Les établissements de santé devront veiller à se conformer à de nouvelles normes en matière de sécurité.
Publication de la directive sur la sécurité des systèmes d’information
La directive européenne relative à la sécurité des systèmes d’information du 6 juillet 2016 (1), plus connue sous le nom « directive NIS », pour « network and information security », est entrée en vigueur le 9 septembre 2016, après sa publication au journal officiel le 19 juillet 2016.
Les Etats membres ont jusqu’au 9 mai 2018 pour transposer ladite directive. Les dispositions de la loi nationale devront être applicables au 10 mai 2018.
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de la transposition de la directive en lien avec l’ensemble des acteurs concernés (2).
L’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA) sera chargée d’aider les Etats membres pour la transposition de la directive.
La directive s’articule autour de quatre axes selon l’ANSSI :
- le renforcement des capacités nationales de cybersécurité ;
- l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création de groupes et réseaux ;
- le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société ;
- l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.
Notion d’« opérateurs de services essentiels »
Les établissements de santé, y compris les hôpitaux et les cliniques privées, sont qualifiés comme « opérateurs de services essentiels » au sens de la directive.
Les Etats membres devront pour le 9 novembre 2018 au plus tard, identifier les opérateurs de services essentiels, pour chaque secteur et sous-secteur.
Pour la santé, il s’agit des « prestataires de soins de santé » au sens de l’article 3, point g), de la directive 2011/24/UE relative aux soins transfrontaliers (3). Ceux-ci se définissent comme : « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ».
Cette définition extrêmement large dépasse la catégorie des établissements de santé. Il appartiendra à chaque Etat membre d’appliquer les critères d’identification détaillés à l’article 5 de la directive :
« a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information; et
c) un incident aurait un effet disruptif important sur la fourniture dudit service. »
En outre, cette notion d’opérateurs de services essentiels n’est pas sans rappeler celle d’ « opérateur d’importance vitale » (4), qui doivent se conformer à des normes de sécurité contraignantes, en raison de leur statut. L’ANSSI s’est assurée de la compatibilité de ces deux régimes.
Nouvelles obligations de sécurité
Les articles 14 et 15 de la directive détaillent les exigences de sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels.
Les opérateurs de services essentiels devront mettre en place des « mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ».
L’étendue des mesures à prendre est néanmoins restreinte à « l’état des connaissances ». Les opérateurs ne peuvent en effet être soumis à plus que ce qu’ils sont capables de réaliser.
A l’instar de ce qui est prévu par le Règlement européen de protection des données (5), les opérateurs auront également l’obligation de notifier « à l’autorité compétente ou au CSIRT [centres de réponse aux incidents de sécurité informatique], sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent. »
Des pouvoirs et des moyens adéquats devront être donnés par les Etats membres aux autorités compétentes afin d’exercer leur mission de contrôle sur les opérateurs de services essentiels. Si l’incident entraîne également une violation de données à caractère personnel, l’autorité compétente, en France l’ANSSI, devra coopérer étroitement avec la Cnil.
Les établissements de santé identifiés comme opérateurs de services essentiels devront ainsi veiller à leur mise en conformité avec les nouvelles normes de sécurité dès la transposition de la directive.
Marguerite Brac de la Perrière
Aude Latrive
Lexing Santé numérique
(1) Directive (UE) 2016/1148 du 6-7-2016.
(2) ANSSI, Actualité, « Adoption de la directive Network and information security (NIS) : l’ANSSI, pilote de la transposition en France ».
(3) Directive 2011/24/UE du 9-3-2011.
(4) Code de la défense, art. R1332-1 et s.
(5) Règlement (UE) 2016/679 du 27-4-2016.