Data Protect Consulting

Directive NIS2 et impacts pour un sous-traitant du secteur hospitalier

by

dataprotectconsulting
in

Contexte et Entrée en Vigueur

    La directive (UE) 2022/2555, dite NIS2, a été adoptée le 14 décembre 2022 et publiée le 27 décembre 2022. Elle vise à renforcer la cybersécurité des secteurs critiques, notamment la santé.


    Les États membres doivent la transposer avant le 17 octobre 2024.

    La directive NIS 2 entrera donc en vigueur en France le 17 octobre 2024. Cependant, cette date marque seulement la limite pour la transposition du texte dans la loi nationale française, et non pas le début de son application effective.

    Voici les principales échéances à retenir :

    • 15 octobre 2024 : Le projet de loi de transposition a été présenté en conseil des ministres et déposé au Sénat.
    • 17 janvier 2025 : Date limite pour que la France informe la Commission européenne des règles et mesures adoptées.
    • 17 avril 2025 : Date limite pour déposer la liste des entités importantes (EI) et entités essentielles (EE) concernées.

    L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a annoncé une approche progressive pour la mise en conformité. Elle accordera aux entités régulées un délai de transition jusqu’à fin 2027 avant d’appliquer des sanctions pour non-conformité. 

    Cependant, certaines mesures, comme la déclaration des incidents majeurs, devront être mises en place dès l’entrée en vigueur de la loi.

    Il est fortement recommandé aux organisations concernées de ne pas attendre la fin de la période transitoire pour entamer leur mise en conformité

    Impact immédiat : Les structures hospitalières, considérées comme entités essentielles, devront s’assurer que leurs sous-traitants respectent les obligations de cybersécurité.

    Qui est concerné ?

    • Hôpitaux et établissements de santé : Ils sont directement soumis à NIS2 et devront sécuriser leurs infrastructures et leurs données.
    • Sous-traitants (maintenance, IT, services numériques, fabricants d’équipements médicaux, etc.) :
      • Ils seront indirectement concernés car les hôpitaux devront imposer des garanties de cybersécurité à leurs partenaires.
      • Un prestataire non conforme pourrait perdre des contrats ou se voir imposer des clauses strictes de mise en conformité.

    Vous êtes concerné est donc concerné dans les cas suivants :

    • Fourniture de services de maintenance, d’équipements ou d’infrastructures IT à des hôpitaux.
    • Traitement ou accès aux données des patients ou aux systèmes informatiques hospitaliers.

    Obligations Clés de NIS2 pour un Sous-Traitant

    • Sécurisation des systèmes et des services
      • Renforcement des mesures techniques et organisationnelles pour réduire les risques cyber (contrôles d’accès, chiffrement, surveillance des réseaux, etc.).
      • Contrôles réguliers pour identifier les vulnérabilités.
    • Gestion des incidents
      • Obligation de notification sous 24h en cas d’incident grave impactant un client hospitalier.
      • Rapport détaillé sous 72h et mise en place de mesures correctives.
    • Responsabilité des dirigeants
      • Formation obligatoire des dirigeants et responsables à la cybersécurité.
      • Risque de sanctions en cas de négligence ou de non-respect des exigences.
    • Sanctions
      • Amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
      • Suspension de l’activité possible en cas de manquements graves.

    Un Risque Majeur : L’Absence de Conformité RGPD

    Point de vigilance : En tant que sous-traitant du secteur hospitalier, vous traitez potentiellement des données de santé, directement ou indirectement, qui sont des données sensibles protégées par le RGPD.

    Problème : Sans conformité RGPD, le risque de sanctions, est non négligeable. Ce risque est accru avec NIS2, les exigences de sécurité étant encore renforcées.

    Double risque :

    • Perte de contrats : Les hôpitaux et établissements de santé ne pourront plus travailler avec des prestataires non conformes RGPD et non sécurisés.
    • Sanctions cumulées : Un incident de sécurité pourrait entraîner à la fois une sanction RGPD (CNIL) et une sanction NIS2 (autorité nationale de cybersécurité).

    Recommandation prioritaire :

    • Mise en conformité RGPD en urgence pour éviter des clauses contractuelles restrictives ou une exclusion des appels d’offres hospitaliers.
    • Alignement avec NIS2 pour garantir la sécurité des systèmes et des données.

    Actions Recommandées pour Anticiper NIS2 et le RGPD

    A. Audit de conformité RGPD et cybersécurité

    • Vérifier le niveau actuel de conformité et identifier les écarts.
    • Sécuriser les flux de données entre le prestataire et ses clients hospitaliers.

    B. Mise en place de mesures de cybersécurité adaptées

    • Gestion des accès aux données sensibles.
    • Sauvegardes régulières et chiffrement des données.
    • Surveillance et détection des cyberattaques.

    C. Sensibilisation et formation

    • Former les équipes internes sur les obligations RGPD et NIS2.
    • Intégrer la cybersécurité dans les contrats et processus internes.

    D. Préparation à la gestion des incidents

    • Définir un processus de notification des incidents aux clients hospitaliers.
    • Tester régulièrement les réponses aux incidents cyber.

    E. Revue des contrats avec les clients hospitaliers

    • Anticiper les nouvelles exigences contractuelles NIS2 imposées par les hôpitaux.
    • Mettre en place des clauses de cybersécurité et de protection des données conformes.

    Commentaires

    Laisser un commentaire