Directive NIS2 : ce que doivent savoir les établissements sanitaires et médico-sociaux en France

La directive NIS2 représente une évolution majeure dans le paysage juridique européen et national en matière de cybersécurité. Pour les établissements sanitaires et médico‑sociaux, qui traitent des données sensibles, assurent des services essentiels, et dépendent de systèmes d’information de plus en plus complexes, cette directive n’est pas une option. C’est une obligation, accompagnée d’enjeux considérables.

Quelles sont vos obligations ? Quels sont les impacts concrets de la directive NIS2 dans votre quotidien ? Quelles doivent être les étapes pour vous y conformer efficacement ?

La directive NIS2 : fondements, contenu et portée

Dans un contexte de menace cyber croissante, les institutions européennes ont renforcé leur cadre réglementaire en matière de sécurité numérique. La directive NIS2 s’inscrit dans cette dynamique. Elle fixe des exigences harmonisées et ambitieuses pour mieux protéger les infrastructures critiques et les services essentiels dans toute l’Union européenne.

Origine et objectifs de la directive NIS2

La directive NIS2 (Network and Information Security 2) (1) a été adoptée par le Parlement européen et le Conseil le 14 décembre 2022, sous la référence (UE) 2022/2555 (2). Elle vise à établir un niveau élevé commun de cybersécurité à travers tous les États membres en renforçant et élargissant les exigences de la première directive NIS (2016 (3)). Ses ambitions principales consistent à :

• mieux protéger les réseaux et systèmes d’information essentiels;
• renforcer les chaînes d’approvisionnement;
• accroître la résilience;
• imposer une gouvernance plus rigoureuse;
• harmoniser les sanctions en cas de manquement.

L’un des objectifs clefs de la directive NIS2 est de réduire les vecteurs de vulnérabilité tout au long des réseaux numériques et des fournisseurs (dits « tierce partie » dans la loi). Elle impose non seulement la sécurité de vos propres infrastructures, mais aussi la sécurité de vos partenaires, prestataires et fournisseurs. Pour les établissements de santé, cela peut inclure les éditeurs de logiciels de santé, les fournisseurs de dispositifs médicaux connectés ou d’hébergement de données de santé, les entreprises de maintenance informatique, etc

Champ d’application : quelles entités sanitaires et médico‑sociales sont concernées par NIS2 ?

La directive NIS2 s’adresse explicitement au secteur de la santé. En France, les établissements sanitaires ou médico‑sociaux sont concernés si les seuils (nombre de salariés et chiffre d’affaires) sont atteints. La nature des services rendus par un établissement joue aussi : les hôpitaux, les laboratoires, les cliniques, les structures de soins de longue durée, ainsi que tout service dépendant fortement des infrastructures numériques ou du traitement de données de santé sont susceptibles d’être éligibles.

Obligations principales : gouvernance, gestion des risques, incidents, résilience

Les établissements concernés par la directive NIS2 doivent :

• mettre en place une gouvernance formelle de la cybersécurité : impliquer la direction, nommer un RSSI (Responsable Sécurité des Systèmes d’information (4)) ou équivalent, définir clairement son rôle et ses responsabilités, faire approuver les politiques de sécurité par la direction, superviser la conformité ;
• établir une gestion des risques régulière et documentée : identifier les actifs (matériels, logiciels, données), évaluer les menaces cyber pour l’établissement, vulnérabilités et impacts, dresser un plan de traitement des risques avec des mises à jour périodique ;
• assurer la sécurité opérationnelle : mesures techniques telles que l’authentification forte, chiffrement, protection contre les intrusions, sécurité des dispositifs connectés médicaux et des logiciels, sauvegardes, etc. ;
• mettre en place des procédures de notification des incidents : notification rapide (dans les délais légaux) aux autorités compétentes, communication interne, rapport final, etc. ;
• prévoir la continuité des activités et la reprise après sinistre : plans de continuité (PCA (5)), plans de reprise (PRA), exercices, redondance (mise en place de systèmes ou composants doublés (ou multiples) pour garantir la continuité de service en cas de défaillance), tests réguliers.
• Renforcer les obligations contractuelles et le niveau de contrôle sur la chaine d’approvisionnement

Impacts concrets pour les établissements sanitaires et médico‑sociaux en France

La directive NIS2 touche de nombreux établissements. Voici comment elle se traduira concrètement, et ce que cela impliquera, avec un accent sur les aspects souvent critiques dans votre secteur.

Transposition française de la directive NIS2 : quels seuils et quelles implications pour les établissements ?

La France a amorcé la transposition de la directive NIS2 par le biais du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 15 octobre 2024 (6). Ce texte, adopté par le Sénat en mars 2025, prévoit l’intégration dans le droit français des nouvelles obligations européennes imposées aux entités essentielles, y compris dans le secteur de la santé. Il doit néanmoins encore suivre le processus législatif complet, notamment l’examen et l’adoption par l’Assemblée nationale, puis promulgation par le Président.

Le cadre légal est donc en cours de finalisation, et plusieurs décrets d’application viendront préciser les contours opérationnels de cette transposition.

Niveaux d’ « importance » des établissements concernés par NIS2 en France

Dans le secteur sanitaire et médico-social, la directive NIS2 s’applique dès lors que certains seuils sont atteints, conformément aux critères définis au niveau européen, et repris dans les propositions françaises. Deux principaux niveaux d’entités sont distingués :

• Les entités importantes, qui correspondent à des établissements de taille moyenne, devraient désigner les établissements qui comptent plus de 50 salariés, et dont le chiffre d’affaires annuel et leur bilan dépassent 10 millions d’euros
• Les entités essentielles, quant à elles, devraient regrouper des structures de grande taille, typiquement à partir de 250 salariés. Il faut surtout qu’elles aient un impact significatif sur le fonctionnement de services critiques.

Ces critères sont issus des travaux préparatoires à la loi et des analyses publiées par les experts du secteur. Toutefois, la version définitive des seuils français pourra faire l’objet d’ajustements à travers les textes réglementaires à venir. Il est également à noter que certaines entités pourront être désignées comme essentielles ou importantes même sans atteindre ces seuils, si leur rôle dans le système de santé est jugé critique par les autorités (impact potentiel, dépendance forte aux infrastructures numériques, etc.).

Quels établissements concernés par NIS2 ?

Au-delà de la taille ou du chiffre d’affaires, la nature des services rendus par l’établissement est également déterminante. La directive s’applique notamment aux :

• établissements de soins (publics ou privés),
• laboratoires,
• prestataires de services numériques en santé,
• hébergeurs de données de santé (HDS),
• éditeurs de logiciels métiers,
• tout acteur impliqué dans la gestion de dispositifs médicaux connectés ou dans des services fortement dépendants des technologies de l’information.

Cette entité devrait être l’autorité compétente pour l’application de la directive, en lien avec les autorités sanitaires (comme les agences régionales de santé (ARS) ou le ministère de la Santé). Ces entités devraient alors émettre des recommandations en termes de mécanismes de désignation formelle, de notification obligatoire des incidents et de contrôle des obligations.

Il convient également de souligner que cette transposition s’articule avec des obligations déjà en vigueur, comme le règlement général sur la protection des données, RGPD (7) et la Certification des Hébergeurs de données en Santé, HDS (8). Ainsi, ne pas recourir à un hébergeur de données de santé agréé peut, dans le cadre de NIS2, être considéré comme une non-conformité en matière de sécurité, avec des conséquences juridiques potentiellement accrues.

Dans l’attente de la publication des décrets d’application, il est recommandé aux établissements de santé et médico-sociaux de procéder à un diagnostic de maturité cybersécurité. Nous conseillons aussi d’anticiper sur votre niveau d’exposition réglementaire, et de commencer à structurer votre gouvernance cyber.

Données de santé, hébergement et dispositifs médicaux

Les établissements sanitaires manipulent systématiquement des données de santé, classées parmi les données personnelles les plus sensibles selon le RGPD. Sous directive NIS2, il faudra protéger la confidentialité, l’intégrité et la disponibilité de ces données. Il faudra aussi démontrer que des mesures techniques et organisationnelles adéquates ont été prises (chiffrement, accès contrôlé, journalisation, traçabilité).

Si vous ou vos prestataires hébergez des données de santé, la certification ou l’agrément HDS reste un point critique. NIS2 ne supprime pas cette obligation sectorielle, mais la complète. Les exigences de sécurité seront plus strictes, les audits plus attendus, la preuve de conformité devra être disponible.

Concernant les dispositifs médicaux connectés, les logiciels de gestion des patients, les systèmes d’information hospitaliers ou médico‑sociaux, leur sécurité sera scrutée : mises à jour régulières, protection des flux, segmentations réseau, contrôle des versions, vulnérabilités corrigées, etc. Tout dispositif non maintenu ou non sécurisé peut devenir un point d’entrée pour des attaques. Il peut donc compromettre la continuité des soins, ou même mettre en danger les patients.

Ressources humaines, gouvernance, culture de sécurité

Ce ne sont pas seulement les infrastructures matérielles et logicielles qui doivent évoluer. Les établissements doivent investir dans la gouvernance interne. Cela signifie que le RSSI ou équivalent dispose d’une délégation claire. Il faut aussi que tous les services (soins, administratif, logistique) soient intégrés dans la stratégie de sécurité.

Contraintes budgétaires, techniques et de temps

Se mettre en conformité avec la directive NIS2 exiger des investissements : outils de sécurité, personnel formé, audits, moyens de continuité et de reprise, etc. Pour de nombreux établissements, en particulier ceux de taille moyenne ou petite, cela peut constituer une charge importante.

Techniquement, il va falloir parfois :

• moderniser les infrastructures,
• améliorer la maintenance des dispositifs médicaux et systèmes informatiques,
• renforcer la sécurité des IoT médicaux (ou objets connectés médicaux),
• segmenter les réseaux (diviser un réseau informatique en sous-réseaux isolés pour limiter la propagation des attaques, mieux contrôler les accès, et renforcer la sécurité des systèmes sensibles),
• garantir une redondance des services critiques.

Se préparer à la directive NIS2 : étapes recommandées

Pour faire face à la directive NIS2 de manière efficace et maîtrisée, voici une feuille de route en plusieurs phases, avec les actions que tous les établissements sanitaires et médico‑sociaux devraient envisager dès maintenant.

Phase de diagnostic et état des lieux

Commencez par vérifier si votre établissement est concerné comme « entité essentielle » ou « importante », selon les critères de la loi de transposition en France. Cela implique un recueil d’informations sur la taille, le type de services, le niveau de dépendance aux systèmes d’information, et le positionnement dans une chaîne critique.

Ensuite, réalisez un inventaire complet des actifs informatiques, des dispositifs médicaux connectés, des logiciels, des données, des fournisseurs et sous‑traitants. Évaluez les vulnérabilités techniques actuelles, les procédures en place, les moyens humains. Enquêtez sur les processus de réponse aux incidents existants et vos éventuelles mesures de reprise d’activité.

Phase de planification du plan de conformité

À partir du diagnostic, définissez un plan d’action clair, hiérarchisé, avec des objectifs à court, moyen et long terme. Identifiez les mesures prioritaires : celles qui réduisent le plus le risque, celles qui protègent les fonctions essentielles, celles qui seront exigées rapidement par la législation ou par les autorités de contrôle.

Associez ces mesures aux ressources humaines, techniques et financières disponibles. Désignez ou renforcez la fonction de gouvernance (direction, RSSI, comité de pilotage). Définissez les responsabilités, instaurez des indicateurs de suivi, des jalons, et prévoyez des revues périodiques.

Phase de mise en œuvre et suivi

Mettez en place les mesures techniques et organisationnelles décidées : amélioration de la sécurité réseau, authentification, chiffrement, sauvegarde, continuité, redondance, procédures d’incident, etc. Formalisez les politiques, les procédures, les rôles, la documentation.

Organisez des formations, des sensibilisations, des exercices pratiques. Testez vos PCA/PRA, menez des exercices de crise, vérifiez que les prestataires respectent leurs obligations contractuelles de sécurité.

Mettez en place un système de surveillance, d’audit, d’évaluation continue : ni la conformité légale, ni la cybersécurité ne sont des chantiers ponctuels. Revoyez régulièrement ce qui est en place, corrigez ce qui ne fonctionne pas, adaptez-vous aux nouveaux risques. Restez informés des évolutions réglementaires et techniques.

Formation des managers à la gestion des risques cyber dans le cadre de la directive NIS 2

Un moyen de s’assurer que votre établissement est prêt pour la directive NIS2 est de former les managers, notamment la direction, les cadres, les responsables du risque, de la sécurité des systèmes d’information.

Présentation de la formation

La « Formation des managers à la gestion des risques cyber dans le cadre de la directive NIS 2 » est proposée à la fois en présentiel et en distanciel.

Ses grands objectifs sont :

• interpréter les enjeux et exigences de la directive NIS2 ;
• assimiler les principes de la gestion des risques cyber ;
• piloter la résilience de votre établissement.

Ce que la formation apporte concrètement

Cette formation permet d’acquérir une compréhension approfondie des obligations la directive NIS2 impose aux acteurs du soin concernés par les contraintes légales, de protection des données de santé, d’hébergement et de sécurité des dispositifs médicaux.

Elle aide à préciser les responsabilités des managers dans la gouvernance de la cybersécurité : qui fait quoi ? Comment faire remonter un risque ? Sous quelles conditions déclencher une alerte ? etc. Cela clarifie les rôles, ce qui réduit les risques d’oubli ou de malentendu, de responsabilité non assumée.

Elle permet de construire ou ajuster un plan de pilotage de la résilience : prévoir les actions, hiérarchiser les moyens, organiser la réponse aux incidents, s’assurer que les ressources – humaines, techniques, financières – sont disponibles et coordonnées.

Cette formation facilite aussi la mise en place ou le renforcement d’une culture de sécurité, de la sensibilisation, de la formation interne, et de la coordination entre services (soins, administratif, informatique, logistique).

Vers une conformité durable : ce que la directive NIS2 change réellement

Pendant longtemps, les établissements sanitaires et médico‑sociaux ont fonctionné sous des obligations de sécurité de l’information, de protection des données personnelles (RGPD), de conformité HDS, etc. NIS2 ne supprime pas ces obligations, mais les complète, en les renforçant, en les systématisant, et en les rendant plus contraignantes.

Par exemple, le besoin de traçabilité des incidents, la gouvernance directe de la direction générale, la responsabilité accrue des dirigeants, les sanctions plus sévères, la surveillance des chaînes d’approvisionnement… autant d’éléments sur lesquels la marge de manœuvre devient plus réduite. En outre, la conformité n’est plus jugée uniquement sur ce que vous avez mis en place. Elle dépend aussi de votre capacité à démontrer que cela fonctionne (audits, exercices, tests, pratiques de continuité).

Conclusion : que faire maintenant pour maîtriser la directive NIS2 ?

La directive NIS2 n’est pas simplement un texte réglementaire de plus. Elle structure la façon dont les établissements sanitaires ou médico‑sociaux doivent garantir la sécurité, la résilience et la confiance dans un monde numérique de plus en plus exposé aux menaces. Le respect de NIS2 devient non seulement une obligation légale, mais un vecteur de qualité, de fiabilité, de crédibilité.

Pour avancer efficacement :

• Intégrez dès aujourd’hui la directive NIS2 dans vos réflexions stratégiques : à la gouvernance, au budget, aux investissements.
• Identifiez les parties prenantes internes : direction, RSSI, informaticiens, responsables, logistique, ressources humaines.
• Mettez en place une formation telle que celle de Relyens pour les managers, afin que les décisions soient éclairées.
• Démarrez un diagnostic : état des lieux, cartographie, identification des écarts.
• Prévoyez les ressources (techniques, humaines, financières) et un pilote capable de suivre, mesurer et rendre compte de la conformité.

Ressources officielles

1. NIS 2 présentée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
2. NIS 2 version 2022, 2022/2555
3. NIS version 2016, 2016/1148
4. Définition officielle du RSSI
5. Plan de continuité (PCA)
6. Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 15 octobre 2024
7. Règlement général sur la protection des données (RGPD)
8. Certification des Hébergeurs de données en Santé, HDS