https://global.agfahealthcare.com/france/systemes-informations/hexalis/
https://www.ctm-telemedecine.fr/

Systèmes d'information

Sécurité des systèmes d'information en santé: publication de la directive européenne "NIS"

0 100

BRUXELLES, 23 août 2016 (TICsanté) - La directive européenne "Network and Information Security" (NIS) publiée au Journal officiel européen cet été s'appliquera après sa transposition dans le droit national aux établissements de santé définis comme des "opérateurs de services essentiels".

Les Etats membres de l'Union européenne (UE) ont jusqu'au 9 mai 2018 afin de transposer cette directive.

En France, cette transposition sera assurée par l'Agence nationale de la sécurité des systèmes d'information (Anssi), "en lien avec l'ensemble des acteurs concernés", a précisé l'agence sur son site internet.

Le texte publié au Journal officiel européen est structuré autour de quatre axes stratégiques détaillés par l'Anssi:

  • "le renforcement des capacités nationales de cybersécurité"
  • "l'établissement d'un cadre de coopération volontaire entre Etats membres de l'UE" concernant les politiques de cybersécurité et le partage d'information techniques
  • "le renforcement de la cybersécurité des opérateurs de services essentiels"
  • et "l'instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques".

Parmi les secteurs comprenant des opérateurs de services essentiels définis en annexe de la directive figure le secteur de la santé, public et privé, et plus précisément "toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire".

Les opérateurs concernés doivent répondre à trois critères. Ils fournissent "un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques". Ce service est "tributaire des réseaux et des systèmes d'information" et "un incident aurait un effet disruptif important sur la fourniture dudit service".

Les Etats membres sont chargés de fixer la liste exhaustive de ces opérateurs sur leur territoire "au plus tard le 9 novembre 2018", précise le texte. Cette liste sera ensuite réexaminée et mise à jour "tous les deux ans".

L'article 14 de la directive prévoit que les Etats membres veillent à ce que les établissements de santé identifiés comme opérateurs de services essentiels "notifient à l'autorité compétente ou au CSIRT [Computer Security Incident Response Team, en français "équipes nationales de réponses aux incidents informatiques", NDLR], sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu'ils fournissent".

En France, la fonction de CSIRT est assumée par le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), rappelle-t-on.

POUVOIRS DE CONTRÔLE RENFORCÉS

Les critères permettant de définir l'ampleur de l'impact d'un incident informatique sont "le nombre d'utilisateurs touchés par la perturbation du service", "la durée de l'incident" et sa "portée géographique".

L'article 15 impose aux Etats de veiller à ce que les autorités compétentes (en France l'Anssi) "disposent des pouvoirs et des moyens nécessaires pour évaluer le respect par les opérateurs de services essentiels des obligations qui leur incombent".

Elles devront notamment pouvoir demander à ces opérateurs qu'ils fournissent "les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information" et "des éléments prouvant la mise en oeuvre effective des politiques de sécurité". La directive cite ici l'exemple des audits de sécurité.

Si la cybersécurité des opérateurs ne semble pas satisfaisante aux autorités nationales, ces dernières pourront leur "donner des instructions contraignantes" afin de "remédier aux défaillances identifiées".

LES PRESTATAIRES DE SERVICES NUMÉRIQUES CONCERNÉS

Le chapitre 5 de la directive décline les mêmes dispositifs de contrôle et de remontées des incidents décrits précédemment pour le secteur des fournisseurs de trois types de services numériques: les places de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage ("cloud").

Ces prestataires d'opérateurs de services essentiels sont chargés de "prendre les mesures techniques et organisationnelles nécessaires et proportionnées" afin de garantir la sécurité de leur système d'information et de leurs installations, la gestion des incidents et de la continuité des activités, le suivi, l'audit et le contrôle de leurs réseaux et systèmes et le respect des normes internationales.

A noter que ce chapitre ne s'applique pas aux micro-entreprises (moins de 10 salariés et un chiffre d'affaires inférieur à 2 millions d'euros) et petites entreprises (moins de 50 salariés et chiffre d'affaires inférieur à 10 millions d'euros).

L'article 21 de la directive engage les Etats à prévoir des sanctions "effectives, proportionnées et dissuasives" afin de veiller au respect du texte. Ces mesures doivent être transmises à la Commission européenne "au plus tard le 9 mai 2018".

La Commission présentera le 9 mai 2019 au plus tard au Parlement et au Conseil européen "un rapport évaluant la cohérence de l'approche adoptée pour les Etats membres pour identifier les opérateurs de services essentiels", précise la directive.

Directive 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, publiée au Journal officiel européen le 19 juillet 2016

rm/ab/

La Rédaction
redaction@ticsante.com

https://bit.ly/2Vj0l5M

En bref

L'association Interop'santé renouvelle son bureau

L'association Interop'santé, qui oeuvre pour la standardisation des échanges informatiques dans le domaine de la santé, a renouvelé son bureau et lancé la création de cinq nouvelles commissions à l'occasion de la réunion de son conseil d'administration fin septembre.

0 212

En bref

Maincare Solutions déploie le module SerialCop pour la sérialisation du médicament

L'éditeur Maincare Solutions a annoncé le 4 octobre le "déploiement prochain" de SerialCop, un module complémentaire au logiciel de gestion des pharmacies et plateformes logistiques hospitalières Copilote*, afin de répondre à la nouvelle réglementation sur la sérialisation du médicament.

0 221
https://digital-solutions2.konicaminolta.fr/FR-20190521-TDS-0-MLT-EVT-HVF-0-01-Page-de-contact-HIT.html?utm_medium=email&utm_campaign=FR-20190521-TDS-0-MLT-EVT-HVF-0-salon-HIT-2019&utm_source=Event&utm_term=&utm_content=contact

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
7 + 7 =
http://www.canyon.fr/
https://www.groupepsih.com/
https://mipih.fr/
https://www.nuance.com/fr-fr/healthcare/events/parishealthcareweek2019.html?cid=7010W000002O459QAC&cn=EHM-IP-20190320-PHW19&ls=Inbound%20Inquiry&rs=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019

  • 59es Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019

  • Cercle Anap "Le numérique en santé"

    Le 13/06/2019

  • 10es Rencontres ac@DM

    Du 13/06/2019 au 14/06/2019

  • Université d'été de la e-santé 2019

    Du 02/07/2019 au 04/07/2019

  • Université des déserts médicaux et numériques

    Du 20/09/2019 au 21/09/2019