[TRIBUNE de Chris Hoskings, SentinelOne] Le 17 octobre marque le premier anniversaire de l’entrée en vigueur de la directive européenne NIS2 (*), conçue pour renforcer la cybersécurité des États membres. Or cet anniversaire met surtout en lumière une mise en œuvre inégale et préoccupante de ce texte, alerte Chris Hoskings évangéliste en sécurité cloud chez SentinelOne.

Un an après la date limite fixée par l’Union Européenne pour l'adoption de la directive NIS2 (Network and Information Systems), cet anniversaire devrait servir de signal à l'Europe. Car, si l'UE s’est longtemps distinguée par son avant-gardisme législatif en matière de cybersécurité, le choix de directives plutôt que de règlements a conduit à une adoption inégale.

Ainsi, à ce jour, seulement 15 des 27 États membres ont officiellement transposé la directive NIS2 dans leur législation, les Etats en retard, étant notamment l'Allemagne, la France et l'Espagne, représentant à eux seuls 68 % de la population de l'UE et 71 % de son PIB !

Cette mise en œuvre nationale fragmentée se répercute directement sur les entreprises qui peinent à avancer dans un cadre clair et cohérent. On constate ainsi que de nombreuses équipes de sécurité, notamment dans les petites entreprises, attendent encore que les organismes industriels montrent la voie.

Ce problème est accentué par le fait que la directive NIS2 élève considérablement le niveau d'exigence en matière de gestion des risques, sans offrir suffisamment de conseils pratiques. Le guide technique publié tardivement, en juillet 2025, par l’ENISA (Agence européenne pour la cybersécurité) n’a guère dissipé les incertitudes, notamment sur la sécurité de la supply chain et les procédures de notification des incidents, jugées floues et difficilement applicables.

Or, cette situation profite déjà aux cybercriminels, de plus en plus informés des obligations réglementaires de leurs cibles. Si ces difficultés persistent et que l'application de la loi reste limitée, les cybercriminels sauront en tirer parti.

Nous observons déjà des groupes de ransomware citer des législations spécifiques à leur secteur et faire référence à des points réglementaires précis dans les données qu'ils ont volées. Une fois que la directive NIS2 sera effectivement appliquée et que des amendes seront infligées, ce n'est qu'une question de temps avant qu'elle ne devienne une arme supplémentaire dans l'arsenal des hackers !

L'Europe doit agir rapidement pour combler le fossé en matière de conformité et instaurer une application cohérente et pratique avant que les attaquants ne s’en chargent à notre place.

Face à ce constat, SentinelOne appelle à une harmonisation rapide de la transposition et de l’application du NIS2, afin d’éviter que ce cadre européen ne devienne une faiblesse plutôt qu’un rempart face aux cybermenaces.

(*) La directive NIS2 qui s’appuie sur les acquis de la directive NIS1, vise à renforcer la cyberrésilience collective de l'Union européenne en exigeant la mise en place d'une gestion des risques, de contrôles de sécurité et d'audits réguliers. La NIS2 établit des normes de base en matière de cybersécurité qui reflètent les standards et les meilleures pratiques mondiales. Avec pour objectif de garantir un niveau élevé de préparation et de résilience contre les cyberincidents.