NIS2 et hôpitaux : obligations du secteur de la santé

Les établissements de santé font partie des cibles les plus exposées du cyberespace français. Corbeil-Essonnes en 2022, Versailles fin 2022, Armentières en 2024, Cannes en 2024, Rennes en 2025 : chaque attaque majeure paralyse un hôpital pendant plusieurs semaines, bloque les services d’urgence, force à rebasculer en papier les dossiers patients. La directive NIS2 fait désormais de la cybersécurité hospitalière une obligation légale encadrée, avec des pouvoirs de sanction et de contrôle renforcés. Voici ce que tout directeur d’hôpital, DSI et RSSI d’établissement doit savoir.

Pourquoi NIS2 concerne (presque) tous les hôpitaux

Un secteur explicitement listé à l’annexe I

La directive NIS2 – directive (UE) 2022/2555 du 14 décembre 2022 – classe la santé parmi les « secteurs hautement critiques » à son annexe I, section 5. Y figurent notamment les prestataires de soins de santé au sens de l’article 3(g) de la directive 2011/24/UE, c’est-à-dire toute personne physique ou morale fournissant des soins de santé sur le territoire d’un État membre.

En pratique, cela englobe :

• les centres hospitaliers (CH, CHU, CHR),
• les établissements privés d’hospitalisation (MCO, SSR, psychiatrie),
• les établissements publics de santé mentale,
• les HAD (hospitalisation à domicile),
• les laboratoires de référence de l’UE,
• les entités de recherche-développement de médicaments,
• les fabricants de produits pharmaceutiques (code NACE C21),
• les fabricants de dispositifs médicaux jugés critiques en situation d’urgence sanitaire.

Le périmètre est donc très large. Dans mon expérience de conseil auprès de groupes hospitaliers, j’observe encore trop souvent des directions qui pensent échapper à NIS2 parce qu’elles ne se vivent pas comme des « infrastructures critiques ». C’est une erreur : dès lors qu’un établissement dispense des soins, il entre dans le champ.

Entité essentielle ou entité importante ?

NIS2 différencie deux régimes selon la taille. Pour un hôpital, la règle de classification est la suivante :

Critère	Entité essentielle	Entité importante
Effectif	≥ 250 salariés	50 à 249 salariés
OU chiffre d’affaires annuel	> 50 M€ (et bilan > 43 M€)	10 à 50 M€
Supervision	Ex ante (contrôles proactifs)	Ex post (après incident)
Plafond sanction	10 M€ ou 2 % du CA mondial	7 M€ ou 1,4 % du CA mondial

La quasi-totalité des CHU et grands CH publics sont des entités essentielles. Les cliniques MCO de taille intermédiaire et les structures SSR dépassant 50 salariés relèvent généralement des entités importantes. Les très petits établissements peuvent être hors champ, sous réserve qu’une autorité nationale ne les désigne pas individuellement (faculté ouverte par l’article 2(2) de la directive).

Le régime de supervision change considérablement : pour une entité essentielle, l’ANSSI peut mener un audit sans avoir besoin d’un incident préalable. Pour une entité importante, les contrôles interviennent en principe après signalement. Cette différence change complètement la logique de préparation.

Pour une analyse détaillée de la distinction entre les deux catégories, voir notre guide entités essentielles vs importantes sous NIS2.

Les 10 mesures de l’article 21 appliquées à l’hôpital

L’article 21(2) de NIS2 impose un socle minimum de dix mesures de gestion des risques cyber. Notre checklist NIS2 détaillée les explique point par point ; voici leur déclinaison hospitalière.

1. Analyse des risques et politique de sécurité des SI

L’hôpital doit documenter une analyse de risques complète intégrant les actifs critiques : SIH (système d’information hospitalier), DPI (dossier patient informatisé), PACS imagerie, biologie, pharmacie, GTB/GTC biomédicale. La méthode EBIOS Risk Manager de l’ANSSI est ici la référence recommandée. Le livrable attendu par un auditeur : une cartographie à jour et une PSSI signée par la direction générale.

2. Gestion des incidents

Le plan de gestion d’incident doit prévoir la cinétique NIS2 : 24 heures pour la première notification, 72 heures pour le rapport d’incident, un mois pour le rapport final. Le CERT Santé (centre géré par l’ARS et l’Agence du numérique en santé) est votre interlocuteur opérationnel, mais la notification formelle se fait au CSIRT désigné (l’ANSSI pour la plupart des établissements).

3. Continuité d’activité et gestion des crises

L’hôpital doit disposer d’un plan de continuité d’activité (PCA) et d’un plan de reprise d’activité (PRA) testés. Le point critique, éprouvé par les attaques récentes : le mode dégradé papier. Combien de temps un service d’urgence peut-il tenir sans DPI, sans résultats de biologie numériques, sans PACS ? Ce chiffre doit figurer noir sur blanc dans le PCA, et les procédures papier doivent être à jour.

4. Sécurité de la chaîne d’approvisionnement

L’hôpital dépend d’une chaîne de fournisseurs vaste : éditeurs de SIH (Dedalus, Cerner, Softway Medical…), hébergeurs HDS, prestataires biomédicaux, mainteneurs d’équipements imagerie, sous-traitants paie et RH. L’article 21(2)(d) impose d’évaluer la sécurité de chaque sous-traitant. Les clauses de sécurité doivent figurer aux contrats. Voir notre guide sur la sous-traitance sécurité sous NIS2 et RGPD.

5. Sécurité de l’acquisition, du développement et de la maintenance

Tout projet SI neuf (portail patient, téléconsultation, application mobile hospitalière) doit intégrer la sécurité dès la conception. Pour les logiciels médicaux développés en interne, l’analyse de sécurité doit être intégrée au cycle de développement.

6. Évaluation de l’efficacité des mesures

L’hôpital doit mesurer l’efficacité réelle de son dispositif via audits internes, contrôles, indicateurs. Les tests d’intrusion périodiques sont une pratique désormais attendue — la fréquence recommandée par l’ANSSI est annuelle sur le périmètre exposé.

7. Cyber-hygiène et formation

Toute personne accédant au SIH doit être formée : médecins, IDE, AS, administratifs, biomédicaux. Le programme type couvre le phishing, la gestion des mots de passe, l’usage des clés USB et les bonnes pratiques face au rançongiciel. Cette formation doit être traçable (émargement ou log LMS). Voir notre programme de sensibilisation à la sécurité.

8. Cryptographie

Les données de santé doivent être chiffrées au repos (bases DPI, PACS, sauvegardes) et en transit (VPN, HTTPS, messagerie MSSanté). La messagerie sécurisée de santé est obligatoire pour les échanges entre professionnels (article L. 1470-1 du Code de la santé publique) ; NIS2 ne fait que renforcer cette exigence.

9. Sécurité des ressources humaines et contrôle d’accès

Le principe du moindre privilège s’applique particulièrement à l’hôpital : un kinésithérapeute n’a pas à accéder aux dossiers psychiatriques. Les habilitations doivent être pilotées par profil métier et revues périodiquement. L’article 21(2)(i) impose explicitement le contrôle d’accès.

10. Authentification forte et communications sécurisées

L’authentification multifacteur (MFA) est attendue pour tous les accès sensibles : administration du SIH, accès distant, comptes à privilèges. Dans le secteur santé, la carte CPS (carte de professionnel de santé) est l’outil historique ; elle est compatible MFA mais doit être combinée avec d’autres facteurs pour les accès les plus sensibles.

Notifications d’incident : le casse-tête de la double voie

La cinétique NIS2

Face à un incident significatif (interruption de service, altération de données, cyberattaque), l’article 23 de NIS2 impose :

• Dans les 24 heures : une alerte précoce au CSIRT (l’ANSSI) indiquant si l’incident est présumé causé par un acte malveillant et s’il est susceptible d’affecter d’autres États membres.
• Dans les 72 heures : une notification d’incident complète avec évaluation préliminaire de l’impact, indicateurs de compromission, gravité.
• Dans un mois maximum : un rapport final avec description détaillée, cause racine, mesures correctives.

Cette procédure de notification cyberattaque doit être écrite à l’avance et déclenchable 24/7.

L’articulation avec le RGPD

Un incident hospitalier touche presque toujours des données personnelles — et souvent des données de santé au sens de l’Art. 9 du RGPD. Il faut alors cumuler deux notifications :

• Auprès de la CNIL : notification sous 72 heures en application de l’Art. 33 du RGPD, dès lors que la violation présente un risque pour les droits et libertés des personnes ;
• Auprès du CSIRT/ANSSI : notification NIS2 sous 24 heures/72 heures.

Les délais ne sont pas alignés — 24h NIS2 vs 72h RGPD. En pratique, mieux vaut caler son organisation interne sur le délai le plus court (24h) et notifier dans la foulée à la CNIL. Le HFDS du ministère de la Santé doit également être informé via le dispositif de traitement des signalements de sécurité des SI de santé.

La communication externe

Lorsque l’incident entraîne une rupture significative du service hospitalier, NIS2 impose une information rapide des destinataires des soins (article 23(2)(d)). Cette obligation se combine avec celle de l’Art. 34 du RGPD en cas de risque élevé pour les personnes. La jurisprudence des sanctions publiées par la CNIL montre que l’absence ou le retard d’information aggrave systématiquement la sanction finale.

Articulation avec HDS, RGPD et le plan CaRE

HDS : condition nécessaire mais non suffisante

La certification HDS (Hébergeur de données de santé, article L. 1111-8 du CSP) encadre depuis 2018 l’hébergement des données de santé à caractère personnel. Elle repose sur ISO 27001 plus exigences santé.

HDS et NIS2 se recoupent largement sur la sécurité technique, mais :

• HDS concerne uniquement l’hébergeur ; NIS2 concerne l’hôpital lui-même.
• HDS est orienté hébergement ; NIS2 couvre l’ensemble des mesures de gestion des risques.
• Une certification HDS sur votre infrastructure cloud (voir RGPD cloud AWS/Azure/GCP) vous rapproche de la conformité NIS2 sans la garantir.

Le plan CaRE : levier de financement

Le programme CaRE (Cyber accélération et Résilience des Établissements), lancé fin 2023, mobilise 750 M€ sur 2024-2027 pour élever le niveau de sécurité des hôpitaux. Les financements sont conditionnés à des trajectoires précises :

• audit de sécurité sur les 18 premiers mois,
• réduction de la surface d’attaque externe (exposition internet),
• mise en place de la journalisation et de la supervision,
• exercices de gestion de crise annuels.

Les directions qui structurent leur plan NIS2 en s’adossant aux jalons CaRE obtiennent un double avantage : financement et conformité.

ISO 27001, SecNumCloud et certifications de confiance

Au-delà de HDS, trois référentiels utiles méritent d’être considérés :

• ISO 27001 pour la gouvernance sécurité globale,
• ISO 27701 pour l’extension vie privée,
• SecNumCloud pour les briques cloud les plus sensibles.

Ces certifications ne dispensent pas de NIS2, mais facilitent considérablement les contrôles ANSSI en démontrant une démarche structurée.

Gouvernance : la responsabilité personnelle des dirigeants

C’est l’un des points les plus commentés de NIS2 (article 20) : les organes de direction sont tenus d’approuver les mesures de gestion des risques, de superviser leur mise en œuvre et de suivre une formation en matière de cybersécurité. Ils peuvent être tenus personnellement responsables.

À l’hôpital public, cela vise le directeur d’établissement et les membres du directoire. Dans le privé, le président, le DG et les membres du directoire. Le refus d’adopter les mesures, l’absence de formation ou la minimisation délibérée des risques peuvent engager la responsabilité du dirigeant au-delà de la sanction administrative infligée à la personne morale.

Concrètement, je conseille à mes clients hospitaliers de :

1. Inscrire la cybersécurité comme point récurrent de CME/directoire,
2. Faire signer un PSSI validé par la direction générale,
3. Délivrer une formation dirigeants au minimum annuelle, traçable,
4. Tenir un tableau de bord sécurité présenté à la gouvernance,
5. Documenter toutes les décisions d’acceptation de risque.

Sanctions et calendrier

Le plafond des sanctions NIS2 pour une entité essentielle est de 10 M€ ou 2 % du chiffre d’affaires mondial consolidé (montant le plus élevé). Pour un CHU, le « chiffre d’affaires » s’apprécie à partir des produits hospitaliers — les sommes en jeu peuvent donc être significatives.

Au-delà des amendes, les autorités disposent de pouvoirs de contrôle élargis : audits, mise en demeure, injonction de rectification, interdiction temporaire d’exercer pour un dirigeant, voire suspension de certification.

La transposition française de NIS2 est intervenue en 2025. Les obligations sont applicables progressivement, avec une priorité donnée aux contrôles sur les entités essentielles dès 2026. L’ANSSI publie régulièrement des guides sectoriels — le guide Santé est un document de référence à tenir à jour côté RSSI.

Ce qu’il faut retenir

• Quasi tous les hôpitaux sont concernés : CH, CHU, cliniques MCO/SSR, psychiatrie, HAD, laboratoires, fabricants de dispositifs critiques figurent à l’annexe I de NIS2.
• Les grands établissements sont des entités essentielles (contrôles proactifs, plafond 10 M€ ou 2 % du CA), les structures de 50 à 249 salariés sont entités importantes.
• Les 10 mesures de l’article 21 ne sont pas optionnelles : analyse de risques, PCA/PRA, chiffrement, MFA, formation, sécurité de la chaîne d’approvisionnement — tout doit être documenté et mesurable.
• La double notification est incontournable : 24h au CSIRT/ANSSI pour NIS2, 72h à la CNIL pour le RGPD, information des patients si impact significatif.
• La responsabilité des dirigeants est engagée : l’article 20 impose approbation, supervision et formation des organes de direction.
• HDS et CaRE sont des accélérateurs, pas des substituts : ils facilitent la conformité NIS2 mais ne la remplacent pas.

FAQ

Un cabinet médical libéral est-il concerné par NIS2 ?

En principe non, tant qu’il reste sous les seuils de la directive (moins de 50 salariés et moins de 10 M€ de chiffre d’affaires). Le cabinet médical libéral reste toutefois soumis aux obligations du RGPD et du Code de la santé publique. Une désignation individuelle par l’autorité nationale reste possible mais peu probable en pratique.

NIS2 remplace-t-elle les obligations RGPD pour les hôpitaux ?

Non, les deux cadres cohabitent. Le RGPD encadre la protection des données personnelles (dont les données de santé), NIS2 encadre la cybersécurité et la résilience des services. Un incident touchant des données personnelles oblige à notifier les deux : CNIL sous 72h ET CSIRT sous 24h.

La certification HDS suffit-elle à être conforme NIS2 ?

Non. HDS certifie votre hébergeur, pas votre établissement. Le périmètre NIS2 est plus large : il couvre la gouvernance, la formation des dirigeants, la gestion de crise, la sécurité des terminaux, la supervision. Une infrastructure HDS facilite la conformité mais n’en dispense pas.

Le directeur d’hôpital peut-il être personnellement sanctionné ?

Oui. L’article 20 de NIS2 impose aux organes de direction d’approuver et de superviser les mesures de sécurité, et prévoit des sanctions personnelles pour les dirigeants d’entités essentielles qui manqueraient à ces obligations. En pratique, cela se traduit par une obligation de formation, d’implication documentée et de reddition de comptes régulière.

Quel est le délai pour se mettre en conformité NIS2 en 2026 ?

La directive était applicable le 18 octobre 2024 ; la transposition française est intervenue en 2025. Les contrôles ANSSI sur les entités essentielles du secteur santé sont déployés en 2026. Sauf dérogation, les établissements sont attendus conformes dès maintenant. Une mise à niveau structurée via le plan CaRE reste la meilleure voie pour sécuriser à la fois le financement et la conformité.

---

Vous êtes DSI, RSSI ou DPO d’un établissement de santé et souhaitez recevoir nos analyses détaillées sur la conformité NIS2, RGPD et santé numérique ? Abonnez-vous à notre newsletter hebdomadaire — aucune promotion, que de l’analyse juridique et technique.