La directive européenne “Network and Information Security” (NIS) vient d’être publiée au Journal officiel européen. Dans la foulée de sa transposition dans le droit national, elle s’appliquera aux établissements de santé définis comme des “opérateurs de services essentiels”.
Sur le terrain, Les Etats membres de l’Union européenne (UE) ont jusqu’au 9 mai 2018 pour appliquer une telle transposition. Une opération assurée en France par l’Anssi, (Agence nationale de la sécurité des systèmes d’information), en synergie avec les acteurs concernés.
Cet organisme a détaillé le contenu du texte publié et articulé autour de principaux points : le renforcement des capacités nationales de cyber-sécurité ; l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE relatif aux politiques de cyber-sécurité et le partage d’informations techniques ; le renforcement de la cyber-sécurité des opérateurs de services essentiels ; l’instauration de règles européennes communes en matière de cyber-sécurité des prestataires de services numériques.
Comme l’explique notre confrère en ligne TIC Santé, parmi les secteurs comprenant des opérateurs de services essentiels définis en annexe de la directive figure [le domaine] de la santé, public et privé, et plus précisément “toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire”. Les opérateurs concernés doivent répondre à trois critères. Ils fournissent “un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques”. Ce service est “tributaire des réseaux et des systèmes d’information” et “un incident aurait un effet disruptif important sur la fourniture dudit service”.
Les Etats membres sont chargés de fixer la liste exhaustive de ces opérateurs sur leur territoire “au plus tard le 9 novembre 2018”, précise le texte. Cette liste sera ensuite réexaminée et mise à jour “tous les deux ans”.
