Déployée en France au plus tard en octobre 2024, la Directive NIS2 (Directive sur la sécurité des réseaux et des systèmes d’information), vise à renforcer les stratégies de cybersécurité des systèmes d’information, y compris les systèmes de santé. Si des délais sont prévus pour certaines obligations qui n’entreront pas en vigueur immédiatement, les acteurs concernés doivent déjà commencer à anticiper cette directive. Quels seront ses enjeux pour la sécurité des systèmes d’information des établissements de santé ?
Les fondements de la directive NIS2
La directive NIS1 de 2016, une première étape
La transformation numérique des sociétés européennes et l’interconnexion des pays membres ont exposé le marché européen à de nouvelles cybermenaces. Ainsi, il faut garantir, collectivement, les conditions de sécurité adéquates pour toute l’Union européenne. C’est dans ce contexte que le Parlement européen et le Conseil de l’Union européenne ont adopté, en juillet 2016, la directive « Network and Information Security » (NIS). Transposée au niveau national en 2018, cette directive avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité. À l’époque, cela représentait quelques centaines d’entités en France. Enfin, cette directive s’inscrivait dans une démarche de réglementation des usages du numérique au long cours rejoignant ainsi DORA et le plus récent IA Act.
L’évolution vers la directive NIS2
La directive NIS2 s’appuie sur les acquis de la directive NIS1. Mais elle vient marquer un réel changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS2 élargit ses objectifs et son périmètre d’applicabilité. Ainsi, elle vise une meilleure protection des acteurs concernés. Cette extension du périmètre prévue par NIS2 est sans précédent en matière de réglementation cyber.
Comment s’applique la directive NIS2 ?
À l’échelle nationale, la Directive NIS2 implique des milliers d’entités appartenant à plus de dix-huit secteurs régulés. Environ 600 types d’entités différentes seront concernés, des administrations de toutes tailles et des entreprises (des PME aux groupes du CAC40). Les organisations impliquées dans la chaîne d’approvisionnement, particulièrement celles du secteur numérique comme Sigma, devront se conformer à de nouvelles réglementations. En effet, elles sont de plus en plus visées par des cyberattaques. De plus, il ne faut pas oublier que les entreprises dans la chaîne d’approvisionnement peuvent être des portes d’entrée vers des cibles plus sensibles et plus importantes.
NIS2 : qui sont les entités essentielles et importantes ?
Parmi les évolutions majeures de la Directive NIS2, l’inclusion d’un mécanisme de proportionnalité. Celui-ci distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles, tel que les centres hospitaliers, et les entités importantes. L’ANSSI compte s’appuyer sur cette notion pour définir des exigences adaptées et proportionnées aux différents enjeux. À ces 2 types d’entités, il faut ajouter les OIV (opérateurs d’importance vitale). Ces derniers portent toujours les contraintes d’assurer les services les plus critiques et vitaux de la nation.
L’impact de la directive NIS2 sur les établissements de santé
De nouvelles entités essentielles
La Directive NIS2 engendre des changements significatifs dans les établissements hospitaliers, notamment en ce qui concerne leur classification en tant qu’entités essentielles ou importantes. Selon Laure Duhesme, coordinatrice sectorielle santé de l’ANSSI, les établissements de santé comptant plus de 250 salariés seront automatiquement désignés comme des « entités essentielles ». Cette désignation inclut également les centres hospitaliers (CH). Cela signifie que plus d’un tiers des établissements pourraient être classés dans cette catégorie.
Découvrez notre guide gratuit contenant tous les critères pour vous conformer à la directive NIS2.
De nouvelles entités importantes
Les « premières simulations » suggèrent également qu’un autre tiers des établissements pourraient être considérés comme des « entités importantes ». Cette classification dépend du nombre d’employés : les établissements de santé privés ou publics ayant entre 50 et 250 salariés seront automatiquement désignés comme des « entités importantes ». En dessous de 50 salariés, la désignation dépend de la mission particulière de l’entité. Une mission identifiée par le ministère de la Santé et l’ANSSI.
Sigma accompagne les établissements de santé pour garantir la résilience de leurs systèmes d’information, au travers d’une offre complète en cybersécurité.
- Cloud hybride et HDS
- SOC Sigma en présentiel 24/7/365
- Des services managés pour la détection et la réponse à incident
- Sensibilisation de vos agents et formation de vos équipes IT à la sécurité
- Des audits, campagnes de phishing et des exercices de cybercrise ARS pour évaluer votre maturité
Des organismes hors du secteur médical impactés
Outre les hôpitaux, d’autres établissements de santé seront concernés par la Directive NIS2. Les laboratoires de biologie médicale, les centres d’imagerie et de radiothérapie, ainsi que les fournisseurs d’équipements biomédicaux pourraient être inclus, bien que cela reste à affiner avec le ministère.
Cette nouvelle directive vise à élever le niveau de sécurité des établissements hospitaliers, en les soumettant à des exigences de cybersécurité plus strictes. Les entités essentielles seront concernées par des règles plus contraignantes que les entités importantes. Mais toutes devront mettre en œuvre des mesures appropriées pour protéger leurs systèmes d’information.
Les impacts juridiques et réglementaires de la nouvelle directive
La mise en œuvre de la Directive NIS2 impacte les sujets juridiques et réglementaires des entités régulées, avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui joue un rôle central dans le processus de conformité.
Contrôles et injonctions
L’ANSSI disposera de pouvoirs de contrôle étendus, pouvant conduire à des injonctions en cas de non-conformité constatée. À cette fin, l’agence travaille activement à définir des mécanismes de contrôle adaptés à l’échelle de la mise en œuvre de la Directive NIS2. De plus, l’ANSSI cherche à faciliter ses interactions avec les entités régulées via un portail numérique, qui servira également de plateforme ouvrant accès aux solutions de sécurisation.
Régime de sanctions renforcé
Cette nouvelle directive s’accompagne d’un régime de sanctions renforcé. Par exemple, en fonction de la gravité des infractions, la sanction pourrait s’appuyer sur un pourcentage du chiffre d’affaires mondial de l’entité concernée, comme c’est le cas avec le RGPD. Ainsi, les entités essentielles pourraient se voir infliger une sanction allant jusqu’à 2 % de leur chiffre d’affaires mondial, tandis que les entités importantes pourraient être soumises à un taux de 1,4 %. Les modalités exactes de mise en œuvre de ce régime de sanctions sont encore à l’étude.
Préparation et continuité
L’ANSSI recommande à toutes les entités concernées de se préparer dès aujourd’hui à la mise en œuvre de la Directive NIS2. Pour les entités déjà désignées en vertu de la Directive NIS1, il est important de maintenir les efforts de conformité, car les exigences de la Directive NIS1 restent d’actualité jusqu’à l’entrée en vigueur de NIS2. Les travaux déjà entrepris dans le cadre de NIS1 seront valorisés dans la transition vers NIS2, soulignant l’importance de la continuité dans les efforts de sécurité informatique. L’ANSSI reconnaît cette continuité comme une priorité absolue dans la transposition de la Directive NIS2.
À lire également
Pour tout savoir au sujet de la directive NIS2, découvrez nos autres articles, livres blancs et webinaires.