En une phrase. Le secteur de la santé figure à l’annexe I de la directive NIS2 (secteur hautement critique) : hôpitaux, cliniques, établissements médico-sociaux désignés, laboratoires de référence de l’UE, entités de R&D pharmaceutique et fabricants de dispositifs médicaux critiques deviennent entités essentielles ou importantes, avec enregistrement auprès de l’ANSSI, application des dix mesures de l’article 21 et notification d’incident sous 24 h/72 h/1 mois — le tout se cumulant avec le PGSSI-S, la certification HDS et le RGPD, sous peine de sanctions jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial.
La vague de rançongiciels qui a frappé les hôpitaux français depuis 2022 — Centre hospitalier sud-francilien de Corbeil-Essonnes en août 2022, Centre hospitalier de Versailles en décembre 2022, CHU de Brest en 2023, hôpital de Cannes en 2024 — a démontré que le secteur santé est une cible de choix. La directive NIS2 (UE) 2022/2555 tire les conséquences de cette exposition en classant la santé parmi les secteurs hautement critiques de son annexe I, au même titre que l’énergie ou les banques. L’ANSSI est l’autorité nationale compétente pour ce périmètre.
Beaucoup d’établissements de santé étaient déjà opérateurs de services essentiels (OSE) sous la première directive NIS ; ils basculent désormais en entité essentielle (EE) ou entité importante (EI) selon leur taille. S’y ajoute une architecture de conformité déjà dense — PGSSI-S, certification HDS, RGPD — que NIS2 vient compléter plutôt que remplacer. Ce guide détaille qui est concerné, comment articuler ces référentiels, et ce qu’il faut mettre en place opérationnellement en 2026.
Points clés
- Le secteur santé est classé hautement critique (annexe I de NIS2) : hôpitaux, cliniques, établissements médico-sociaux désignés, laboratoires de référence, R&D pharmaceutique, fabricants de dispositifs médicaux critiques.
- Les anciens OSE santé basculent en entité essentielle ou importante selon leur taille (seuils de la recommandation 2003/361/CE).
- NIS2 se cumule avec le PGSSI-S, la certification HDS et le RGPD applicable aux données de santé : ce sont quatre référentiels distincts, pas des alternatives.
- Enregistrement obligatoire sur MonEspaceNIS2, application des dix mesures de l’article 21, notification d’incident sous 24 h / 72 h / 1 mois.
- Le programme CaRE (Cybersécurité Accélération et Résilience des Établissements), doté d’environ 750 M€, finance la mise à niveau des établissements de santé et médico-sociaux depuis 2023.
- Sanctions jusqu’à 10 M€ ou 2 % du CA mondial pour une entité essentielle, et responsabilité personnelle des dirigeants d’établissement.
1. Le secteur santé dans le périmètre NIS2
Les entités visées par l’annexe I
L’annexe I de NIS2 vise nommément, dans le secteur santé : les prestataires de soins de santé au sens large (hôpitaux publics, cliniques privées, établissements médico-sociaux dès lors qu’ils sont désignés par l’État membre), les laboratoires de référence de l’Union européenne, les entités menant des activités de recherche et développement de médicaments, ainsi que les fabricants de produits pharmaceutiques de base et de préparations pharmaceutiques et les fabricants de dispositifs médicaux jugés critiques en cas d’urgence de santé publique — une catégorie explicitement issue du retour d’expérience de la crise sanitaire.
Le périmètre dépasse donc largement l’hôpital : un fabricant de dispositifs médicaux critiques ou un laboratoire pharmaceutique menant des essais cliniques peuvent être concernés, indépendamment de tout lien direct avec le soin.
Entités essentielles vs entités importantes : la bascule depuis NIS1
Sous NIS1, la majorité des CHU et de nombreux centres hospitaliers de taille importante avaient déjà été désignés opérateurs de services essentiels (OSE) par arrêté préfectoral, avec des obligations de sécurité proches (mais moins précises) de celles de NIS2. Ces établissements basculent aujourd’hui, de plein droit ou après confirmation par l’ANSSI, en entité essentielle (grande entreprise : ≥ 250 salariés ou CA > 50 M€ et bilan > 43 M€) ou en entité importante (structure moyenne : ≥ 50 salariés ou CA > 10 M€). Un établissement médico-social ou une clinique de taille plus modeste, non désigné auparavant, peut désormais entrer dans le périmètre NIS2 pour la première fois — d’où l’importance de l’auto-évaluation sur MonEspaceNIS2, y compris pour les structures qui pensent être trop petites pour être concernées.
2. Une cybersécurité hospitalière sous tension : le contexte qui justifie NIS2
Une succession d’attaques par rançongiciel
Le choix de classer la santé en secteur hautement critique n’a rien de théorique. La séquence d’attaques par rançongiciel qui a touché des établissements français — Corbeil-Essonnes en 2022, le Centre hospitalier de Versailles quelques mois plus tard, le CHU de Brest en 2023, l’hôpital de Cannes en 2024 — a chaque fois entraîné une dégradation ou un arrêt partiel de l’activité de soin, avec des conséquences directement opérationnelles pour les patients (déprogrammations, retour au papier, transferts). Ces incidents ont installé durablement la cybersécurité hospitalière comme un sujet de sécurité des patients, et non plus seulement de sécurité informatique.
Le programme CaRE : 750 M€ pour armer les établissements
En réponse, l’État a lancé le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) à partir de 2023, doté d’environ 750 M€, pour financer le rehaussement du niveau de sécurité des établissements de santé et médico-sociaux : audits, remédiation, recrutement de référents sécurité, outillage de détection et de sauvegarde. NIS2 et CaRE sont complémentaires : le premier fixe l’obligation réglementaire, le second finance une partie de sa mise en œuvre. Un établissement qui engage sa mise en conformité NIS2 a donc intérêt à mobiliser les crédits CaRE encore disponibles plutôt que de financer seul l’intégralité du chantier.
3. NIS2 se cumule avec le PGSSI-S, la certification HDS et le RGPD
PGSSI-S : le socle sectoriel préexistant
La politique générale de sécurité des systèmes d’information de santé (PGSSI-S), pilotée par l’Agence du Numérique en Santé, fixait déjà un corpus de référentiels de sécurité propres au secteur (authentification, imputabilité, disponibilité). NIS2 ne se substitue pas au PGSSI-S : les objectifs de sécurité de l’ANSSI pour le secteur santé sont conçus pour s’articuler avec lui plutôt que pour le dupliquer. Un établissement déjà conforme au PGSSI-S dispose d’un socle réutilisable pour NIS2, notamment sur les volets authentification et gestion des accès.
Hébergement de données de santé (HDS) : une certification distincte mais complémentaire
La certification HDS encadre les hébergeurs de données de santé à caractère personnel — un référentiel technique et contractuel distinct de NIS2, centré sur l’hébergement plutôt que sur l’ensemble du système d’information de l’établissement. Un établissement de santé qui héberge lui-même ses données doit être certifié HDS et répondre aux exigences NIS2 ; s’il externalise l’hébergement, il doit s’assurer contractuellement que son hébergeur HDS respecte des exigences de sécurité compatibles avec ses propres obligations de chaîne d’approvisionnement au titre de l’article 21 de NIS2.
RGPD : les données de santé restent des données sensibles
Les données traitées par un établissement de santé restent, par ailleurs, des données de santé au sens de l’article 9 du RGPD : données sensibles nécessitant une base légale renforcée et des mesures de sécurité proportionnées. NIS2 et RGPD se recoupent fortement sur les exigences de sécurité (voir l’article 32 du RGPD), mais restent deux textes distincts, avec deux autorités et deux régimes de notification d’incident.
4. Les obligations opérationnelles concrètes
Enregistrement sur MonEspaceNIS2
Chaque établissement doit s’auto-évaluer et s’enregistrer sur la plateforme MonEspaceNIS2 pour déterminer et déclarer son statut (EE, EI, ou hors périmètre). Cette démarche est indépendante de toute désignation antérieure comme OSE : même un établissement déjà connu de l’ANSSI doit refaire l’exercice sous le nouveau cadre.
Les dix mesures de l’article 21 appliquées à un établissement de santé
L’article 21 de NIS2 impose dix familles de mesures : analyse de risques et politique de sécurité (voir notre guide pour rédiger une PSSI), gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement (essentielle pour les dispositifs médicaux connectés et les prestataires biomédicaux), sécurité de l’acquisition et du développement, évaluation de l’efficacité des mesures, hygiène informatique et formation (voir le guide d’hygiène ANSSI), cryptographie, sécurité RH et contrôle d’accès, et authentification multifacteur. Pour un hôpital, les priorités concrètes sont la segmentation entre le système d’information administratif et le système biomédical, la sauvegarde hors ligne (déterminante lors des rançongiciels de 2022-2024), et le contrôle d’accès aux dossiers patients.
Notification d’incident : trois échéances, plusieurs destinataires
| Étape | Délai | Destinataire | Texte applicable |
|---|---|---|---|
| Alerte précoce | 24 h | ANSSI | Article 23 NIS2 |
| Notification complète | 72 h | ANSSI | Article 23 NIS2 |
| Rapport final | 1 mois | ANSSI | Article 23 NIS2 |
| Violation de données à caractère personnel | 72 h | CNIL | Article 33 RGPD |
| Incident significatif de sécurité des systèmes d’information | Sans délai fixé par NIS2 | ANS / CERT Santé | Dispositif de signalement sectoriel santé |
Un même incident — un rançongiciel chiffrant le dossier patient informatisé, par exemple — peut donc devoir être notifié simultanément à l’ANSSI au titre de NIS2, à la CNIL au titre de la violation de données RGPD, et signalé à l’ANS/CERT Santé au titre du dispositif sectoriel de signalement des incidents de sécurité des systèmes d’information de santé. La procédure interne de l’établissement doit être conçue pour déclencher ces trois canaux en parallèle, avec une chronologie et une répartition des rôles clairement établies avant l’incident.
Gouvernance : la direction de l’établissement en première ligne
L’article 20 de NIS2 impose que la direction de l’établissement — direction générale, directoire, conseil de surveillance selon le statut — approuve les mesures de gestion des risques cyber, en supervise la mise en œuvre et suive une formation dédiée. Pour une entité essentielle, un manquement grave peut engager la responsabilité personnelle du dirigeant et conduire à une interdiction temporaire d’exercer.
5. Plan d’action 2026-2027 pour un établissement de santé
- Immédiat : auto-évaluation et enregistrement sur MonEspaceNIS2, y compris pour les établissements médico-sociaux non désignés OSE auparavant.
- Court terme : cartographie du système d’information incluant le parc biomédical, revue de la PSSI existante, vérification de la certification HDS de tout hébergeur externe.
- 2026-2027 : déploiement des dix mesures de l’article 21, en priorisant la segmentation réseau, les sauvegardes hors ligne testées et le contrôle d’accès aux dossiers patients.
- En continu : test de la procédure de notification tri-canal (ANSSI / CNIL / ANS-CERT Santé), formation de la direction et des équipes soignantes aux gestes d’hygiène informatique.
- Financement : mobiliser les crédits du programme CaRE pour cofinancer audits et remédiation plutôt que d’absorber seul le coût de mise en conformité.
Piloter en parallèle NIS2, PGSSI-S, HDS et RGPD sans outil dédié aboutit vite à des registres dupliqués et à des angles morts. Une plateforme comme Legiscope permet de mutualiser la cartographie des traitements et des actifs, le suivi des mesures de sécurité et la gestion des notifications d’incident, plutôt que de faire tourner quatre référentiels en silos.
FAQ
Un cabinet médical de ville est-il concerné par NIS2 ?
En principe non, sauf désignation spécifique : le périmètre NIS2 santé vise les établissements de soins structurés (hôpitaux, cliniques), les établissements médico-sociaux désignés, les laboratoires de référence et certains industriels du médicament et du dispositif médical. Un cabinet médical individuel reste néanmoins pleinement soumis au RGPD sur les données de santé ; voir notre guide RGPD cabinet médical.
La certification HDS suffit-elle à couvrir les obligations NIS2 ?
Non. La certification HDS porte sur l’hébergement des données de santé à caractère personnel, un périmètre plus étroit que l’ensemble du système d’information visé par NIS2 (biomédical, réseau, postes de travail, chaîne d’approvisionnement). Un établissement certifié HDS pour son hébergement doit malgré tout appliquer les dix mesures de l’article 21 à l’échelle de tout son système d’information.
Faut-il notifier un incident à la fois à l’ANSSI et à la CNIL ?
Oui, ce sont deux obligations cumulatives et non substituables. Un incident de sécurité qui affecte des données de santé (par exemple un rançongiciel touchant le dossier patient) doit être notifié à l’ANSSI au titre de NIS2 (24 h/72 h/1 mois) et à la CNIL au titre de l’article 33 du RGPD (72 h), en plus du signalement sectoriel à l’ANS/CERT Santé.
Le programme CaRE est-il obligatoire ou seulement un financement ?
CaRE est un dispositif de financement et d’accompagnement, pas une obligation réglementaire : c’est NIS2 qui crée l’obligation légale, CaRE qui aide à la financer. Les deux avancent en parallèle depuis 2023, et un établissement a intérêt à solliciter les crédits CaRE encore disponibles pour financer les audits et la remédiation exigés par sa mise en conformité NIS2.
Conclusion
Le secteur santé cumule désormais quatre référentiels de sécurité et de protection des données — NIS2, PGSSI-S, HDS et RGPD — qu’il faut piloter comme un ensemble cohérent plutôt que comme des chantiers séparés. Les établissements qui avaient déjà structuré leur conformité OSE ou HDS partent avec une longueur d’avance, mais l’ampleur de la vague de rançongiciels depuis 2022 impose de ne pas relâcher l’effort. Priorité 2026 : enregistrement MonEspaceNIS2, cartographie incluant le biomédical, et procédure de notification tri-canal testée avant l’incident, pas après.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial