NIS2 : ce que la nouvelle directive change pour le secteur de la santé

June 13, 2025
Cybersécurité,Médecine

Un nouveau cadre européen pour renforcer la cybersécurité dans les établissements de santé

La directive (UE) 2022/2555 — plus connue sous le nom de NIS2 — est le nouveau cadre législatif de l’Union européenne en matière de cybersécurité. Elle remplace la directive NIS1 de 2016 et impose des obligations plus larges et plus strictes aux secteurs jugés critiques. Elle étend la liste des secteurs concernés, renforce les exigences de gestion des risques et augmente les pouvoirs de surveillance et de sanction des autorités nationales.

Pourquoi une nouvelle directive ?

Parce que les menaces en matière de cybersécurité n’ont cessé de croître, en fréquence comme en gravité. Des attaques ont touché des chaînes d’approvisionnement, des hôpitaux, des services publics et des entreprises de taille moyenne auparavant non concernées par la NIS1. Face à ces risques et dans un contexte géopolitique marqué par la guerre en Ukraine, la Commission européenne a estimé nécessaire de renforcer le cadre réglementaire et d’inclure de nouveaux secteurs, notamment le secteur de la santé.

La NIS2 est entrée en vigueur le 18 octobre 2024, abrogeant automatiquement la NIS1. À ce jour, la Commission européenne a engagé des procédures d’infraction contre plusieurs États membres qui n’ont pas transposé la directive à temps, dont la France, l’Espagne et l’Allemagne.

Au Luxembourg, la loi de transposition n’a pas encore été adoptée : le projet de loi n° 8364/01 (voir ici) est toujours en cours d’examen parlementaire. Le vote est prévu pour le deuxième semestre 2025, avec une entrée en vigueur attendue au premier trimestre 2026, suivie d’une période de transition de 6 mois avant le début des contrôles.

Qui est concerné par la directive NIS2 ?

Vous êtes professionnel de santé libéral (cabinet médical, pharmacie, laboratoire de moins de 50 employés) ?

En principe, vous êtes exempté, car vous ne dépassez pas les seuils de taille.

Cependant :

  • Vous pourriez être explicitement désigné si vous êtes l’unique prestataire d’un service essentiel dans votre région.
  • Si vous collaborez avec des hôpitaux ou des laboratoires, leurs nouvelles politiques de cybersécurité vous obligeront à adopter des bonnes pratiques minimales (MFA, sauvegardes, plan de continuité).

Vous gérez un hôpital ou une clinique ?

Votre établissement est classé comme essentiel, ce qui entraîne les obligations suivantes :

  • Mise en place d’un plan de gestion des risques et de politiques de cybersécurité internes.
  • Utilisation obligatoire de l’authentification multifactorielle (MFA) et du chiffrement.
  • Tests de pénétration réguliers.
  • Contrôle des risques dans l’ensemble de la chaîne de sous-traitance numérique.
  • Nomination d’un responsable de la cybersécurité (CISO) et formation continue de celui-ci.
  • Responsabilité directe du conseil d’administration en matière de cybersécurité.
  • Obligation de notifier les incidents dans des délais stricts (24h pour un premier signalement, 72h pour un rapport complet).
  • Contrôles et audits éventuels par les autorités, avec sanctions pouvant aller jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial.

Vous êtes fournisseur de logiciels ou technologies médicales ?

Votre situation dépend de la nature de vos services et de la taille de votre entreprise :

  1. Fournisseurs de logiciels classés “dispositifs médicaux” (MDR, classe II ou III) :→ Classés comme essentiels, avec les mêmes obligations que les hôpitaux.
  2. Fournisseurs de services informatiques au secteur santé (SaaS, ERP, DMP, services managés) :→ Classés comme importants s’ils dépassent 50 salariés et 10 M€ de chiffre d’affaires ou s’ils sont jugés critiques.→ Mêmes obligations techniques (plan de risques, MFA, tests, sous-traitants), mais contrôles moins fréquents et sanctions moindres (jusqu’à 7 M€ ou 1,4 % du CA).
  3. Startups et TPE :→ En principe hors champ, sauf désignation spécifique.→ Attention : leurs clients (hôpitaux, assureurs, laboratoires) peuvent exiger le respect de certains standards contractuellement.

Quelles sont les aides disponibles ?

Des modèles de politiques de sécurité et des guides pratiques seront publiés au moment de l’entrée en vigueur de la loi.

Par ailleurs, le Ministère de l’Économie propose un programme d’aides aux entreprises dans le cadre du SME Package Cybersecurity, en collaboration avec The House of Entrepreneurship, Luxembourg House of Cybersecurity et la Chambre des Métiers

Toutes les informations sont disponibles ici

Note de transparence : le français n’est pas ma langue maternelle. J’utilise des outils d’intelligence artificielle pour m’aider à traduire et à corriger l’orthographe et la grammaire des articles publiés ici. Merci de votre compréhension.
Ce billet est une réflexion personnelle, subjective et non forcément rigoureuse. Il ne prétend ni à l’exhaustivité ni à l’expertise médicale.

Retour sur la première conférence GRC au Luxembourg – 2025 GRC Summit

June 6, 2025

Fit4eHealth : l’auto-diagnostic luxembourgeois qui prépare les professionnels de santé aux exigences de cybersécurité européennes

June 13, 2025