NIS2, pour moi ou pas ?

Plus l’entreprise est petite, plus l’incertitude est grande quant à une éventuelle exposition à un cyber-incident

Nombre de PME ignorent si elles sont soumises à NIS2. Et ça se ressent dans le nombre de cyber-incidents enregistrés. Proximus NXT et Proximus NXT Luxembourg tirent la sonnette d’alarme.

NIS2 et PME, la grande interrogation. La Belgique a été l’un des premiers États membres de l’Union européenne à transposer la directive NIS2 dans son droit national ; le Luxembourg le fera bientôt. Malgré cette urgence, 43 % des PME ne savent toujours pas si elles doivent s’y conformer. Et 58 % ne le savent pas avec certitude !

Écart entre la directive et la réalité. Les résultats du sixième rapport annuel sur la cybersécurité de Proximus NXT et sa filiale Proximus NXT Luxembourg NIS2 (panel : 193 entreprises) montrent un grand doute. S’il est clairement identifié dans les PME, il apparait aussi dans les grandes entreprises. En effet, 6 % des grandes entreprises ne savent toujours pas si elles doivent respecter NIS2 !

A la question « votre entreprise est-elle conforme à la directive NIS2 ? »,15 % des PME et 14 % des grandes organisations déclarent respecter intégralement la directive. C’est peu. De même, si 10 % des PME disent ne pas savoir, on s’étonnera de constater que 5 % des grandes entreprises reconnaissent aussi ne pas savoir…

La conformité à NIS2, un défi permanent

N’empêche. « Les entreprises qui se déclarant incertaines quant à l’écart entre les mesures actuelles et les mesures requises sont principalement des PME, commente Raf Peeters, VP Security & Networking, Proximus NXT. Il en va de même pour celles qui déclarent ne pas du tout savoir où elles en sont. »

Les résultats de l’enquête soulignent ainsi que la conformité à la réglementation NIS2 demeure un défi permanent. C’est particulièrement vrai pour les grandes organisations aux exigences plus complexes. Les petites entreprises, qui semblent être en meilleure posture à cet égard, doivent veiller à disposer des ressources nécessaires. Egalement à maintenir un niveau de sensibilisation adéquat pour répondre aux exigences de conformité. »

Désalignement

Au final, l’analyse de Proximus NXT corrobore les indicateurs d’IDC de fin 2024, selon lesquels 75 % des responsables IT européens peinent à comprendre les exigences de conformité imposées par la directive européenne. Ce constat met à nouveau en lumière des défis internes et un désalignement stratégique. Conclusion : un frein dans la préparation des entreprises face aux nouvelles normes de cybersécurité.

Ces doutes au sujet de NIS2 se vérifient encore ailleurs dans le rapport de Proximus NXT. Ainsi, parmi les PME, 5 % déclarent ignorer si elles ont été touchées par un cyberincident au cours des douze derniers mois. Dans les entreprises de moins de 10 employés, ce pourcentage grimpe à 9 %. Bref, « plus l’entreprise est petite, plus l’incertitude est grande quant à une éventuelle exposition à un cyber-incident en 2024 », analyse Raf Peeters. Or, selon les données les plus récentes de Statbel, 95,9 % des entreprises belges sont des micro-entreprises. L’impact potentiel n’est donc pas à négliger.

Le rapport de Proximus NXT -qui sort à la veille de l’ouverture des portes de  Cybersec Europe– montre également que les PME victimes d’un cyber-incident n’en connaissent pas toujours exactement la cause. Environ une PME sur huit (13 %) ignore si le cyber-incident auquel elle a été exposée était d’origine volontaire ou accidentelle. Cette situation contraste avec celle des grandes entreprises, où la cause des cyber-incidents est généralement connue.