NIS2 dans la Santé : OSE, eSMS, sous-traitants — comprendre son périmètre

NIS2 dans la Santé : un secteur particulièrement exposé

Le secteur de la santé est identifié par la directive NIS2 comme un secteur hautement critique. En France, la transposition a créé plusieurs catégories d'entités soumises à des obligations renforcées, avec des seuils et des régimes distincts selon le type d'organisation.

Les trois catégories d'entités santé dans NIS2

Les Opérateurs de Services Essentiels (OSE)

Les OSE du secteur santé (grands hôpitaux publics, certains établissements de soins privés de taille critique) étaient déjà soumis à NIS1. NIS2 renforce leurs obligations existantes : gouvernance de la direction, plans de continuité, gestion des incidents, audit régulier.

Les entités de soins de santé spécifiques (eSMS)

NIS2 crée une catégorie nouvelle : les entités de services de soins de santé (eSMS). Entrent dans cette catégorie :

• Les prestataires de soins de santé au sens de la directive patients (2011/24/UE)
• Les fabricants de dispositifs médicaux critiques, en particulier les DM utilisés en réponse à des crises sanitaires
• Les éditeurs de logiciels pour le secteur de la santé — avec un seuil de chiffre d'affaires ou de part de marché
• Les laboratoires de référence et les entités menant des activités de R&D sur les médicaments

Les sous-traitants et fournisseurs critiques

NIS2 introduit une obligation de maîtrise de la chaîne de valeur : les entités essentielles et importantes doivent identifier leurs fournisseurs et sous-traitants critiques et s'assurer de leur niveau de sécurité. En pratique, de nombreuses ETI qui fournissent des services numériques aux établissements de santé se retrouvent dans le scope NIS2 par l'intermédiaire de leurs clients.

Les obligations concrètes pour les eSMS

Les entités importantes (dont font partie la plupart des eSMS) doivent :

• Mettre en place une gouvernance de la sécurité au niveau de la direction — les dirigeants sont personnellement responsables de l'approbation des mesures et peuvent être sanctionnés en cas de manquement
• Conduire une analyse de risque régulière couvrant les systèmes d'information critiques
• Notifier tout incident significatif à l'ANSSI dans un délai de 24 heures (alerte précoce) et 72 heures (rapport initial)
• Mettre en place des mesures techniques sur : la gestion des identités, le chiffrement, la sécurité de la chaîne d'approvisionnement, la continuité d'activité

Articulation avec le MDR et le CRA pour les fabricants de DM

Les fabricants de dispositifs médicaux connectés font face à une triple obligation : MDR (sécurité du dispositif médical), CRA (cybersécurité du produit connecté), et NIS2 (sécurité de l'organisation). ACESO CONSEIL a développé une approche intégrée pour traiter ces trois corpus réglementaires en synergie et éviter les redondances documentaires coûteuses.

Comment identifier son statut ?

La qualification n'est pas toujours évidente. Les critères combinés sont : le secteur d'activité, le type de service fourni, le nombre d'utilisateurs ou patients concernés, et la taille de l'organisation. En cas de doute, l'ANSSI peut être consultée, mais il est préférable de réaliser une pré-qualification interne documentée avant tout échange avec le régulateur.