Cybersécurité : la directive NIS 2 s’imposera aux entités de plus de 50 salariés

La directive NIS 2 (Network and Information Security), basée sur les acquis de la NIS 1 (adoptée en 2016, cette première série de mesures avait pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité en Europe), élargit ses objectifs et son périmètre pour fournir une meilleure protection contre les acteurs malveillants.

Publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne, elle entrera en vigueur en France au deuxième semestre 2024. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de transposer dans le droit national ses différentes exigences réglementaires.

Elle s’appliquera à des milliers d’entités de plus de dix-huit secteurs régulés, dont la santé. Sont concernés les prestataires de soins de santé, les laboratoires, mais aussi les fabricants de médicaments et dispositifs médicaux.

La NIS 2 introduit un mécanisme de proportionnalité pour différencier les obligations en fonction du niveau de criticité des entités. Là où NIS 1 s’appliquait aux « opérateurs de services essentiels » (OSE), NIS 2 va élargir grandement son périmètre.  « Si vous vous êtes prestataire de soins de santé privé ou public et que vous avez plus de 250 salariés, vous serez d’office considéré comme entité essentielle et si vous avez entre 50 et 250 salariés, vous serez désigné d’office entité importante », résume Laure Duhesme, coordinatrice sectorielle santé à l’ANSSI lors du Congrès National de la SSI Santé. Les règles s’appliquant aux entités « importantes » seront un peu moins exigeantes que celles des entités essentielles, précise-t-elle.