NIS 2 : Bretagne Cyber Alliance met en place un observatoire breton de la directive européenne

La directive NIS 2 vise à renforcer la cybersécurité au sein du marché européen en couvrant un large spectre de secteurs économiques considérés comme importants. En Bretagne, le campus cyber breton a effectué un travail de projection de NIS2 sur les filières économiques du territoire. Ainsi, 1700 entités sont concernées par la directive avec une prévalence des chaînes de fabrication, de la logistique et de l’agroalimentaire.

Qu’est-ce que la directive européenne NIS 2 ?
Les spécificités bretonnes et le rôle de Bretagne Cyber Alliance
Les principaux enseignements de l’observatoire breton de NIS 2

La directive européenne NIS 2

Adoptée en décembre 2022 et remplaçant la directive NIS de 2016, NIS 2 (Network and Information Security 2) vise à renforcer la cybersécurité au sein du marché intérieur européen. Elle s’inscrit dans un contexte d’augmentation des menaces cyber et de dépendance accrue aux technologies numériques.

La directive européenne NIS 2 a trois objectifs principaux :

Accroître la résilience des entités critiques face aux cyberattaques.
Harmoniser les niveaux de cybersécurité dans les États membres.
Renforcer la coopération entre les autorités nationales.

Contrairement à la première directive de 2016, NIS 2 couvre un plus grand nombre de secteurs et d’organisations. Elle distingue 18 secteurs en deux grandes catégories :

Entités essentielles :
- Énergie, transports,
- secteur bancaire,
- Infrastructures des marchés financiers,
- Santé, eau potable,
- Eaux usées,
- Infrastructures numériques,
- Gestion des services TIC,
- Administration
- Espace.
Entités importantes :
- Services postaux et d’expédition,
- Gestion des déchets,
- Fabrication, production et distribution de produits chimiques
- Production, transformation des denrées alimentaires
- Fabrication industrielle
- Fournisseurs numériques
- Recherche

Les entreprises privées comme les entités publiques peuvent être concernées, en fonction de leur taille et de leur rôle critique.

Pour les entités concernées, elle prévoit trois obligations :

Mise en œuvre de mesures de gestion des risques en cybersécurité.
Notification obligatoire des incidents majeurs sous 24 heures.
Supervision et sanctions renforcées (amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial).

Le travail de transposition en droit français est actuellement en cours.

Enfin, dans le cadre de la coopération européenne renforcée, NIS 2 prévoit la création d’un réseau européen des CSIRT (Computer Security Incident Response Teams) et d’un groupe de coopération pour échanger sur les bonnes pratiques et coordonner les réponses. Dans ce cadre, la Région Bretagne s’est ainsi dotée de son CSIRT avec Breizh Cyber.

Les spécificités bretonnes et le rôle de Bretagne Cyber Alliance

En tant que vecteur de diffusion de la culture cybersécurité au plus grand nombre, Bretagne Cyber Alliance a effectué un travail de projection de l’impact de la directive NIS 2 spécifiquement sur l’économie bretonne, en s’appuyant et sur les données de l’INSEE et de la plateforme Craft.

Le périmètre de NIS 2 s’adresse aux organisations de plus de 50 salariés et dont le chiffre d’affaires est de plus de 10 millions d’euros, sur 18 secteurs économiques clairement listés dans la directive. Ainsi, sur ce périmètre, la Bretagne compte 1700 établissements concernés par la directive. 90% d’entre eux sont répartis dans six secteurs :

Santé
Administration
Agroalimentaire
Numérique
Transports
Fabrication industrielle

La santé et l’administration étant majoritairement couverts par une directive et des dispositifs sectoriels spécifiques, Bretagne Cyber Alliance s’attellera à accompagner les organisations des quatre secteurs : Agroalimentaire, Transports, Fabrication industrielle et la filière numérique. À cette fin, le campus cyber breton s’appuiera sur les organisations professionnelles ou structures référentes de ces secteurs pour accompagner dans leur montée en compétences en matière de sécurité informatique.