Le 17 octobre marque le premier anniversaire de l’entrée en vigueur de la directive européenne NIS2, conçue pour renforcer la cybersécurité des États membres. Mais selon Chris Hoskings, évangéliste en sécurité cloud chez SentinelOne, cet anniversaire met surtout en lumière une mise en œuvre inégale et préoccupante. Tribune.
« Un an après la date limite fixée par l’UE pour l’adoption de la directive NIS2, cet anniversaire devrait servir de signal à l’Europe. Si l’UE s’est longtemps distinguée par son avant-gardisme législatif en matière de cybersécurité, le choix de directives plutôt que de règlements a conduit à une adoption inégale. A ce jour, seuls 15 des 27 États membres ont officiellement transposé la NIS2 dans leur législation. Les États en retard, notamment l’Allemagne, la France et l’Espagne, représentent à eux seuls 68 % de la population de l’UE et 71 % de son PIB. »
Cette mise en œuvre nationale fragmentée se répercute directement sur les entreprises, qui peinent à avancer dans un cadre clair et cohérent :
« De nombreuses équipes de sécurité, notamment dans les petites entreprises, attendent encore que les organismes industriels montrent la voie. Le problème est accentué par le fait que la NIS2 élève considérablement le niveau d’exigence en matière de gestion des risques, sans offrir suffisamment de conseils pratiques. Le guide technique publié tardivement par l’ENISA n’a guère dissipé les incertitudes, notamment sur la sécurité de la supply chain et les procédures de notification des incidents, jugées floues et difficilement applicables. »
Chris Hoskings alerte également que cette situation profite déjà aux cybercriminels, de plus en plus informés des obligations réglementaires de leurs cibles.
« Si ces difficultés persistent et que l’application de la loi reste limitée, les cybercriminels sauront en tirer parti. Nous observons déjà des groupes de ransomware citer des législations spécifiques à leur secteur et faire référence à des points réglementaires précis dans les données qu’ils ont volées. Une fois que la directive NIS2 sera effectivement appliquée et que des amendes seront infligées, ce n’est qu’une question de temps avant qu’elle ne devienne une arme supplémentaire dans l’arsenal des hackers. L’Europe doit agir rapidement pour combler le fossé en matière de conformité et instaurer une application cohérente et pratique avant que les attaquants ne s’en chargent à notre place.
Face à ce constat, SentinelOne appelle à une harmonisation rapide de la transposition et de l’application du NIS2, afin d’éviter que ce cadre européen ne devienne une faiblesse plutôt qu’un rempart face aux cybermenaces.
