Directive NIS2 et secteur santé : guide des obligations 2026
Tout ce que les acteurs du secteur santé doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur santé dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Le secteur de la santé est classe en Annexe I de la directive NIS2, reconnaissant que les cyberattaques contre les établissements de santé mettent directement en danger la vie des patients. La France, avec ses 3 000 établissements de santé publics et prives, est particulièrement exposee. Les attaques par ransomware contre les hopitaux de Dax, Villefranche-sur-Saone, Corbeil-Essonnes et Versailles entre 2021 et 2023 ont mis en lumiere la vulnérabilité critique de ce secteur.
Le périmètre couvre les prestataires de soins de santé (hopitaux, cliniques, centres de soins), les laboratoires de référence de l'UE, les fabricants de produits pharmaceutiques, les fabricants de dispositifs medicaux critiques (classes IIb et III), les distributeurs en gros de produits pharmaceutiques, et les producteurs de gaz medicaux. Les entités de la chaîne de production et de distribution des medicaments essentiels sont egalement visees. Le secteur santé représente environ 12% du PIB français.
Acteurs concernes en France
Les établissements publics de santé (CHU, CH, ESPIC), les cliniques privees, les groupes hospitaliers (Ramsay Santé, Elsan, Vivalto), les laboratoires d'analyses de biologie médicale, les fabricants pharmaceutiques (Sanofi, Servier, Pierre Fabre), les fabricants de dispositifs medicaux (EssilorLuxottica, bioMerieux), les grossistes repartiteurs (OCP, CERP), et les producteurs de gaz medicaux (Air Liquide Santé). Les ARS et les GHT jouent un rôle de coordination territoriale.
Menaces cyber spécifiques au secteur santé
Le secteur de la santé est devenu la cible privilegiee des groupes de ransomware en raison de la criticite des donnees et de la pression temporelle sur les établissements. En France, l'ANSSI a recense plus de 30 incidents majeurs dans le secteur santé entre 2021 et 2025. Les consequences vont au-dela du numerique : reports d'opérations chirurgicales, transferts de patients, perte de donnees médicales. Le vol de donnees de santé alimente un marche noir lucratif (un dossier medical vaut 10 fois plus qu'un numero de carte bancaire). Les dispositifs medicaux connectes (IoMT) constituent une surface d'attaque croissanté, avec des vulnérabilités dans les pompes a perfusion, les moniteurs et les systèmes d'imagerie.
Obligations NIS2 pour le secteur santé
Les entités du secteur santé sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. La responsabilité personnelle des dirigeants peut être engagee.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement, de chiffrement et de contrôle d'accès. Consultez notre page obligations NIS2 pour le detail des 10 mesures de l'article 21.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Pour comprendre le texte complet, consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur santé à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : suspension temporaire d'une certification ou d'une autorisation, voire interdiction temporaire d'exercer des fonctions de direction.
- Publication des decisions : les sanctions peuvent être rendues publiques (name and shame).
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Le secteur de la santé dispose déjà d'un cadre reglementaire cyber avec la politique nationale SSI santé (PGSSI-S) portee par la DNS et l'ANS. Le programme CaRE (Cybersécurité acceleree du système de santé) dote de 250 millions d'euros accompagne les établissements. NIS2 vient renforcer ce cadre avec des obligations juridiquement contraignantes et des sanctions. Le ReCyF s'applique aux entités de santé désignées. La certification HDS (Hebergeur de Donnees de Santé) s'articule avec les exigences NIS2. Les établissements de santé publics beneficient d'un accompagnement spécifique via l'ANSSI et les CERT santé regionaux.
Étapes de mise en conformité
Pour les acteurs du secteur santé, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2 selon les critères de taille (plus de 50 salariés ou plus de 10 millions d'euros de CA) et de secteur. Utilisez notre page mise en conformité NIS2 pour évaluer votre situation.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport aux exigences du ReCyF (Gouvernance, Protection, Défense, Résilience).
- Plan d'action : prioriser les mesures de remediation en fonction des écarts identifies et des risques spécifiques à votre activité.
- Implementation : déployér les mesures techniques et organisationnelles, former les dirigeants et les équipes, mettre en place les processus de notification d'incidents.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2 des que la plateforme le permet pour votre catégorie d'entité.
- Amelioration continue : maintenir le niveau de conformité par des audits reguliers, des exercices de crise et une veille reglementaire active.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur santé est concernee par NIS2 et identifiez les actions prioritaires a mettre en place.
Évaluer ma conformité NIS2