Les articles WELIOM

DIRECTIVE NIS 2 – TOUS CONCERNÉS

Au commencement

Face à la transformation numérique rapide et l’exposition à de nouvelles cybermenaces, le parlement Européen et l’Union Européenne ont adopté en juillet 2016 la directive NIS : Network and Information Security.

Transposée dans le droit français en 2018, la directive avait pour objectif d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’informations dans toute l’UE. Pour cela, les Opérateurs de Services Essentiels (OSE) disposent de 3 ans pour appliquer 23 règles de sécurité.

Certains établissements de santé sont concernés par la Directive et la liste s’élargit en 2021 avec la nomination des 135 établissements supports de GHT en tant qu’OSE.

La Directive NIS 1 suffisante ?

En 2023, le constat est le suivant : les cyberattaques sont de plus en plus perfectionnées et la menace évolue plus rapidement que le niveau de sécurité du secteur de la santé.

Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit ses objectifs et son périmètre d’application pour apporter davantage de protection.

Elargir le périmètre d’application …

Des entités concernées

Avec NIS2, on ne parle plus d’Opérateurs de Services Essentiels. Structures privées ou publiques, sanitaire ou médicosocial, l’ensemble du secteur de la Santé sera désormais concerné par la nouvelle Directive.

En santé, il y aura 2 types d’entités différentes : essentielles et importantes. Elles sont déterminées en fonction de leur chiffre d’affaires, leur bilan annuel et leur nombre d’employés :

La Directive NIS2 ne s’appliquera pas totalement de la même façon pour une entité essentielle et une entité importante.

A l’ensemble du SI

Avec NIS2, on ne parle plus non plus de Services Essentiels ou Systèmes d’Information Essentiels (SIE). Les mesures de sécurité ne sont plus restreintes aux SIE mais à l’ensemble des réseaux et systèmes d’information utilisés par les entités dans le cadre de leurs activités.

Comment se préparer ?

Le cas du secteur Sanitaire

Même si la directive NIS 2 n’a pas encore été transposée dans le droit français, nous pouvons anticiper ses impacts et capitaliser sur le retour d’expérience de la mise en en œuvre de la directive NIS 1.

Cette NIS 1 a pu être perçue comme un nouveau référentiel (de plus) à mettre en œuvre et mobilisant des ressources humaines et financières (souvent limitées) très importantes. Le principal enjeu était donc de réussir à impliquer les directions dans la démarche, afin d’obtenir des ressources adaptées, ainsi que les opérationnels, afin de mettre en œuvre les règles de la NIS 1. 

Dans ce contexte, une approche ISO 27 001 (ou HDS) est une opportunité pour les organisations qui souhaitent faire évoluer leur niveau de maturité tout en répondant aux exigences réglementaires auxquelles elles sont soumises. La mise en place d’un SMSI permet de structurer une démarche d’amélioration continue de la sécurité et notamment de :

  • Recueillir le leadership de la Direction
  • Diffuser une culture sécurité au sein des équipes

Ces deux facteurs sont essentiels pour obtenir les moyens nécessaires à la mise en œuvre des mesures de sécurité exigées de toutes parts (programmes nationaux, Directives NIS, ISO 27 001 et HDS, etc.). 

La démarche de certification est d’autant plus intéressante que les mesures de sécurité de l’annexe A de l’ISO 27 001 couvrent la grande majorité des règles de sécurité de la directive NIS. 

Le cas du secteur Médico-social

La transition numérique du secteur médico-social, dynamisée par le programme ESMS Numérique, est quant à elle assez récente. L’intégration de la sécurité dans les pratiques est un effort à maintenir sur le long terme et doit se faire de façon progressive.

Pour initier cette démarche de sécurisation du SI et des pratiques, les établissements médico-sociaux peuvent se baser sur le guide de l’ANS « La cybersécurité pour le social et le médico-social en 13 questions ». Ces 13 actions, définies comme prioritaires, sont issues de l’état de l’art cyber actuel. Il est donc fort probable que la directive NIS 2 reprendra tout ou partie de ces exigences de sécurité. 

L’accompagnement WELIOM

Pour anticiper cette nouvelle réglementation, WELIOM vous accompagne dans vos démarches de sécurisation de votre système d’information.

Pour en savoir plus sur nos accompagnements SSI : Certification ISO 27001 / HDS, Etat des lieux SSI (PGSSI-S, Directive NIS 1, Guide d’hygiène de l’ANSSI, Guide « la cybersécurité pour le social et le médico-social en 13 questions »), Analyse de risques SSI etc… ,

les actualités weliom récentes

lire
RETOUR SUR LE 11ÈME CONSEIL DU NUMÉRIQUE EN SANTÉ02/07/2024
Le 11ème Conseil du Numérique en Santé s'est tenu ce 18 juin au ministère de la Santé. Nathalie Bessis Levy, Senior Manager WELIOM y a assisté et nous en fait un résumé. 
Publications

lire
LE NUMÉRIQUE EST-IL FACILITATEUR DE PARCOURS ?25/06/2024
C'est la question brillamment abordée lors de la conférence "Numérique facilitateur de parcours de santé, de soins et de vie" organisée par l’université Paris Dauphine [...]
Publications

lire
LE NOUVEAU REFERENTIEL HDS 2024 : CE QUE VOUS DEVEZ SAVOIR13/06/2024
Il s’était fait attendre, le nouveau référentiel d’Hébergement des Données de Santé (HDS) est paru le 16 mai dernier au Journal Officiel. Les organisations concernées [...]
Non classéPublications