Conformité à NIS2 pour le secteur de la santé

Les systèmes de santé dépendent fortement des technologies numériques pour fournir des soins aux patients, gérer les dossiers médicaux, faire fonctionner les équipements de diagnostic et coordonner les services de santé publique. À mesure que les hôpitaux et les prestataires de soins deviennent de plus en plus interconnectés, le risque d'incidents cybernétiques affectant la sécurité des patients et la continuité des services s'est intensifié.

La directive NIS2 établit des obligations de cybersécurité à l'échelle de l'UE pour les entités Essential et Important et élargit significativement le champ d'application du cadre NIS original. La conformité à NIS2 pour le secteur de la santé reflète l'importance sociétale critique des services de santé et la nécessité de protéger les données médicales et opérationnelles sensibles.

La directive s'applique aux organisations de taille moyenne et grande opérant dans les secteurs désignés, y compris la santé. De nombreuses PME peuvent également être concernées si elles atteignent les seuils de taille ou fournissent des services de santé critiques.

Si votre organisation opère dans le secteur de la santé, elle peut relever de NIS2 en tant qu'entité Essential ou Important.

Le secteur de la santé est classé comme :

Relevant Annex: Annexe I (Essential Entities)

• Essential Entity au titre de l'Annexe I

• Healthcare providers tels que définis dans la législation de l'UE en matière de santé
• Laboratoires de référence de l'UE
• Entités menant des activités de recherche et développement sur des produits médicinaux
• Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques
• Entités fabriquant des dispositifs médicaux considérés comme critiques lors d'une urgence de santé publique

Couverture du sous-secteur (Annexe I – Santé) :

La conformité à NIS2 pour le secteur de la santé s'applique à :

Les hôpitaux, cliniques privées, fabricants pharmaceutiques, fabricants de dispositifs médicaux et certaines entités de recherche atteignant les seuils sont concernés.

Même les PME peuvent être concernées si elles atteignent les seuils de taille de NIS2 ou sont désignées comme fournisseurs de services critiques. L'applicabilité de NIS2 aux PME est particulièrement pertinente pour les cliniques spécialisées, les exploitants de laboratoires et les entités de recherche pharmaceutique opérant à grande échelle.

• Entreprises de taille moyenne (≥50 employés et/ou 10 millions d'euros de chiffre d'affaires annuel ou de total du bilan)
• Grandes entreprises dépassant ces seuils
• Entités désignées comme fournisseurs de soins de santé critiques en vertu du droit national, le cas échéant

En vertu de l'Article 21 de la directive NIS2, les entités de santé doivent mettre en œuvre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité.

Les mesures obligatoires comprennent :

Pour le secteur de la santé, ces mesures de sécurité NIS2 doivent couvrir les systèmes de dossiers de santé électroniques, les dispositifs médicaux connectés, les systèmes de laboratoire et les environnements de production pharmaceutique. La protection des operational technology (OT) dans les équipements hospitaliers et les installations de fabrication est essentielle.

La conformité à NIS2 pour le secteur de la santé exige d'intégrer la cybersécurité dans la gouvernance de la sécurité des patients et les processus de gestion des risques cliniques. La planification de la résilience doit tenir compte de la continuité des services pendant les incidents cybernétiques susceptibles de perturber l'administration des traitements.

• Cadre de gestion des risques
• Procédures de gestion des incidents
• Continuité d'activité et reprise après sinistre
• Sécurité de la chaîne d'approvisionnement
• Développement et maintenance sécurisés
• Politiques relatives au chiffrement et à la cryptographie
• Contrôle d'accès et MFA
• Gestion des vulnérabilités et des correctifs
• Formation à l'hygiène cybernétique
• Utilisation de communications sécurisées

Les entités de santé doivent respecter les délais de notification des incidents prévus par NIS2 lorsqu'un incident significatif se produit.

Les obligations de notification comprennent :

Les rapports doivent être soumis au CSIRT national ou à l'autorité compétente.

La règle de notification sous 24 heures de NIS2 est particulièrement pertinente lorsque des incidents cybernétiques affectent les systèmes de soins aux patients, la fabrication pharmaceutique ou les dispositifs médicaux critiques. Les incidents qui perturbent la prestation des soins ou compromettent la disponibilité des systèmes seront généralement considérés comme significatifs.

Le non-respect des délais prescrits de notification peut entraîner des mesures d'exécution et des amendes administratives.

La conformité à NIS2 pour le secteur de la santé impose une responsabilité directe au organe de direction.

Principales exigences en matière de gouvernance :

L'Article 21 de la directive NIS2 fait de la cybersécurité une responsabilité au niveau du conseil d'administration. Les dirigeants d'hôpitaux, les administrateurs de sociétés pharmaceutiques et les responsables des établissements de santé doivent veiller à ce que des contrôles adéquats et des mesures de résilience soient mis en œuvre et maintenus.

Les défaillances en matière de cybersécurité dans le domaine de la santé peuvent avoir des conséquences directes sur la sécurité des patients et la confiance du public, ce qui renforce l'importance de la supervision de la direction.

• Approbation des mesures de gestion des risques de cybersécurité par l'organe de direction
• Surveillance continue de la mise en œuvre
• Formation obligatoire en cybersécurité pour la direction
• Risque potentiel de responsabilité personnelle en vertu du droit national

En tant qu'entités de l'Annexe I, les organisations de santé classées comme entités Essential sont soumises à une supervision proactive. Les autorités compétentes peuvent effectuer des audits, des inspections et des évaluations de cybersécurité indépendamment de la survenance d'un incident.

Les amendes administratives en cas de non-conformité sont :

Les lois nationales de transposition peuvent préciser les procédures de surveillance, mais la directive fixe des seuils minimaux d'amende harmonisés entre les États membres.

Étant donné l'importance sociétale de la continuité des soins, l'application devrait être structurée et basée sur les risques.

• Entités Essential : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé s'appliquant)

Les PME de santé devraient adopter une approche structurée pour se conformer à NIS2 :

Une préparation précoce réduit le risque de sanctions et protège la continuité des soins aux patients.

1. Mener une évaluation des écarts NIS2
2. Cartographier les services de santé critiques et les dépendances numériques
3. Formaliser un cadre documenté de gestion des risques de cybersécurité
4. Mettre à jour et tester les plans d'intervention en cas d'incident et de continuité
5. Réviser les contrats avec les fournisseurs et les vendeurs de technologies médicales
6. Former la direction et les cadres cliniques supérieurs
7. Établir un flux de travail de notification 24h/72h/1 mois

Les entités de santé sont confrontées à des risques spécifiques au secteur dans le cadre de NIS2 :

La conformité à NIS2 pour le secteur de la santé est donc à la fois une exigence réglementaire et un impératif de sécurité des patients.

• Perturbation opérationnelle : Les incidents cybernétiques peuvent interrompre les traitements des patients et le fonctionnement des hôpitaux.
• Atteinte à la sécurité des patients : Des systèmes compromis peuvent affecter la prise de décision clinique ou la fonctionnalité des dispositifs.
• Compromission de la chaîne d'approvisionnement : Les fournisseurs pharmaceutiques et de dispositifs médicaux introduisent des risques tiers.
• Amendes réglementaires : La non-conformité expose les organisations à des sanctions importantes.
• Atteinte à la réputation : La confiance du public envers les établissements de santé est fortement sensible aux défaillances en matière de cybersécurité.