Opérateurs de services essentiels dans le secteur de la santé

opérateurs de services essentielsL’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE ainsi que certains hébergeurs de données de santé qui proposent des services cloud.

1. Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de service essentiel qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de services numériques (les FSN).

2. Opérateurs de service essentiels dans le secteur de la santé

2.1. Définition des opérateurs de services essentiels

Les OSE sont des «opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services» (Loi n° 2018-133 art. 5).

En application de l’article 5 de la loi, «ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans».

Ainsi, les structures de santé ne peuvent être concernées par ces textes que si elles sont désignées par le Premier ministre en tant qu’OSE.

A noter que cette définition est similaire à celle des opérateurs d’Importance vitale dont la notion figure déjà aux articles L. 1332-1 et L. 1332-2 du Code de la défense qui sont exclus des OSE, conformément à l’article 5 de la loi susvisée, pour les systèmes d’information visés par cette réglementation.

2.2 Désignation des opérateurs de services essentiels dans le secteur de la santé

Peuvent être désignés OSE les opérateurs fournissant un des services :

  • mentionnés à l’annexe du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et FSN (2). Dans le secteur de la santé, différents sous-secteurs sont visés :
    • les établissements de soins de santé (y compris les hôpitaux et les cliniques privées) : ce sous-secteur concerne les prestataires de soins de santé et les prestataires fournissant un service d’aide médicale d’urgence ;
    • les produits pharmaceutiques : la distribution pharmaceutique par les grossistes répartiteurs pharmaceutiques ;
    • les mutuelles sont également visées pour les services d’assurance vie, d’assurance non-vie et de réassurance.
  • dont la fourniture requiert des réseaux et systèmes d’information et qu’un incident affectant ces réseaux et systèmes aurait sur la fourniture du service, des conséquences graves, appréciées au regard de différents critères (nombre d’utilisateurs dépendant du service, dépendance des autres secteurs d’activité mentionnés à l’annexe du décret, conséquence de l’incident en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité juridique, etc.).

Sur la base de ces critères, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise dans sa FAQ (3) qu’elle proposera au Premier ministre, en coordination avec les ministères compétents, une liste d’OSE potentiels et poursuit en indiquant les étapes du processus de désignation des OSE. Par exemple, pour un établissement de santé :

  • une lettre d’intention de désignation est adressée à l’établissement de santé pressenti OSE ;
  • l’établissement de santé pressenti OSE peut émettre des réserves ;
  • le Premier ministre prend ou non la décision de désigner l’établissement de santé comme OSE, par arrêté.

2.3 Obligations des opérateurs de services essentiels dans le secteur de la santé

Lorsqu’ils sont désignés OSE, ces opérateurs sont tenus de respecter les obligations suivantes :

  • désigner une personne chargée de le représenter auprès de l’Anssi et communiquer ses coordonnées dans un délai de deux mois à compter de la date d’effet de l’arrêté de désignation (Loi n° 2018-133 art. 5) ;
  • déclarer les réseaux et systèmes d’information considérés comme essentiels dans un délai de trois mois à compter de la date d’effet de l’arrêté de désignation, c’est-à-dire nécessaires à la fourniture des services essentiels mentionnés ci-dessus, y compris les réseaux et systèmes d’information dont l’exploitation a été confiée à un tiers. Les modalités des déclarations sont prévues par un arrêté du 13 juin 2018 (4), lequel prévoit que :
    • la communication des réseaux et systèmes d’information est accompagnée, pour chaque réseau et système d’information, d’un formulaire complété, disponible sur le site de l’Anssi ;
    • l’OSE communique une fois par an à l’Anssi la liste et les formulaires mis à jour.
  • appliquer à leurs frais les règles de sécurité nécessaires à la protection des réseaux et des SI fixées par arrêté du Premier ministre dans les domaines suivants : gouvernance de la sécurité des réseaux et des SI, protection des réseaux et des SI, défense des réseaux et des SI, résilience des activités (décret n° 2018-384, art. 10) ;
  • déclarer, sans délai après en avoir pris connaissance, à l’Anssi, «les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services» (arrêté du 13-6-2018, art. 3) :
    • après consultation de l’OSE, l’Anssi peut informer le public d’un incident ;
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’OSE. Par exemple, concernant un établissement de santé désigné OSE, il sera également tenu de signaler à l’ARS tout incident grave de sécurité des systèmes d’information de santé et à la Cnil toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques comme nous l’avions présenté dans un précédent article ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’OSE mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises par l’OSE permettant d’y répondre ;
    • l’OSE doit transmettre le formulaire par voie électronique ou postale dès qu’il a connaissance d’un incident, y compris s’il ne dispose pas de toutes les informations requises. Dans cette dernière hypothèse, il complète le formulaire dès qu’il connait ces informations.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information de santé nécessaire à la fourniture des services essentiels (décret n° 2018-384, art. 13 et suivants).

2.4 Sanctions des opérateurs de services essentiels

L’article 9 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les OSE. Ainsi, la loi prévoit que le fait pour les dirigeants des OSE de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 100 000 € d’amende.

Est également puni de 75 000 € d’amende le fait, pour les dirigeants des OSE de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 125 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
(2) Décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.
(3) Anssi, FAQ – Opérateurs de services essentiels (OSE).
(4) Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.




Directive NIS : enjeux pour les OSE (OIV en France)

Directive NIS : enjeux pour les OSE (OIV en France)La transposition de la directive NIS entrée en vigueur le 19 juillet 2016, doit intervenir au plus tard le 9 mai 2018.

La directive NIS (1) (Acronyme de Network and Information Security) adoptée par le Parlement européen et le Conseil le 6 juillet 2016 et dont les dispositions d’appliqueront dans les Etats membres de l’Union dès le 10 mai 2018, définit des critères permettant aux Etats de l’Union d’évaluer si une entité fournit ou non des services nécessaires au maintien de fonction sociétales ou économiques critiques.

Toutefois, au cours de la période de transposition, le groupe de coopération et le réseau des centres de réponse aux incidents de sécurité informatiques (CSIRT) devront commencer à s’acquitter des tâches définies à l’article 11, paragraphe 3 (Points a) à l)) et à l’article 12, paragraphe 3 (Points a) à j)), au plus tard le 9 février 2017.

L’harmonisation minimale et l’évaluation biennale

La directive NIS opère une harmonisation minimale. En effet, les Etats membres peuvent adopter ou maintenir des dispositions dans leur droit national pour atteindre un niveau de sécurité plus élevé que celui obtenu avec la mise en œuvre de la directive NIS.

Au plus tard le 9 mai 2018, puis tous les deux ans à compter de cette date, les Etats membres de l’Union devront communiquer à la Commission les informations nécessaires pour l’évaluation de la mise en œuvre de la directive NIS.

La directive NIS est sans préjudice des mesures prises par les Etats pour préserver leurs fonctions étatiques essentielles et en particulier la sécurité nationale et en particulier la divulgation des informations considérées comme contraire aux intérêts essentiels de sécurité et de maintien de l’ordre public (détection des infractions pénales, enquêtes et poursuites) (3).

L’opérateur de services essentiels

L’article 4 paragraphe 4) de la directive NIS donne une définition légale de l’opérateur de services essentiels (OSE). Il s’agit de toute « entité publique ou privée » dans l’un des secteurs ou sous-secteurs décrits ci-après, qui répond aux trois critères d’identification de l’article 5 paragraphe 2) de la directive, à savoir :

  • l’entité fournit un service qui est essentiel au maintien d’activités sociales et économiques critiques ;
  • la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
  • un incident aurait un effet disruptif important sur la fourniture dudit service.

A compter du 9 mai 2018, les Etats de l’Union auront également l’obligation de procéder à un réexamen ainsi qu’à une mise à jour de la liste des opérateurs de services essentiels identifiés.

Les secteurs ou sous-secteurs concernés

Les secteurs au sein desquels les opérateurs de services essentiels fournissent des services tributaires des réseaux et des systèmes d’information sont au nombre de 7. Il s’agit des secteurs de l’énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, la fourniture et distribution d’eau potable, les infrastructures numériques.

Deux secteurs comportent des sous-secteurs, l’énergie (sous-secteurs de l’électricité, du pétrole et du gaz) et des transports (sous-secteurs du transport aérien, du transport ferroviaire, du transport par voie d’eau, du transport routier).

La France a quant à elle identifié 12 secteurs, ainsi que des sous-secteurs. La législation française permet donc d’atteindre un niveau de sécurité plus élevé en couvrant plus de secteurs, ainsi que des sous-secteurs.

La stratégie nationale en matière de sécurité des réseaux et des systèmes d’information

La directive NIS impose à tous les Etats membres de l’Union d’adopter une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques ainsi que les mesures politiques et réglementaires en vue de parvenir à un niveau élevé de sécurité, couvrant les secteurs et sous-secteurs (Annexe II de la Directive) et les services numériques (a) (place de marché en ligne, moteurs de recherche en ligne, service d’information en nuage) fournis par toute personne morale fournissant un service numérique.

La directive NIS définit également le contenu minimal de toute stratégie nationale d’un Etat membre de l’Union qui doit contenir les points suivants :

  • les objectifs et priorités de la stratégie nationale ;
  • le cadre de gouvernance permettant d’atteindre les objectifs et priorités ainsi que les rôles et responsabilités des organismes publics et des acteurs privés ;
  • l’inventaire des mesures de préparation, d’intervention et de récupération y compris les mesures de coopération entre acteurs des secteurs public et privé ;
  • un aperçu des programmes d’éducation et surtout de sensibilisation et de formation par rapport aux objectifs de la stratégie nationale ;
  • un aperçu des plans de recherche et de développement ;
  • un plan d’évaluation des risques ;
  • une liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

Enfin, les Etats membres de l’Union qui ont l’obligation de communiquer leur stratégie à la Commission dans le délai de trois mois à compter de son adoption, peuvent toutefois exclure de cette communication les éléments de la stratégie relatifs à la sécurité nationale.

La mise en place d’un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union

La directive NIS institue un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union afin de renforcer la confiance et promouvoir la coopération opérationnelle entre Etats de l’Union.

Le groupe de coopération stratégique est composé des représentants des Etats membres de l’Union, de la Commission et de l’ENISA (4).

L’établissement des centres de réponse aux incidents de sécurité informatiques (CSIRT) et du réseau des CSIRT

Est également institué par la directive NIS, un réseau des centres de réponse aux incidents de sécurité informatiques dénommé réseau des CSIRT. Chaque Etat de l’Union a l’obligation de désigner un ou plusieurs centres de réponse aux incidents de sécurité informatiques. Les obligations et tâches de chaque CSIRT doivent être définies soit par une politique soit par la réglementation nationale.

Les obligations assignées aux CSIRT sont de veiller à un niveau élevé de disponibilité des services de communication, d’assurer la continuité des opérations. Les tâches de chaque CSIRT sont notamment le suivi des incidents, l’activation des mécanismes d’alerte précoce, la diffusion d’informations sur les risques et incidents, l’intervention en cas de survenance d’incident, l’analyse dynamique des risques et incidents, la participation au réseau des CSIRT et la coopération avec les acteurs du secteur privé.

Les autorités nationales et point de contact unique

Chaque Etat membre de l’Union doit désigner une ou plusieurs autorités nationales couvrant les secteurs et les services, objet de la directive NIS ainsi qu’un point de contact national unique. Lorsqu’un Etat désigne une seule autorité nationale compétente, celle-ci est automatiquement désignée comme point de contact national unique.

Le législateur européen a émis le souhait que les Etats membres veillent à ce que toute autorité compétente et point de contact disposent de ressources suffisantes permettant la réalisation des tâches respectives leur incombant de manière effective et efficace.

Lorsque l’autorité compétente nationale, le ou les CSIRT, le point de contact unique sont distincts, ces entités doivent naturellement coopérer afin de respecter les obligations de la directive NIS.

L’instauration d’exigences de sécurité et de notification d’incidents pour les opérateurs de services essentiels

La directive NIS définit très précisément les obligations qui incombent aux opérateurs de services essentiels. Les opérateurs de services essentiels doivent :

  • prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
  • prendre les mesures appropriées pour prévenir les incidents de compromission de la sécurité des réseaux et systèmes d’information ;
  • veiller à notifier à l’autorité compétente au plan national ou au CSIRT et sans retard injustifié, les incidents ayant un impact significatif sur la continuité des services essentiels.

L’un des points de débats précédant la publication de la directive NIS, concernait le périmètre et le contenu des notifications d’incidents par l’opérateur de services essentiels. La directive NIS ne se prononce pas sur le contenu de la notification d’incident incombant à l’opérateur de services essentiels. La directive NIS laisse finalement à l’opérateur de services essentiels le soin de déterminer quelles sont les informations permettant à l’autorité compétente ou au CSIRT de déterminer si l’incident a un impact au niveau transfrontalier.

Il incombe à l’autorité nationale compétente ou au CSIRT de préserver la sécurité, la confidentialité des informations communiquées ainsi que les intérêts commerciaux de l’opérateur de services essentiels.

La directive prévoit toutefois que de concert au sein du groupe de concertation, les autorités compétentes peuvent élaborer et adopter des lignes directrices précisant les circonstances dans lesquelles les opérateurs de services essentiels sont tenus de notifier les incidents.

L’instauration d’exigences de sécurité et notification d’incidents pour les fournisseurs de services numériques

Le fournisseur de service numérique est défini par la directive NIS comme toute personne morale qui fournit un service numérique.

Le chapitre V de la directive NIS ne s’applique pas aux microentreprises et petites entreprises au sens de la recommandation de la Commission n° 2003/361/CE du 06 mai 2003 (5).

Un fournisseur de service numérique est considéré comme relevant de la compétence d’une Etat membre, s’il y a son établissement principal ou lorsque son siège social se trouve dans cet Etat membre de l’Union. Un fournisseur qui n’est pas établi sur un Etat membre de l’Union mais fournit néanmoins des services numériques sur le territoire de l’un des Etats membres de l’Union a l’obligation de désigner un représentant dans l’Union.

La désignation d’un représentant dans l’Union est sans préjudice des actions en justice qui pourraient être intentées directement contre le fournisseur de service.

Pour les trois types de services numériques (places de marché et moteurs de recherche en ligne et services informatique en nuage), les fournisseurs de services doivent également identifier les risques menaçant la sécurité des réseaux et des systèmes d’information utilisés pour fournir leurs services numériques et prendre les mesures nécessaires, adaptées et proportionnées pour les gérer.

Les mesures prises doivent, compte tenu de l’état des connaissances, garantir un niveau de sécurité prenant en compte les points suivants :

  • la sécurité de systèmes et des installations ;
  • la gestion des incidents ;
  • la gestion de la continuité d’activités ;
  • le suivi, l’audit et le contrôle ainsi que le respect des normes internationales.

Comme pour les opérateurs de services essentiels, les fournisseurs de services en ligne précités doivent également notifier, sans retard injustifié, à l’autorité compétente ou au CSIRT les incidents afin de garantir la continuité de ces services.

La notification par le fournisseur de service numérique d’un incident n’accroît pas la responsabilité de la partie qui en est à l’origine.

La directive NIS apporte toutefois un tempérament à l’obligation faite au fournisseur de service de notifier un incident : l’obligation de notifier ne s’impose au fournisseur de service que lorsqu’il a accès aux informations nécessaires pour l’évaluation de l’impact de l’incident.

De plus, lorsqu’un opérateur de services essentiels fait appel à un fournisseur de service numérique pour fournir un service essentiel au maintien de fonctions critiques, tout impact significatif sur la continuité des services doit être notifié par l’opérateur de services essentiels et non par le fournisseur de service.

L’impact de la directive NIS sur notre actuel cadre juridique

La notion d’ installation d’importance vitale est apparue très tôt dans notre droit avec l’ordonnance du 29 décembre 1953 (2), qui a pour objet le renforcement de la protection des installations d’importance vitale.

La France fait donc figure de pionner au sein de l’UE, puisqu’elle avait identifié dans la loi de programmation militaire du 19 décembre 2013 pour les années 2014 à 2019 un cadre juridique spécifique visant à consolider la sécurité des points d’importance vitale (PIV).

Les différences entre le cadre juridique européen et français existant, avant publication de la directive NIS, porte avant tout sur les concepts utilisés. La directive utilise la notion d’ « Opérateur de service essentiel (OSE) » tandis que les arrêtés sectoriels français utilisent la notion d’« opérateur d’importance vitale (OIV) ».

L’ensemble des exigences en matière de sécurité des activités d’importance vitale figurent dans l’instruction générale interministérielle relative à la sécurité des activités d’importance vitale du 7 janvier 2014 (6).

La France a dès le 7 juillet 2009, décidé la création d’un service à compétence nationale, qui est l’ANSSI. L’ANSSI étant l’autorité nationale en matière de sécurité des systèmes d’information. La France devra dans le cadre de la transposition de la directive NIS simplement notifier à la Commission, si le point de contact unique en France est également l’autorité compétente nationale, à savoir l’ANSSI.

Les dispositions qui sont impactées par la transposition de la directive NIS sont :

  • celles des articles L.1332-1 et suivants de la section I du titre II du Code de la défense ;
  • celles des articles L.1332-6-1 et suivants du Code de la défense relatives à la protection des installations d’importance vitale ;
  • le décret 2015-351 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense ;
  • les trois arrêtés sectoriels relatifs au secteur de l’alimentation, au secteur de la gestion de l’eau et au secteur des produits de santé.

Le décret 2015-350 du 27 mars 2015 qui est relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale n’est donc pas impacté par la directive NSI du fait qu’il concerne les mesures prises par la France pour préserver les fonctions étatiques et notamment la sécurité nationale.

Compte tenu des différences de définitions entre les notions d’opérateur de services essentiels et d’opérateur d’importance vitale utilisée dans les arrêtés sectoriels de la législation française, et dans la mesure où la directive doit être transposée au plus tard le 9 mai 2018, les adaptations à réaliser pour adapter notre législation pour la transposition de la directive NIS sont mineures.

En effet, les décrets précisant les conditions de mise en œuvre de la loi de programmation militaire sont compatibles avec la directive NIS.

En outre, la directive NIS étant une directive d’harmonisation minimale, la France reste libre d’adopter ou de maintenir des dispositions en vue de parvenir à un niveau de sécurité plus élevé que les exigences de la directive. La seule exception résulte des dispositions de l’article 16 paragraphe 10 de la directive NIS qui prévoit que les Etats membres ne peuvent pas imposer aux fournisseurs de service numérique d’autres exigences liées à la sécurité ou aux notifications.

Le retroplanning de transposition de la directive NIS.

Schéma transposition directive NIS

Didier Gazagne
Lexing Cybersecurite et cyberdefense

(a) La notion de « service numérique » s’entend d’un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535.
(1) Directive (UE) 2016/1148 du 6-7-2016.
(2) Ordonnance n° 58-1371 du 29-12-1953 tendant à renforcer la protection des installations d’importance vitale.
(3) Directive (UE) 2015/1535 du Parlement européen et du Conseil prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.
(4) ENISA (European Union Agency for Network and Information Security) – Agence européenne chargée de la sécurité et des réseaux de l’information (Cybersécurité).
(5) Recommandation de la Commission du 6-5-2003 concernant la définition des micro, petites et moyennes entreprises [notifiée sous le numéro C(2003) 1422] (JO L 124 du 20.5.2003, p. 36-41).
(6) Instruction générale interministérielle relative à la sécurité des activités d’importance vitale.