NIS2 pour les organisations de santé
Le secteur de la santé est classé à l'annexe I de NIS2, faisant des hôpitaux et établissements médicaux des entités essentielles soumises aux exigences de conformité les plus élevées. Voici votre guide pratique.
Pourquoi NIS2 s'applique-t-elle au secteur de la santé ?
Le secteur de la santé était déjà l'un des secteurs les plus visés par les cyberattaques avant NIS2. La combinaison de données sensibles de patients, de systèmes vitaux et d'une infrastructure informatique souvent obsolète fait des hôpitaux et cliniques des cibles attractives. L'attaque par rançongiciel de 2020 contre le CHU de Düsseldorf, qui a contraint à la fermeture des urgences et au déroutement de patients, a démontré que les cyberattaques contre le secteur de la santé peuvent directement menacer des vies. NIS2 codifie ce que le secteur sait déjà : la sécurité informatique dans le secteur de la santé, c'est la sécurité des patients.
L'UE a classé la santé à l'annexe I (secteurs de haute criticité) de la directive NIS2, couvrant les hôpitaux, les laboratoires de référence, la fabrication pharmaceutique et les fabricants de dispositifs médicaux. Les grandes entités de santé (250 employés et plus) sont classées comme « entités essentielles » au titre de l'article 28(1) BSIG. Les entités moyennes (50 à 249 employés) sont des « wichtige Einrichtungen » (entités importantes). Les entités essentielles font l'objet d'une surveillance proactive du BSI : le BSI peut vous auditer à tout moment, sans avoir besoin de preuves préalables de non-conformité.
Le secteur de la santé opère déjà sous des règles strictes de protection des données (GDPR, confidentialité des patients) et une réglementation sectorielle spécifique (KHZG, BSI KRITIS pour les hôpitaux plus importants). NIS2 ajoute une couche systématique de gestion de la cybersécurité : non seulement protéger les données des patients, mais sécuriser l'ensemble de l'infrastructure informatique qui fournit les soins. Si votre SIH tombe en panne, vous ne pouvez plus accéder aux dossiers des patients. Si votre PACS échoue, la radiologie s'arrête. Si vos dispositifs médicaux sont compromis, la sécurité des patients est en danger. NIS2 vous oblige à évaluer et gérer tous ces risques.
Système d'information hospitalier (SIH/KIS)
Le système clinique central : dossiers des patients, admissions, planification, documentation clinique, commandes et facturation. Des systèmes tels que SAP IS-H, Dedalus ORBIS, Agfa HealthCare ORBIS ou iMedOne. C'est l'actif informatique le plus critique : si le SIH est en panne, les opérations cliniques reviennent au papier et la qualité des soins chute immédiatement. Une entrée d'actif.
PACS et systèmes d'imagerie
Les systèmes d'archivage et de transmission d'images (PACS) stockent et distribuent les images médicales (radiographie, scanner, IRM, échographie). Étroitement intégrés au SIH via DICOM/HL7. Des systèmes tels que Sectra, Agfa Enterprise Imaging ou Philips IntelliSpace. Le PACS stocke d'énormes quantités de données et est souvent connecté aux modalités d'imagerie dans tout l'établissement. Une compromission peut bloquer la radiologie et le diagnostic.
Dispositifs médicaux en réseau
Moniteurs patients, pompes à perfusion, ventilateurs, robots chirurgicaux et équipements de diagnostic connectés au réseau de l'hôpital. Beaucoup fonctionnent sous des systèmes d'exploitation embarqués (Windows CE, variantes de Linux) aux capacités de mise à jour limitées. Les contraintes de certification FDA/MDR peuvent empêcher l'application de correctifs. Regroupez par type de dispositif : par exemple, « 35 moniteurs patients (Philips IntelliVue) » est une entrée. Ceux-ci nécessitent un traitement de sécurité particulier en raison des contraintes réglementaires.
Système d'information de laboratoire (SIL)
Systèmes gérant les flux de travail de laboratoire : suivi des échantillons, commande d'analyses, communication des résultats et contrôle qualité. Connectés aux analyseurs et au SIH. Le SIL affecte directement les délais de rendu des diagnostics. Si le SIL est compromis, les résultats de laboratoire ne peuvent être vérifiés ni communiqués, ce qui peut retarder les décisions thérapeutiques.
Infrastructure réseau
Le réseau clinique reliant le SIH, le PACS, les dispositifs médicaux et les systèmes administratifs. Comprend l'infrastructure filaire et sans fil, les pare-feu, la segmentation réseau entre zones cliniques et administratives, et le VPN pour l'accès à distance. La segmentation réseau est essentielle dans le secteur de la santé : les dispositifs médicaux, les systèmes cliniques, le Wi-Fi invité et l'informatique administrative doivent être sur des segments de réseau distincts.
Postes de travail et informatique administrative
Postes de travail cliniques, postes infirmiers, PC de bureau et appareils mobiles (tablettes pour les visites, smartphones). Applications bureautiques standard, messagerie et outils de communication. Grundschutz autorise le regroupement : « 120 postes de travail cliniques (clients légers) » est une entrée. Incluez la gestion des appareils mobiles (MDM) comme actif regroupé s'il est utilisé pour la communication clinique.
1. S'enregistrer auprès du BSI
Effectuez votre enregistrement au titre de l'article 33 BSIG. Les entités de santé classées comme essentielles font l'objet d'une surveillance proactive du BSI, ce qui signifie que le BSI peut vous auditer à tout moment. Être enregistré et démontrer un travail de conformité actif vous place dans une bien meilleure position que d'être découvert comme non enregistré lors d'un audit.
2. Constituer votre inventaire des actifs
Recensez tous les systèmes soutenant les soins cliniques, le diagnostic et l'administration. Portez une attention particulière aux dispositifs médicaux en réseau : de nombreuses organisations de santé ne disposent pas d'un inventaire complet des appareils connectés à leur réseau. Parcourez les étages, vérifiez auprès de l'ingénierie biomédicale et documentez ce qui est connecté. Vous ne pouvez pas sécuriser ce dont vous ignorez l'existence.
3. Mettre en place la notification des incidents
Les incidents de cybersécurité dans le secteur de la santé peuvent mettre des vies en danger. Votre plan de réponse aux incidents doit tenir compte de l'impact clinique : quels systèmes peuvent fonctionner en mode dégradé, quelles procédures de secours manuelles existent, quand dérouter les patients et qui prend ces décisions. Établissez la chaîne de notification au BSI (24 h/72 h/1 mois) et la chaîne d'escalade clinique interne en parallèle.
4. Renforcer les contrôles d'accès
Le secteur de la santé présente un défi unique en matière de contrôle d'accès : les cliniciens ont besoin d'un accès rapide aux données des patients dans des situations critiques, mais un accès large crée un risque. Mettez en œuvre des contrôles d'accès basés sur les rôles (RBAC) pour le SIH, imposez l'authentification multifactorielle pour l'accès à distance et les comptes administratifs, menez des revues d'accès trimestrielles et veillez à ce que les accès du personnel parti soient révoqués rapidement. Les procédures d'accès d'urgence (« bris de glace ») doivent être documentées et auditées.
5. Chiffrer les données des patients
Les données des patients comptent parmi les catégories de données les plus sensibles tant au titre du GDPR que de NIS2. Mettez en œuvre le chiffrement au repos pour les bases de données contenant les dossiers des patients et le chiffrement en transit pour tous les flux de données cliniques. Les images PACS, les messages HL7/FHIR et les résultats de laboratoire doivent tous circuler chiffrés. Documentez vos normes de chiffrement et vos procédures de gestion des clés : il s'agit d'une exigence spécifique de l'article 30.
Le secteur de la santé est confronté à une tension entre sécurité et flux de travail clinique qu'aucun autre secteur ne connaît à la même intensité. Un système verrouillé qui exige 30 secondes d'authentification à chaque poste de travail coûte du temps dans un service d'urgence où chaque seconde compte. La conformité NIS2 dans le secteur de la santé exige de trouver le juste équilibre : une sécurité forte pour l'accès administratif et distant, un accès simplifié mais audité pour les flux de travail cliniques, et des procédures de contournement d'urgence qui sont journalisées et examinées.
Les dispositifs médicaux en réseau constituent le plus grand défi non résolu du secteur. Un moniteur patient de 2018 peut fonctionner sous un système d'exploitation embarqué que le fabricant ne corrige plus. La certification FDA/MDR signifie que vous ne pouvez pas modifier le logiciel du dispositif sans recertification. La réponse réside dans des mesures compensatoires : segmentation réseau (isoler les dispositifs médicaux sur leur propre VLAN), surveillance du trafic, communication restreinte (les dispositifs ne dialoguent qu'avec les systèmes dont ils ont besoin) et planification du cycle de vie. Documentez tout : le BSI comprend la contrainte des dispositifs médicaux et évalue les mesures compensatoires comme valides.
Les organisations de santé qui participaient déjà à KRITIS (sous la BSI-KritisV initiale) bénéficient d'une avance significative. Les exigences KRITIS recoupent largement celles de NIS2. Si vous disposez de preuves d'audit KRITIS, utilisez-les comme base de référence et étendez-les pour couvrir les exigences supplémentaires de NIS2 : documentation formelle de la responsabilité de la direction (article 38), évaluation de la sécurité de la chaîne d'approvisionnement et les délais spécifiques de notification des incidents. Pour les organisations de santé hors KRITIS, les exigences NIS2 constituent la première fois que vous êtes confronté à une réglementation structurée de cybersécurité : commencez par le plan de 4 semaines et adaptez-le à votre environnement clinique.
Questions fréquentes
Nous sommes un hôpital de 200 lits. Sommes-nous essentiels ou importants ?
Le secteur de la santé relève de l'annexe I (secteurs de haute criticité). Si votre hôpital compte 250 employés ou plus, vous êtes classé comme entité essentielle. Avec moins de 250 employés mais plus de 50, vous êtes une entité importante. Si vous êtes déjà classé comme KRITIS (infrastructure critique), vous êtes automatiquement essentiel quelle que soit votre taille. Les entités essentielles font l'objet d'une surveillance proactive du BSI et relèvent du palier de sanction supérieur (jusqu'à 10 millions d'euros).
Nous ne pouvons pas corriger nos dispositifs médicaux. Comment nous conformer à NIS2 ?
NIS2 exige des mesures « appropriées et proportionnées », et non impossibles. Pour les dispositifs médicaux qui ne peuvent être corrigés en raison de contraintes du fabricant ou réglementaires : documentez le risque dans votre évaluation des risques, mettez en œuvre des mesures compensatoires (segmentation réseau, surveillance du trafic, communication restreinte), incluez la limitation dans votre évaluation du fournisseur pour le fabricant du dispositif, et maintenez un plan de cycle de vie en vue d'un remplacement à terme. Le BSI reconnaît explicitement que les environnements OT et de dispositifs médicaux requièrent des approches de sécurité adaptées.
La conformité au GDPR couvre-t-elle déjà nos obligations NIS2 relatives aux données des patients ?
Le GDPR couvre la protection des données (vie privée, consentement, licéité du traitement), tandis que NIS2 couvre l'infrastructure de sécurité qui protège ces données. Ils se complètent mais ne se substituent pas. Votre conformité au GDPR signifie que vous comprenez les flux de données et disposez de registres de traitement : cela aide. NIS2 ajoute : une gestion systématique des risques pour les systèmes informatiques traitant ces données, la notification des incidents au BSI (et pas seulement à l'autorité de protection des données), la sécurité de la chaîne d'approvisionnement pour les fournisseurs informatiques, et la responsabilité de la direction pour les mesures de cybersécurité.
Quel est le lien entre NIS2 et le financement KHZG (loi sur l'avenir hospitalier) ?
KHZG a financé la modernisation informatique des hôpitaux allemands, y compris les investissements en sécurité informatique. Si votre hôpital a reçu un financement KHZG pour des projets de cybersécurité, ces investissements répondent probablement à certaines exigences de NIS2. Toutefois, KHZG portait sur l'investissement, et non sur la gestion continue de la conformité. NIS2 exige une gestion continue des risques, des revues régulières, des processus de notification des incidents et une supervision par la direction : ce sont des pratiques opérationnelles, et non des projets ponctuels. Utilisez vos investissements KHZG comme fondation technique et construisez le cadre de gestion NIS2 par-dessus.