Publicité en cours de chargement...
Au commencement
Face à la transformation numérique rapide et l’exposition à de nouvelles cybermenaces, le parlement Européen et l’Union Européenne ont adopté en juillet 2016 la directive NIS : Network and Information Security. Transposée dans le droit français en 2018, la directive avait pour objectif d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l'UE. Pour cela, les Opérateurs de Services Essentiels (OSE) disposent de 3 ans pour appliquer 23 règles de sécurité. Certains établissements de santé sont concernés par la Directive et la liste s’élargie en 2021 avec la nomination des 135 établissements supports de GHT en tant qu’OSE.
À découvrir → Un projet de loi pour renforcer la cybersécurité déposé au Sénat
La Directive NIS 1 suffisante ?
En 2023, le constat est le suivant : les cyberattaques sont de plus en plus perfectionnées et la menace évolue plus rapidement que le niveau de sécurité du secteur de la santé. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour apporter davantage de protection.
Elargir le périmètre d’application …
Des entités concernées
Avec NIS2, on ne parle plus d’Opérateurs de Services Essentiels. Structures privées ou publiques, sanitaire ou médicosocial, l’ensemble du secteur de la Santé sera désormais concerné par la nouvelle Directive. En santé, il y aura 2 types d’entités différentes : essentielles et importantes. Elles sont déterminées en fonction de leur chiffre d’affaires, leur bilan annuel et leur nombre d’employés :

La Directive NIS2 ne s’appliquera pas totalement de la même façon pour une entité essentielle et une entité importante.

A l’ensemble du SI
Avec NIS2, on ne parle plus non plus de Services Essentiels ou Systèmes d’Information Essentiels (SIE). Les mesures de sécurité ne sont plus restreintes aux SIE mais à l’ensemble des réseaux et systèmes d’information utilisés par les entités dans le cadre de leurs activités.
Comment se préparer ?
- Le cas du secteur Sanitaire
Même si la directive NIS 2 n’a pas encore été transposée dans le droit français, nous pouvons anticiper ses impacts et capitaliser sur le retour d’expérience de la mise en en œuvre de la directive NIS 1. Cette NIS 1 a pu être perçue comme un nouveau référentiel (de plus) à mettre en œuvre et mobilisant des ressources humaines et financières (souvent limitées) très importantes. Le principal enjeu était donc de réussir à impliquer les directions dans la démarche, afin d’obtenir des ressources adaptées, ainsi que les opérationnels, afin de mettre en œuvre les règles de la NIS 1.
Dans ce contexte, une approche ISO 27 001 (ou HDS) est une opportunité pour les organisations qui souhaite faire évoluer leur niveau de maturité tout en répondant aux exigences réglementaires auxquelles elles sont soumises. La mise en place d’un SMSI permet de structurer une démarche d’amélioration continue de la sécurité et notamment de :
- Recueillir le leadership de la Direction
- Diffuser une culture sécurité au sein des équipes
Ces deux facteurs sont essentiels pour obtenir les moyens nécessaires à la mise en œuvre des mesures de sécurité exigées de toutes parts (programmes nationaux, Directives NIS, ISO 27 001 et HDS, etc.).
La démarche de certification est d’autant plus intéressante que les mesures de sécurité de l’annexe A de l’ISO 27 001 couvrent la grande majorité des règles de sécurité de la directive NIS.
- Le cas du secteur Médico-social
La transition numérique du secteur médicosocial, dynamisée par le programme ESMS Numérique, est quant à elle assez récente. L’intégration de la sécurité dans les pratiques est un effort à maintenir sur le long terme et doit se faire de façon progressive. Pour initier cette démarche de sécurisation du SI et des pratiques, les établissements médicosociaux peuvent se baser sur le guide de l’ANS « La cybersécurité pour le social et le médico-social en 13 questions ». Ces 13 actions, définies comme prioritaires, sont issues de l’état de l’art cyber actuel. Il est donc fort probable que la directive NIS 2 reprendra tout ou partie de ces exigences de sécurité.
L’accompagnement WELIOM
Pour anticiper cette nouvelle réglementation, WELIOM vous accompagne dans vos démarches de sécurisation de votre système d’information. Contactez-nous pour en savoir plus sur nos accompagnements SSI : Certification ISO 27001 / HDS, Etat des lieux SSI (PGSSI-S, Directive NIS 1, Guide d’hygiène de l’ANSSI, Guide « la cybersécurité pour le social et le médico-social en 13 questions »), Analyse de risques SSI etc.
Sources :
ANSSI – Directive NIS 2 :
WEBINAIRE ANSSI -
Guide cyber ESMS :
Avez-vous apprécié ce contenu ?
A lire également.

Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...

Speech Processing Solutions dévoile Philips SpeechLive Health, un nouvel assistant IA conçu pour la documentation clinique moderne
25 mars 2026 - 14:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée et de traitement de la parole commercialisées sous la marque Philips, annonce le lancement de Philips SpeechLive Health, un assistant de documentation clinique basé sur l’IA conçu pour les professionnels de santé. C...

Dedalus et Inovie renouvellent leur partenariat pour le déploiement à grande échelle de la suite InVitro
25 mars 2026 - 08:24,
Communiqué
- DedalusDedalus, acteur majeur de la numérisation des laboratoires de biologie médicale, et INOVIE, acteur majeur du diagnostic médical en France, annoncent la signature d’un partenariat stratégique d’une durée de cinq ans, portant sur le déploiement de la suite Dedalus InVitro en mode SaaS.

Arnaud Vanneste : « Il faut créer une galaxie de systèmes d’information publics »
24 mars 2026 - 08:50,
Actualité
- Propos recueillis par Pierre Derrouch, DSIHVieillissement de la population, explosion des pathologies chroniques, fragmentation des systèmes d’information : pour Arnaud Vanneste, la transformation du système de santé passe d’abord par une rupture organisationnelle et numérique. Au CHRU de Nancy, dont il assume la direction générale, la prior...
