https://vieviewer.com/
https://digital-solutions2.konicaminolta.fr/FR-20201126-WBR-0-SAN-WBR-HVF-0-digital-sante_LP-01-Page-dinscription.html?utm_campaign=FR-20201126-WBR-0-SAN-WBR-HVF-0-digital-sante&utm_source=TicSante&utm_content=webinar&utm_medium=display

Systèmes d'information

Sécurité des systèmes d'information en santé: publication de la directive européenne "NIS"

0 351

BRUXELLES, 23 août 2016 (TICsanté) - La directive européenne "Network and Information Security" (NIS) publiée au Journal officiel européen cet été s'appliquera après sa transposition dans le droit national aux établissements de santé définis comme des "opérateurs de services essentiels".

Les Etats membres de l'Union européenne (UE) ont jusqu'au 9 mai 2018 afin de transposer cette directive.

En France, cette transposition sera assurée par l'Agence nationale de la sécurité des systèmes d'information (Anssi), "en lien avec l'ensemble des acteurs concernés", a précisé l'agence sur son site internet.

Le texte publié au Journal officiel européen est structuré autour de quatre axes stratégiques détaillés par l'Anssi:

  • "le renforcement des capacitĂ©s nationales de cybersĂ©curitĂ©"
  • "l'Ă©tablissement d'un cadre de coopĂ©ration volontaire entre Etats membres de l'UE" concernant les politiques de cybersĂ©curitĂ© et le partage d'information techniques
  • "le renforcement de la cybersĂ©curitĂ© des opĂ©rateurs de services essentiels"
  • et "l'instauration de règles europĂ©ennes communes en matière de cybersĂ©curitĂ© des prestataires de services numĂ©riques".

Parmi les secteurs comprenant des opérateurs de services essentiels définis en annexe de la directive figure le secteur de la santé, public et privé, et plus précisément "toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire".

Les opérateurs concernés doivent répondre à trois critères. Ils fournissent "un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques". Ce service est "tributaire des réseaux et des systèmes d'information" et "un incident aurait un effet disruptif important sur la fourniture dudit service".

Les Etats membres sont chargés de fixer la liste exhaustive de ces opérateurs sur leur territoire "au plus tard le 9 novembre 2018", précise le texte. Cette liste sera ensuite réexaminée et mise à jour "tous les deux ans".

L'article 14 de la directive prévoit que les Etats membres veillent à ce que les établissements de santé identifiés comme opérateurs de services essentiels "notifient à l'autorité compétente ou au CSIRT [Computer Security Incident Response Team, en français "équipes nationales de réponses aux incidents informatiques", NDLR], sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu'ils fournissent".

En France, la fonction de CSIRT est assumée par le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), rappelle-t-on.

POUVOIRS DE CONTRÔLE RENFORCÉS

Les critères permettant de définir l'ampleur de l'impact d'un incident informatique sont "le nombre d'utilisateurs touchés par la perturbation du service", "la durée de l'incident" et sa "portée géographique".

L'article 15 impose aux Etats de veiller à ce que les autorités compétentes (en France l'Anssi) "disposent des pouvoirs et des moyens nécessaires pour évaluer le respect par les opérateurs de services essentiels des obligations qui leur incombent".

Elles devront notamment pouvoir demander à ces opérateurs qu'ils fournissent "les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information" et "des éléments prouvant la mise en oeuvre effective des politiques de sécurité". La directive cite ici l'exemple des audits de sécurité.

Si la cybersécurité des opérateurs ne semble pas satisfaisante aux autorités nationales, ces dernières pourront leur "donner des instructions contraignantes" afin de "remédier aux défaillances identifiées".

LES PRESTATAIRES DE SERVICES NUMÉRIQUES CONCERNÉS

Le chapitre 5 de la directive décline les mêmes dispositifs de contrôle et de remontées des incidents décrits précédemment pour le secteur des fournisseurs de trois types de services numériques: les places de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage ("cloud").

Ces prestataires d'opérateurs de services essentiels sont chargés de "prendre les mesures techniques et organisationnelles nécessaires et proportionnées" afin de garantir la sécurité de leur système d'information et de leurs installations, la gestion des incidents et de la continuité des activités, le suivi, l'audit et le contrôle de leurs réseaux et systèmes et le respect des normes internationales.

A noter que ce chapitre ne s'applique pas aux micro-entreprises (moins de 10 salariés et un chiffre d'affaires inférieur à 2 millions d'euros) et petites entreprises (moins de 50 salariés et chiffre d'affaires inférieur à 10 millions d'euros).

L'article 21 de la directive engage les Etats à prévoir des sanctions "effectives, proportionnées et dissuasives" afin de veiller au respect du texte. Ces mesures doivent être transmises à la Commission européenne "au plus tard le 9 mai 2018".

La Commission présentera le 9 mai 2019 au plus tard au Parlement et au Conseil européen "un rapport évaluant la cohérence de l'approche adoptée pour les Etats membres pour identifier les opérateurs de services essentiels", précise la directive.

Directive 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, publiée au Journal officiel européen le 19 juillet 2016

rm/ab/

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Politique

Covid-19: le CCNE souligne de nombreux "points d'alerte" sur le numérique

PARIS (TICsanté) - Le comité national pilote d'éthique du numérique du Comité consultatif national d'éthique (CCNE) a publié le 7 avril un bulletin de veille dans lequel il recense de nombreux "points d'alerte sur les enjeux d'éthique du numérique en situation de crise sanitaire aiguë".

0 1340

Systèmes d'information

L'ANS alerte sur des cyberattaques liées au coronavirus

PARIS (TICsanté) - La cellule d'accompagnement cybersécurité des structures de santé (ACSS) de l'Agence du numérique en santé (ANS, ex-Asip santé) a publié le 16 mars une alerte signalant que "le coronavirus est utilisé pour réaliser des cyberattaques".

0 1276

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 1 =
http://www.canyon.fr/
https://openbi.org/
https://mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • SantExpo Live (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021