Directive NIS 2 – Tous concernés

Au commencement

Face à la transformation numérique rapide et l’exposition à de nouvelles cybermenaces, le parlement Européen et l’Union Européenne ont adopté en juillet 2016 la directive NIS : Network and Information Security. Transposée dans le droit français en 2018, la directive avait pour objectif d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'UE. Pour cela, les Opérateurs de Services Essentiels (OSE) disposent de 3 ans pour appliquer 23 règles de sécurité. Certains établissements de santé sont concernés par la Directive et la liste s’élargie en 2021 avec la nomination des 135 établissements supports de GHT en tant qu’OSE.

À découvrir → Un projet de loi pour renforcer la cybersécurité déposé au Sénat

La Directive NIS 1 suffisante ?

En 2023, le constat est le suivant : les cyberattaques sont de plus en plus perfectionnées et la menace évolue plus rapidement que le niveau de sécurité du secteur de la santé. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour apporter davantage de protection.

Elargir le périmètre d’application …

Des entités concernées

Avec NIS2, on ne parle plus d’Opérateurs de Services Essentiels. Structures privées ou publiques, sanitaire ou médicosocial, l’ensemble du secteur de la Santé sera désormais concerné par la nouvelle Directive. En santé, il y aura 2 types d’entités différentes : essentielles et importantes. Elles sont déterminées en fonction de leur chiffre d’affaires, leur bilan annuel et leur nombre d’employés :

La Directive NIS2 ne s’appliquera pas totalement de la même façon pour une entité essentielle et une entité importante.

A l’ensemble du SI

Avec NIS2, on ne parle plus non plus de Services Essentiels ou Systèmes d’Information Essentiels (SIE). Les mesures de sécurité ne sont plus restreintes aux SIE mais à l’ensemble des réseaux et systèmes d’information utilisés par les entités dans le cadre de leurs activités.

Comment se préparer ?

1. Le cas du secteur Sanitaire

Même si la directive NIS 2 n’a pas encore été transposée dans le droit français, nous pouvons anticiper ses impacts et capitaliser sur le retour d’expérience de la mise en en œuvre de la directive NIS 1. Cette NIS 1 a pu être perçue comme un nouveau référentiel (de plus) à mettre en œuvre et mobilisant des ressources humaines et financières (souvent limitées) très importantes. Le principal enjeu était donc de réussir à impliquer les directions dans la démarche, afin d’obtenir des ressources adaptées, ainsi que les opérationnels, afin de mettre en œuvre les règles de la NIS 1. 

Dans ce contexte, une approche ISO 27 001 (ou HDS) est une opportunité pour les organisations qui souhaite faire évoluer leur niveau de maturité tout en répondant aux exigences réglementaires auxquelles elles sont soumises. La mise en place d’un SMSI permet de structurer une démarche d’amélioration continue de la sécurité et notamment de :

• Recueillir le leadership de la Direction
• Diffuser une culture sécurité au sein des équipes

Ces deux facteurs sont essentiels pour obtenir les moyens nécessaires à la mise en œuvre des mesures de sécurité exigées de toutes parts (programmes nationaux, Directives NIS, ISO 27 001 et HDS, etc.). 

La démarche de certification est d’autant plus intéressante que les mesures de sécurité de l’annexe A de l’ISO 27 001 couvrent la grande majorité des règles de sécurité de la directive NIS. 

2. Le cas du secteur Médico-social

La transition numérique du secteur médicosocial, dynamisée par le programme ESMS Numérique, est quant à elle assez récente. L’intégration de la sécurité dans les pratiques est un effort à maintenir sur le long terme et doit se faire de façon progressive. Pour initier cette démarche de sécurisation du SI et des pratiques, les établissements médicosociaux peuvent se baser sur le guide de l’ANS « La cybersécurité pour le social et le médico-social en 13 questions ». Ces 13 actions, définies comme prioritaires, sont issues de l’état de l’art cyber actuel. Il est donc fort probable que la directive NIS 2 reprendra tout ou partie de ces exigences de sécurité. 

L’accompagnement WELIOM

Pour anticiper cette nouvelle réglementation, WELIOM vous accompagne dans vos démarches de sécurisation de votre système d’information. Contactez-nous pour en savoir plus sur nos accompagnements SSI : Certification ISO 27001 / HDS, Etat des lieux SSI (PGSSI-S, Directive NIS 1, Guide d’hygiène de l’ANSSI, Guide « la cybersécurité pour le social et le médico-social en 13 questions »), Analyse de risques SSI etc. 

---

Sources :
ANSSI – Directive NIS 2 : 

WEBINAIRE ANSSI - 

Guide cyber ESMS :