausse des coûts des entreprises et de l’inflation – NIS2 puise dans un pool déjà limité. Le fait que des ressources soient détournées des réserves de recrutement et d’urgence est particulièrement préoccupant. NIS2 ne doit pas être traité comme une crise, mais un quart des entreprises semblent le percevoir de cette façon.»

NIS2 comme défi pour les responsables informatiques

L'enquête a également mis en évidence les principales pressions exercées par les responsables informatiques. Le NIS2 étant classé 10e sur la liste des priorités, cela met en évidence la variété des défis auxquels sont confrontés les hauts dirigeants. Les cinq principaux défis sont la pénurie de compétences (24 %), les préoccupations concernant la rentabilité (23 %), la transformation numérique (23 %), la hausse des coûts des entreprises (20 %) et le manque de ressources (20 %). Ces résultats montrent que les ressources humaines et financières constituent les principaux facteurs limitants pour les responsables informatiques, même si NIS2 exige les deux.

Pour se conformer aux réglementations, les entreprises prennent diverses mesures : réaliser des audits informatiques (29 %), revoir les processus et les meilleures pratiques de cybersécurité (29 %), développer de nouvelles politiques et procédures (28 %), investir dans de nouvelles technologies (28 %). et augmenter le budget pour la cybersécurité (28 %). Selon les personnes interrogées, les principales exigences pour la conformité NIS2 incluent les nouvelles solutions technologiques (27 %), les audits informatiques (25 %) et les capacités organisationnelles internes (25 %), qui nécessitent tous des budgets et une expertise suffisants.

La sécurité et la conformité dominent les budgets

Malgré les réductions globales des budgets informatiques au cours des deux dernières années, des fonds supplémentaires ont toujours été alloués à la conformité NIS2 – soit à partir du budget informatique, soit ailleurs dans l'organisation. Cette limitation peut expliquer pourquoi 80 % des budgets informatiques de la région EMEA sont consacrés à la cybersécurité et à la conformité des organisations tenues de se conformer à NIS2. Cela laisse peu de marge pour relever les principaux défis des responsables informatiques, comme remédier à la pénurie de talents, soutenir la rentabilité et conduire la transformation numérique.

« Maintenir la gestion de la sécurité et de la conformité est vital pour chaque organisation, mais le fait que cela consomme actuellement la part du lion des budgets informatiques met en évidence à quel point les organisations sont sous-préparées et sous-financées. Les responsables informatiques disposent de budgets limités et doivent encore trouver des ressources pour répondre rapidement aux exigences NIS2. Ceux qui adoptent une approche globale de la cybersécurité et des meilleures pratiques avant les exigences réglementaires sont naturellement moins sous pression et mieux à même de répondre à d’autres priorités et défis importants », a déclaré Andre Troskie, RSSI terrain EMEA chez Veeam.

La Grande-Bretagne est en tête du classement des pays NIS2

Bien que NIS2 n’affecte pas directement les entreprises britanniques, ceux qui font des affaires avec des entreprises européennes doivent également maintenir leur conformité à NIS2 et leurs réponses dressent un tableau différent. Le Royaume-Uni est le seul pays interrogé à signaler une augmentation de ses budgets informatiques depuis janvier 2023. 62 % des décideurs informatiques britanniques ont signalé une augmentation de leur budget et seulement 14 % ont signalé une diminution. Cela a permis aux entreprises britanniques d’investir davantage dans l’amélioration de leur sécurité avant l’entrée en vigueur de la directive.

38 % des répondants basés au Royaume-Uni ont déjà lancé une révision des processus et des meilleures pratiques en matière de cybersécurité et 34 % ont investi dans de nouvelles technologies. Ce sont des chiffres plus élevés que ceux de leurs collègues de l’UE. Les responsables informatiques du Royaume-Uni continuent de prévoir des investissements importants, 30 % d'entre eux ayant l'intention de revoir davantage les processus et les meilleures pratiques en matière de cybersécurité et 25 % prévoyant d'investir dans de nouvelles technologies, contre une moyenne de 15 % et 16 % dans les autres pays interrogés.

Dan Middleton, vice-président régional Royaume-Uni et Irlande chez Veeam, a déclaré : « Compte tenu de leur volonté d'investir et de s'améliorer, il n'est pas surprenant que 90 % des décideurs informatiques britanniques soient convaincus de pouvoir répondre aux exigences réglementaires – ce qui explique la plus grande confiance dans le secteur. Région EMEA. C’est une bonne nouvelle à la lumière du prochain projet de loi sur la cybersécurité et la résilience. Bien que les détails ne soient pas encore connus, toutes les mesures que les entreprises britanniques prendront maintenant pour renforcer leur cyber-résilience et leurs données leur bénéficieront lorsque ce règlement entrera en vigueur. Cela inclut les projets de plus d'un tiers (36 pour cent) des entreprises britanniques interrogées d'investir dans le perfectionnement des employés existants, ce qui contribuera à combler le déficit de compétences croissant - un problème qui met un tiers (30 pour cent) des entreprises britanniques sous une pression plus grande que celle des entreprises britanniques. tout autre défi informatique général.

Articles liés au sujet