Publicité en cours de chargement...
Directive NIS, la fin de l’innocence
Le découpage territorial veut que, dans le monde de la santé, certains CHU – établis dans des zones de défense – sont OIV, alors que le CHU situé 100 kilomètres plus loin, parfois de taille supérieure, ne l’est pas. La directive NIS pallie entre autres ce trou dans la raquette en adressant une brochette d’entreprises publiques et privées qui officient dans des domaines pour lesquels une perturbation impacterait plus ou moins le fonctionnement du pays : énergie, transport, santé, etc. La liste des entreprises émargeant au statut d’OSE sera connue au plus tard en novembre prochain, mais il est fort probable que les établissements de santé disposant d’un service d’urgences médicales seront de la partie.
Dans les grandes lignes, il faut retenir les points suivants :
- Obligation de désignation d’un responsable interne ; le sempiternel débat pour savoir si cette fonction peut ou non être cumulée avec celle de RSSI, de DPO, etc. va être à nouveau réactivé ;
- Obligation de tenir à jour une documentation sur les réseaux et les SI ; on ne sait pas si tout le SI ou uniquement les sous-systèmes sensibles sont concernés, si à la fois les volets technique et applicatif sont impliqués, quel est le niveau de détails requis, etc. ; cette documentation doit être révisée et transmise tous les ans à l’Anssi ;
- Obligation de définir une gouvernance interne pour la prise en compte de la directive : instances de pilotage, réunions, revues régulières, rapports, etc. ;
- Obligation de mettre en œuvre des dispositions techniques non encore listées ; on pense facilement à la liste des 42 mesures d’hygiène de l’Anssi ;
- Obligation de mettre en place un dispositif de gestion de crise ;
- Obligation de déclarer les incidents de sécurité ; avec l’instruction n° 309 et le RGPD, cela ne fera jamais que la quatrième fois ;
- Obligation d’un audit annuel, réalisé soit par l’Anssi elle-même, soit par un prestataire agréé Anssi, et ce aux frais exclusifs de l’OSE ;
- Obligation d’un audit post-incident.
La directive comprend en outre deux grands chapitres : celui qui concerne les OSE, et celui qui concerne les fournisseurs de services numériques (FSN). Grosso modo, ce sont les mêmes spécifications, mais il est intéressant de noter que les établissements HDS sont à la fois OSE et FSN : la question de savoir si c’est fromage ET dessert va alimenter les dîners en ville.
La directive NIS appelle plusieurs réflexions ou remarques. Tout d’abord et pour ceux qui ne l’auraient pas encore réalisé, c’est la fin de la récré pour tous les futurs OSE. La plupart des GHT vont comporter au moins un établissement OSE – voire FSN – et, en dehors de la question récurrente de la responsabilité de l’établissement support, cela commence à faire beaucoup, après le RGPD, et l’avalanche de textes depuis 2016. En même temps, quel citoyen trouverait anormal qu’un CHU ou un établissement traitant des urgences médicales doive montrer patte blanche dans son SI ?
Ensuite, le décret laisse des zones non précisées, comme la liste des SI soumis à cartographie et déclaration, la profondeur et la durée des audits annuels ou la position du barycentre dans les audits entre le volet organisationnel et le volet technique. Bref, pour l’instant, les RSSI sont un peu dans l’expectative.
Enfin, certaines des mesures semblent faire double emploi avec des obligations réglementaires ou normatives antérieures : la gouvernance (imposée par la certification HAS depuis au moins dix ans), l’obligation de signalement des incidents ou la remontée d’indicateurs. Si en tant que citoyen je ne peux qu’approuver cette directive, en tant que RSSI, je trouve qu’il y a des marges de progrès en termes de factorisation… à moins qu’il ne faille interpréter la directive comme une déclinaison d’un autre texte déjà mis à exécution, et donc que le travail est déjà fait.
Pour ce qui concerne la distinction établie entre les obligations qui concernent les OSE et celles qui s’adressent aux FSN, on reste par contre dubitatif : si les obligations sont les mêmes, pourquoi dupliquer le texte, alors qu’il aurait suffi de déclarer une liste un peu plus longue d’OSE ?
En tout état de cause, la directive va être lourde à gérer. Paradoxalement, ce qui semble le plus inquiétant, c’est l’obligation de cartographie des SI : on est clairement mauvais sur ce sujet. L’autre point de vigilance concerne l’éventuelle application des 42 mesures d’hygiène – si c’est l’option qui est retenue par l’Anssi – où là non plus on n’est pas bon. Il reste à espérer que le démarrage soit « léger et compréhensif » : il est toujours plus facile d’augmenter les exigences une fois que l’on a mis le pied dans la porte que de partir bille en tête sur la lettre au Père Noël.
Avez-vous apprécié ce contenu ?
A lire également.

Une feuille de route IA pour la CNSA
08 sept. 2025 - 22:14,
Actualité
- Damien Dubois, DSIHLe 1er septembre, la CNSA a annoncé la publication de sa feuille de route stratégique centrée sur l’intelligence artificielle au service de la branche Autonomie.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation
05 sept. 2025 - 11:15,
Actualité
- DSIHLe 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...