Secteur de la santé : qui est concerné par NIS 2 ?

NIS 2, de quoi s’agit-il ?

NIS 2 est une règlementation¹ ayant pour objectif de renforcer la protection des réseaux et des systèmes d’information qui fournissent des services essentiels dans des « secteurs clés » dans l’UE².  NIS 2 impose ainsi, de façon générale, aux entités concernées de mettre en œuvre, selon le risque existant, certaines mesures (sécurité, information et notification, accountability, etc.) pour augmenter leur cybersécurité et leur résilience opérationnelle.

Cette réglementation, issue d’une directive européenne, sera pleinement applicable en France dès lors que l’ensemble des textes de transposition (loi, décrets, arrêtés) auront été finalisés et adoptés. Le projet de loi de transposition, qui a été présenté en Conseil des ministres le 15 octobre 2024³, doit encore être discuté.

NIS 2 et le secteur de la santé

NIS 2 s’applique notamment⁴ aux entités exerçant dans le secteur de la santé (secteur qualifié de « hautement critique ») à partir du moment où elles (i) fournissent ou exercent des activités au sein de l’UE et (ii) en ce qui concerne la France, comptent plus de 50 salariés ou dont le chiffre d’affaires annuel et le total du bilan excèdent chacun 10 millions d’euros⁵ (soit la catégorie des « entreprises moyennes »)⁶ .

Selon la Directive NIS 2⁷, le secteur de la santé concerne :

• Les prestataires de soins de santé⁸ ;
• Les laboratoires de référence de l’Union européenne⁹ ;
• Les entités exerçant des activités de recherche et de développement dans le domaine des médicaments¹⁰ ;
• Les entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques¹¹ ;
• Les entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique¹².

Le projet de loi de transposition en France n’a pas repris cette liste, mais renvoie à un décret à venir. Aucune information complémentaire n’est donc apportée par le législateur français, à date, sur les entités du secteur de la santé qui sont spécifiquement concernées.

Or, on peut s’interroger sur ce que recouvrent certaines notions de la Directive NIS 2, en particulier celle de « prestataires de soins de santé », certes définie par le droit de l’UE comme « « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre », mais n’étant pas reprise dans le Code de la santé publique et pouvant donner lieu à interprétation.

Si vous aviez encore un doute sur votre qualification en tant que « prestataires de soins de santé », l’ANSSI, organisme chargé de piloter la transposition de la Directive NIS 2 en droit français et d’assurer la mise en œuvre de cette directive, a récemment apporté des éclairages.

L’ANSSI a effectivement indiqué dans un rapport récent¹³ que les « prestataires de soins de santé » sont les « acteurs liés à la prestation de soins [qui] sont en contact direct avec des patients dans le cadre du parcours de soin : prévention, diagnostic, traitement, post-traitement, surveillance et accompagnement ». On y retrouve « les types d’acteurs » suivants :

• Les établissements de santé publics, privés d’intérêt collectif et privés à but lucratif ;
• Les établissements médico-sociaux ;
• Les structures d’urgence ;
• Les professionnels de santé libéraux ;
• Les pharmacies d’officine ;
• Les laboratoires d’analyse médicale ;
• Les centres d’imagerie.

NIS 2, un chantier de mise en conformité à démarrer dès à présent !

Si votre entité relève du secteur de la santé et est concernée par NIS 2, il convient d’entamer/poursuivre au plus vite la démarche de mise en conformité à NIS 2, laquelle devra être affinée et mise à jour au fur et à mesure, au regard des textes définitifs attendus.

Certes, le processus de transposition de la Directive NIS 2 en droit français n’est pas achevé. Pour autant, celui-ci ne devrait plus tarder. Aussi et surtout, compte tenu de l’ampleur du chantier et des sanctions encourues en cas de non-conformité (nous parlons d’amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial hors taxes et, dans certains cas, de sanctions additionnelles concernant directement l’activité de l’entité ou celle de son dirigeant : suspension d’une certification ou autorisation, interdiction d’exercice…), rentrer dans une démarche de mise en conformité (et à tout le moins d’amélioration constante) en matière de cybersécurité et de résilience est plus que recommandé !

1. Issue d’une Directive européenne : Directive (UE) 2022/2555 du 14 décembre 2022 « concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) » telle que transposée par le droit national (le projet de loi de transposition étant en cours d’adoption)

2. https://monespacenis2.cyber.gouv.fr/directive

3. Projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».

4. La Directive NIS 2 vise également d’autres entités intervenant dans d’autres secteurs « hautement critiques » ou « critiques », tels que les fournisseurs de services numériques pour cette seconde catégorie, y compris ceux intervenant domaine de la santé, mais aussi, quelle que soit leur taille, des fournisseurs de communications électroniques publics ou de services de communications accessibles au public, des prestataires de service de confiance (signature électronique, etc.), les entités dont la perturbation du service fournir pourrait avoir un impact important sur la santé publique, certaines entités de l’administration publique, etc. cf. article 2 de la Directive NIS 2.

5. A noter que la Directive NIS 2 prévoit un cumul de ces critères de seuil, alors que le projet de loi de transposition indique qu’un seul de ces critères suffit.

6. Article 2 de la Directive NIS 2 ; Article 2 paragraphe 1 de l’Annexe de la Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises.

7. Cf. Annexe I de la Directive NIS 2.

8. « au sens de l’article 3, point g) de la directive 2011/24/UE du Parlement européen et du Conseil ».

9. « visés à l’article 15 du règlement (UE)  2022/2371 du Parlement européen et du Conseil ».

10. « au sens de l’article 1er, point 2, de la directive 2001/83/CE du Parlement européen et du Conseil ».

11. « au sens de la NACE Rév. 2, section C, division 21 ».

12. « (liste des dispositifs médicaux critiques en cas d’urgence de santé publique) au sens de l’article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil ».

13. Rapport de l’ANSSI du 7 novembre 2024 « SECTEUR DE LA SANTE - Etude de la menace informatique ».