Bretagne Cyber Alliance, le campus cyber breton dont l’agence Bretagne Next (ex-BDI) assure le pilotage opérationnel, a publié en avril 2025 son observatoire régional de la directive NIS 2. Ce document projette ainsi cette nouvelle version de la réglementation, à l’échelle des entreprises bretonnes. L’agence y a apporté son concours à travers son pôle ingénierie.
La directive NIS 2
La directive NIS 2 (Network and Information Security), adoptée en décembre 2022, marque une évolution majeure dans la stratégie européenne de cybersécurité. Elle remplace la première directive NIS de 2016 et vient répondre à une réalité simple, mais cruciale : notre dépendance croissante aux services numériques doit s’accompagner d’une sécurité à la hauteur des enjeux.
NIS 2 implique trois grandes évolutions. Tout d’abord un élargissement significatif des entités concernées par ses obligations. Alors que la première directive visait principalement les opérateurs de services essentiels et les fournisseurs de services numériques, NIS 2 s’applique désormais à un éventail plus large de secteurs et d’organisations, en distinguant 18 secteurs répartis en deux grandes catégories :
- Entités essentielles :
- Énergie, transports,
- secteur bancaire,
- Infrastructures des marchés financiers,
- Santé, eau potable,
- Eaux usées,
- Infrastructures numériques,
- Gestion des services TIC,
- Administration
- Espace.
- Entités importantes :
- Services postaux et d’expédition,
- Gestion des déchets,
- Fabrication, production et distribution de produits chimiques
- Production, transformation des denrées alimentaires
- Fabrication industrielle
- Fournisseurs numériques
- Recherche
NIS 2 entraîne ensuite un renforcement et une harmonisation des exigences et impose ainsi aux entités concernées :
- la mise en place de mesures de sécurité techniques et organisationnelles,
- des procédures de gestion des incidents,
- une politique de gestion des risques,
- la notification obligatoire des incidents significatifs dans des délais courts (24h à 72h),
- un encadrement strict de la chaîne d’approvisionnement et des prestataires.
Enfin, la gouvernance et la coopération se retrouvent renforcées par cette nouvelle version de NIS. La directive prévoit la création de réseaux de coopération entre États membres, de nouvelles obligations de partage d’informations, ainsi qu’un rôle accru pour l’Agence de l’Union européenne pour la cybersécurité (ENISA).
NIS 2 prévoit, par conséquent, la création d’un réseau européen des CSIRT (Computer Security Incident Response Teams) pour favoriser une réponse technique coordonnée aux cyberincidents, ainsi que le renforcement du groupe de coopération entre États membres, chargé d’échanger sur les bonnes pratiques, d’assurer une mise en œuvre cohérente de la directive, et de mieux anticiper les menaces à l’échelle de l’UE. La Région Bretagne s’est ainsi dotée de son CSIRT en 2023 avec la création de Breizh Cyber.
L’apport de Bretagne Next pour l’observatoire régional de NIS 2
L’agence Bretagne Next assure la coordination stratégique et la mise en œuvre concrète de Bretagne Cyber Alliance. À ce titre, l’agence de développement économique et d’innovation de la Région Bretagne met ses compétences au service du campus cyber breton.
Le pôle ingénierie de Bretagne Next a supervisé la réalisation d’un observatoire régional de la directive NIS 2 pour le compte de Bretagne Cyber Alliance. Ce travail de projection couvrant les 18 secteurs économiques de la directive a permis d’identifier plus de 1 700 entités bretonnes concernées par NIS 2. L’agence s’est appuyée sur les données économiques issues de plusieurs sources dont l’INSEE et des données régionales issues de Craft, pour piloter l’analyse.
4 secteurs économiques ressortent particulièrement, en dehors des secteurs de la santé et de l’administration : la chaîne de fabrication agroalimentaire, les transports, l’industrie et les infrastructures numériques.
Les résultats de ce travail mené par l’équipe ingénierie de BDI viennent alimenter les actions à mettre en place dans le cadre du campus à destination des 4 secteurs économiques principalement impactés (agroalimentaire, transports, industrie, numérique), qui, à eux seuls, représentent 90% des entreprises bretonnes concernées, et adapter accompagnement et communication en conséquence.
Grâce à cette cartographie, Bretagne Next oriente les interventions de formation, sensibilisation et appui opérationnel vers les structures les plus impactées, en lien avec les organisations professionnelles ou référentes de ces secteurs.
L’observatoire, mis en œuvre par l’agence, constitue une boussole régionale : il permet à la fois une vision macro (nombre d’entités concernées, secteurs, localisation) et un outil pragmatique pour guider les prochaines initiatives (webinaires, ateliers, diagnostics).
En tant que bras opérationnel, Bretagne Next veille à la mise à jour régulière de cet observatoire et à sa diffusion auprès des acteurs bretons : entreprises, collectivités, centres de formation, ETI, etc.
