NIS 2 dans la santé

par

Mettre fin au mythe de l’obligation systématique

Le secteur de la santé est en proie à un discours omniprésent et souvent erroné : « NIS 2 est obligatoire pour nous. » Cette affirmation est, dans la majorité des cas, inexacte. L’application de la directive n’est pas sectorielle, mais repose sur une classification précise, déterminée par le rôle systémique de l’entité. La plupart des acteurs privés de la santé ne sont donc pas soumis d’office à cette obligation.

L’enjeu essentiel n’est pas d’« appliquer NIS 2 » par mimétisme ou pression du marché, mais d’établir objectivement si l’organisation remplit les critères juridiques précis de la directive.

Les deux niveaux de classification NIS 2

La directive distingue deux types d’entités concernées :

  • Entités essentielles (EE)
  • Entités importantes (EI)

Cette classification ne repose pas uniquement sur la taille, le secteur, ou le fait de collaborer avec un hôpital ou un laboratoire. Elle résulte d’une combinaison de critères : secteur, type d’activité, taille et rôle systémique, c’est-à-dire la place réelle que l’organisation occupe dans la continuité d’activités jugées critiques pour la société ou l’économie.

Éligibilité à la Directive NIS 2 : Résumé des Critères

Voici les règles principales concernant l’application de la directive NIS 2 en fonction de la taille et du chiffre d’affaires (CA) de votre entité :

1. Petite Entité (Exclusion de Principe)

  • Critères : Moins de 50 salariés ET CA inférieur à 10 M€.
  • Éligibilité NIS 2 ?Non.
  • Détails : L’entité bénéficie d’une exclusion de principe (sauf si elle relève d’une exception majeure ou d’un impact sociétal important).

2. Entité Standard (Éligibilité Conditionnelle)

  • Critères :50 salariés OU CA ≥ 10 M€.
  • Éligibilité NIS 2 ? ✔️ Potentiellement.
  • Détails : L’application est conditionnelle. L’entité est concernée uniquement si son activité figure spécifiquement à l’Annexe I (Entités Essentielles) ou à l’Annexe II (Entités Importantes) de la directive.

3. Cas Exceptionnel (Impact Sociétal)

  • Critères : Entité jugée comme ayant un impact sociétal majeur.
  • Éligibilité NIS 2 ? ✔️ Automatiquement.
  • Détails : Si l’impact sociétal est jugé critique (ex. : fournisseur unique essentiel, risque sécuritaire élevé), l’entité est soumise à NIS 2, même si elle n’atteint pas les seuils de 50 salariés ou de 10 M€ de CA.

Sans appartenance explicite à l’une de ces catégories, la directive ne s’applique pas.

CRITÈRES D’ENTITÉ ESSENTIELLE

Une société devient “entité essentielle” si elle opère dans un domaine jugé vital. Dans le cadre de la santé, cela ne concerne qu’un périmètre restreint :

  • Opérateurs de soins critiques (hôpitaux, structures de santé assurant un service public essentiel).
  • Fabricants de dispositifs médicaux considérés comme critiques pour la sécurité et la santé. Un dispositif médical, même implantable, n’est pas automatiquement considéré comme critique au sens de NIS 2. Ce critère est invalidé dès lors qu’il existe des produits substituables permettant d’assurer la continuité de la fonctionnalité. La notion de chiffre d’affaire et de la taille d’une société est également importante.
  • Fournisseurs d’infrastructures critiques (ex. infrastructures numériques indispensables à la continuité des soins au niveau national).

Ce périmètre est beaucoup plus étroit que ce que le marché laisse entendre.

Une entreprise privée développant des logiciels de santé, distribuant du matériel médical ou fabriquant des implants standards n’est pas automatiquement classée en entité essentielle.

CRITÈRES D’ENTITÉ IMPORTANTE

L’entité importante correspond à un second niveau : les organisations dont une défaillance aurait un impact sérieux mais non systémique.

Dans le domaine santé privé, seules certaines activités peuvent entrer dans cette catégorie :

  • Prestataires de services numériques assurant une part critique d’un service de santé élargi.
  • Fabricants de dispositifs médicaux à fort impact, mais non considérés comme critiques.
  • Opérateurs assurant une fonction technique ou logistique reliée à une chaîne d’approvisionnement essentielle.

Là encore, la majorité des PME privées ne remplit aucun de ces critères.

Exemple pratique : le cas d’un laboratoire orthopédique

Je travaille chez un fabricant de dispositifs médicaux implantables (prothèse orthopédique). Le CA de ma société est supérieur à 10 m€ et nous sommes moins de 50 salariés.

Nous sommes donc une entreprise moyenne potentiellement éligible à NIS 2. Nos produits sont-ils critiques pour la santé publique à grandes échelle ? Sauf cas exceptionnels, la réponse est majoritairement non. Si un laboratoire orthopédique est défaillant, ce qui arrive, il existe des produits substituables. Le caractère critique n’est donc pas valide. Ma société n’est donc pas éligible à NIS 2.

L’OUTIL OFFICIEL : CESSER L’INTERPRÉTATION

Pour éliminer toute ambiguïté, l’ANSSI met à disposition un simulateur officiel :

https://monespacenis2.cyber.gouv.fr/simulateur

Cet outil permet de statuer en quelques minutes. Sans résultat concluant à « entité essentielle » ou « entité importante », NIS 2 ne s’applique pas.

La directive n’est pas une recommandation. C’est une obligation conditionnelle. L’applicabilité doit être prouvée, pas supposée.

SI L’ENTREPRISE N’EST PAS CONCERNÉE

Ne pas entrer dans le périmètre NIS 2 ne signifie pas absence de responsabilité. Les exigences suivantes s’imposent indépendamment de toute directive :

  • authentification forte (MFA) ;
  • gestion structurée des accès ;
  • journalisation et surveillance ;
  • sauvegardes isolées et testées ;
  • patching et mises à jour régulières ;
  • gestion des prestataires et sous-traitants (contrats, audit) ;
  • processus de gestion des incidents.

Ce sont les fondations du bon fonctionnement d’un système d’information, qu’il soit ou non soumis à une obligation réglementaire.

LE RISQUE DE LA SUR‑CONFORMITÉ

Le danger du moment n’est pas la non‑application de NIS 2, mais :

  • la mise en place de projets disproportionnés ;
  • l’adoption de démarches lourdes sans obligation réelle ;
  • la confusion entre sécurité minimale et conformité réglementaire.

La démarche rationnelle demeure :

  1. Vérification du périmètre et du secteur d’activité.
  2. Confirmation de l’applicabilité juridique (via le simulateur ANSSI).
  3. Déploiement des mesures strictement requises.

Comme toute directive, NIS 2 est une directive contenant des demandes qui peuvent être conséquentes à mettre en place. En tant que responsable de système d’information, il est rare que vous ayez du temps ou du budget en trop. Mettre en place cette directive risque de se faire au détriment d’autres projets, voire, risque d’être non-productif pour votre structure. Ne nous ajoutons donc pas des projets non essentiels à notre charge actuelle.

CONCLUSION

Le secteur santé ne suffit pas à déclencher NIS 2. La directive repose sur une qualification précise, vérifiable via le simulateur ANSSI. La majorité des entreprises privées de santé n’entre pas dans ce périmètre. Pour autant, les fondamentaux de sécurité restent incontournables.

NIS 2 est un cadre. La sécurité est un devoir permanent. Ne pas confondre les deux est la première étape vers une gestion responsable du SI.