Espace Client
Unitel.fr
NIS2 pour le secteur de la santé
Use case
news
témoignage
Avis d’expert

NIS2 pour le secteur de la santé

Cybersécurité
8 min
03/2025
Retour
Retour
Retour
Retour
Retour
Partager l’article

🛡️ Directive NIS 2 : un nouveau cap pour la cybersécurité du secteur de la santé en France

À l’heure où les cyberattaques ciblant les établissements de santé se multiplient, la directive européenne NIS 2 (Network and Information Security), adoptée en janvier 2023, marque un tournant majeur. Elle vise à standardiser et renforcer la cybersécurité dans 18 secteurs critiques, dont la santé, en imposant des obligations strictes aux structures concernées.

Elle devrait à terme s’appliquer à près de 100 000 entités en Europe, dont environ 15 000 en France.

🧭 NIS 2 : un cadre européen à transposition nationale

Contrairement aux règlements comme DORA (applicable directement dans tous les États membres), NIS 2 est une directive. Cela signifie qu’elle fixe des objectifs de sécurité, mais laisse chaque pays libre de déterminer les moyens législatifs pour les atteindre.

➡️ Risque : une transposition hétérogène selon les pays, et donc une efficacité variable.
➡️ En France, le projet de loi a été adopté par le Sénat le 12 mars 2025, sous la référence n° 78, et a été transmis à l’Assemblée nationale pour examen.

🏥 Un impact majeur pour les acteurs de la santé

Le secteur de la santé est explicitement désigné comme secteur critique par NIS 2, aux côtés de l’énergie, des télécoms, des transports, de la finance et des administrations.

Sont concernées :

  • Les hôpitaux publics et privés
  • Les cliniques, EHPAD, laboratoires, centres d’imagerie
  • Les hébergeurs HDS
  • Les éditeurs de logiciels de santé (DMP, télémédecine, gestion administrative, etc.)
  • Les prestataires IT sous-traitants ou exploitants de SI hospitaliers

Exemple : une plateforme de télémédecine employant 60 personnes et hébergeant des données de santé sur ses propres serveurs sera classée comme entité importante. Un CHU ou un grand groupe hospitalier sera entité essentielle.

🔐 Les obligations à anticiper

Les entités devront appliquer des mesures robustes en matière de cybersécurité, notamment :

1. Gestion des risques

  • Cartographie des systèmes critiques (SIH, dispositifs biomédicaux connectés…)
  • Évaluation des vulnérabilités
  • Durcissement des configurations

2. Sécurité de la chaîne d’approvisionnement

  • Analyse des risques tiers (infogérants, prestataires cloud, équipementiers)
  • Clauses cyber dans les contrats

3. Détection et gestion des incidents

  • Surveillance des systèmes
  • Notification des incidents majeurs à l’ANSSI sous 24h
  • Revue post-incident et amélioration continue

4. Plan de continuité d’activité

  • Rédaction ou renforcement des PCA/PRA
  • Exercices réguliers et tests de crise

5. Gouvernance et formation

  • Désignation d’un référent cybersécurité
  • Sensibilisation des soignants, administratifs, DSI et directions

⚠️ Sanctions en cas de manquement

Les sanctions sont dissuasives :

  • Jusqu’à 10 M€ ou 2 % du CA mondial pour une entité essentielle
  • Jusqu’à 7 M€ ou 1,4 % du CA mondial pour une entité importante
  • Responsabilité personnelle des dirigeants en cas de négligence

Exemple : en cas de compromission d’un SIH via une faille non corrigée connue, sans justification documentée, l’établissement pourra être mis en cause.

🚨 Enjeux concrets pour le secteur santé

La directive est une opportunité mais aussi un défi de transformation pour des structures déjà sous pression :

  • Les SIH sont souvent anciens, cloisonnés, parfois en rupture avec les pratiques modernes de sécurité.
  • Les ressources humaines dédiées à la cybersécurité sont faibles, voire inexistantes dans certains établissements.
  • La diversité des prestataires IT (éditeurs, intégrateurs, hébergeurs) complexifie la maîtrise du risque.

➡️ NIS 2 impose de professionnaliser la cybersécurité dans la santé et de passer d’une logique défensive à une culture proactive du risque numérique.

🟦 UCS, partenaire souverain et certifié HDSv2 pour votre conformité NIS 2

Chez Unitel Cloud Services (UCS), nous accompagnons les établissements de santé vers une conformité durable et souveraine :

Hébergement local et certifié (cloud souverain, infrastructures en France)
Accompagnement stratégique : audits, plans d’action, documentation
Sécurisation de vos services critiques : SIH, sauvegardes, annuaires, messagerie
Partenariats avec des éditeurs et intégrateurs spécialisés santé

🎯 Préparez dès maintenant votre conformité à NIS 2 avec un partenaire de confiance.

Attention - cet article a été publié le 26/03 et les informations peuvent avoir évolué !

Photo de Martha Dominguez de Gouveia sur Unsplash

Core Cloud

Un coud certifié pour vos données de santé
En savoir plus
Nous contacter
En savoir plus
Nous contacter

Pour approfondir

5min
04/2025

5G privée et retail : revue des use cases

7 min
Lire l’article
5min
04/2025

Pourquoi le slicing change la donne pour les réseaux privés 5G ?

Pourquoi envisager le slicing ?
Lire l’article
5min
04/2025

Data Centers : 50 termes essentiels à connaître

Les termes utilisés en DC
Lire l’article
5min
04/2025

Règlementations européennes en matière de cybersécurité

Connaitre les attaques pour mieux se protéger
Lire l’article