Cybersécurité: tous les hôpitaux potentiellement concernés par la directive NIS 2

"Il est "très probable" que tous les établissements de santé publics comme privés seront concernés par la transposition dans le droit français de la directive européenne NIS (Network and Information Security) 2, a indiqué la coordinatrice sectorielle santé de l'Agence nationale de sécurité de systèmes d'information (Anssi), Laure Duhesme, le 13 juin au congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis).

Publiée le 27 décembre 2022 au Journal officiel de l'Union européenne, la directive entrera en vigueur au plus tard au second semestre 2024. L'Anssi, en tant que régulateur de NIS pour la France, est chargée de sa transposition.

Elle distingue les "entités essentielles" et les "entités importantes", qui auront des obligations de sécurité informatique différentes selon les cas.

Dans le secteur sanitaire, les établissements ayant plus de 250 salariés seront désignés d'office "entités essentielles", y compris les centres hospitaliers (CH), a indiqué Laure Duhesme.

Interrogée par le président de l'Apssis, Vincent Trély, sur la possibilité que les 3.000 hôpitaux français publics et privés puissent être concernés dès lors qu'ils ont plus de 250 employés, la représentante de l'Anssi a indiqué que c'est "très probable".

"Il faut que la plupart des hôpitaux se préparent à une désignation potentielle", a-t-elle ajouté.

Selon les "premières simulations", plus d'un tiers des établissements pourraient être entités essentielles, et un autre tiers, entités importantes, a fait savoir Jean-Baptiste..." Lire la suite