🏥

Annexe 1 · Hautement critique

NIS2 dans le secteur santé : la cybersécurité devient vitale

Le secteur santé figure à l'Annexe 1 de la directive NIS2 (UE 2022/2555) au titre des secteurs « hautement critiques ». Tout établissement de santé répondant aux seuils (≥ 50 salariés et/ou ≥ 10M€ de CA, sauf exceptions sectorielles) est concerné en tant qu'Entité Essentielle (EE) ou Importante (EI). Les attaques rançongiciels contre les hôpitaux ont multiplié les obligations : la France impose désormais une notification d'incident sous 24h via l'ANSSI.

Qui est concerné dans ce secteur ?

  • Centres hospitaliers (CHU, CH, hôpitaux privés)
  • Cliniques et établissements de soins de suite (SSR)
  • Laboratoires d'analyses médicales et de biologie
  • EHPAD et établissements médico-sociaux > 50 résidents
  • Centres de radiologie, imagerie médicale
  • Pharmacies hospitalières et distributeurs pharmaceutiques

Seuils de classification

Tous les établissements de santé au sens du Code de la santé publique (L.6111-1) qui dépassent 50 salariés ou 10M€ de CA sont par défaut classés Entité Essentielle. Les laboratoires de référence européens et les fabricants de dispositifs médicaux critiques le sont également quel que soit leur taille.

Risques cyber typiques

Compromission des données patients (RGPD, secret médical), interruption de l'accès aux dossiers, chiffrement des systèmes d'imagerie, blocage de la téléconsultation, vol de données biométriques, sanctions ANSSI cumulées avec celles de la CNIL.

Comment CyberSCV vous aide

CyberSCV est utilisé par des cliniques et laboratoires PME français pour démontrer leur conformité NIS2 + RGPD en parallèle. Le double scoring (NIS2 EU + ReCyF France) couvre les exigences spécifiques au secteur santé (procédures d'urgence, continuité des soins, isolation des SI biomédicaux).

Questions fréquentes

Mon EHPAD est-il concerné par NIS2 ?

Si votre EHPAD dépasse 50 salariés ou 10M€ de CA annuel, il est par défaut Entité Essentielle au titre du secteur santé (Annexe 1). Les groupes d'EHPAD sont à classer entité par entité.

Quelles sanctions en cas de non-conformité en santé ?

Jusqu'à 10M€ d'amende ou 2% du CA mondial pour les EE. Sanctions cumulables avec la CNIL en cas de violation RGPD associée (souvent le cas en santé).

Les médecins libéraux sont-ils concernés ?

Non, les cabinets libéraux individuels ne sont pas concernés. Mais les structures de regroupement (MSP, centres de santé) le sont si elles dépassent les seuils.

Évaluez votre conformité Santé

Lancez votre auto-évaluation NIS2 en moins de 10 minutes. Gratuit pour la première évaluation.

Démarrer gratuitement

Autres secteurs

💧

Eau potable

Annexe 1 · Hautement critique

🚆

Transport

Annexe 1 · Hautement critique

Énergie

Annexe 1 · Hautement critique

Tous les secteurs