TEST 15 JOURS

NIS 2 : Un périmètre élargi pour sécuriser les SI

La directive NIS 2, qui élargit le spectre de NIS 1 (pour "Network and Information Security"), a été publiée au journal officiel de l’Union européenne en décembre 2022. La santé fait désormais partie intégrante des secteurs dits “essentiels”, soumis aux règles du législateur. Que contient le texte ? Comment les acteurs se préparent-ils à NIS 2 ? mind Health fait le point sur les principaux enjeux du texte, dont la transposition en droit français est attendue au plus tard le 17 octobre 2024.

Par Clarisse Treilles. Publié le 06 février 2024 à 22h30 - Mis à jour le 06 février 2024 à 17h38

Les cyberattaques sèment toujours le trouble dans les établissements de santé, allant parfois jusqu’à paralyser le fonctionnement des services critiques au sein des hôpitaux et cliniques visés par les cybercriminels. Les environnements informatiques deviennent aussi plus complexes à gérer, avec l’empilement des couches de services et d’équipements. Au fil des programmes cyber qui se succèdent depuis une dizaine d’années, les bonnes pratiques infusent dans les organisations pour aider les RSSI à garder la pleine maîtrise des systèmes d’information… mais cela prend du temps et des ressources.

Partout, un constat global demeure : “les acteurs de santé sont insuffisamment préparés face à cette augmentation de la menace, ce qui amène à un besoin de réponse réglementaire fort, qu’on ne laisse pas au simple arbitrage individuel des acteurs. L’objectif de NIS 2 est d’apporter un socle commun à l’échelle de l’Europe pour élever des mesures de sécurité minimales à mettre en œuvre pour se protéger contre les menaces et assurer le bon fonctionnement de la société dans son ensemble” a rappelé Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Anssi, à l’occasion d’une table-ronde dédiée à NIS 2 organisée par l’AFCDP courant janvier.

La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1 (adoptée le 6 juillet 2016 et transposée en France le 26 février 2018), marque un changement de paradigme, en élargissant ses objectifs et son périmètre d’application. La directive NIS 2  liste un certain nombre d’obligations pour les opérateurs de services essentiels et importants, dont la mission de veiller à la sécurité de la chaîne d’approvisionnement, fournisseurs comme prestataires. “La menace s’est déportée des grands acteurs vers de plus petits acteurs. Ces derniers peuvent aussi être touchés de manière plus opportuniste. Toute la chaîne d’approvisionnement et de sous-traitance est menacée”, observe Silvère Ruellan. 

Ce défi donne du fil à retordre aux RSSI, qui jusqu’alors pouvaient rencontrer des difficultés à demander des documents aux sous-traitants, comme en témoigne Nicolas Melleville, DPO et RSSI de l’Hospitalité Saint-Thomas de Villeneuve (HSTV). Il observe un certain “effet de silence” de la part des prestataires : “Sur la partie sécurité, je demande majoritairement des éléments concrets comme les plans de sauvegarde ou bien les politiques de mot de passe.…

Besoin d’informations complémentaires ?

Contactez

le service d’études à la demande de mind