https://vieviewer.com/

Systèmes d'information

Sécurité des systèmes d'information en santé: publication de la directive européenne "NIS"

0 152

BRUXELLES, 23 août 2016 (TICsanté) - La directive européenne "Network and Information Security" (NIS) publiée au Journal officiel européen cet été s'appliquera après sa transposition dans le droit national aux établissements de santé définis comme des "opérateurs de services essentiels".

Les Etats membres de l'Union européenne (UE) ont jusqu'au 9 mai 2018 afin de transposer cette directive.

En France, cette transposition sera assurée par l'Agence nationale de la sécurité des systèmes d'information (Anssi), "en lien avec l'ensemble des acteurs concernés", a précisé l'agence sur son site internet.

Le texte publié au Journal officiel européen est structuré autour de quatre axes stratégiques détaillés par l'Anssi:

  • "le renforcement des capacités nationales de cybersécurité"
  • "l'établissement d'un cadre de coopération volontaire entre Etats membres de l'UE" concernant les politiques de cybersécurité et le partage d'information techniques
  • "le renforcement de la cybersécurité des opérateurs de services essentiels"
  • et "l'instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques".

Parmi les secteurs comprenant des opérateurs de services essentiels définis en annexe de la directive figure le secteur de la santé, public et privé, et plus précisément "toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire".

Les opérateurs concernés doivent répondre à trois critères. Ils fournissent "un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques". Ce service est "tributaire des réseaux et des systèmes d'information" et "un incident aurait un effet disruptif important sur la fourniture dudit service".

Les Etats membres sont chargés de fixer la liste exhaustive de ces opérateurs sur leur territoire "au plus tard le 9 novembre 2018", précise le texte. Cette liste sera ensuite réexaminée et mise à jour "tous les deux ans".

L'article 14 de la directive prévoit que les Etats membres veillent à ce que les établissements de santé identifiés comme opérateurs de services essentiels "notifient à l'autorité compétente ou au CSIRT [Computer Security Incident Response Team, en français "équipes nationales de réponses aux incidents informatiques", NDLR], sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu'ils fournissent".

En France, la fonction de CSIRT est assumée par le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), rappelle-t-on.

POUVOIRS DE CONTRÔLE RENFORCÉS

Les critères permettant de définir l'ampleur de l'impact d'un incident informatique sont "le nombre d'utilisateurs touchés par la perturbation du service", "la durée de l'incident" et sa "portée géographique".

L'article 15 impose aux Etats de veiller à ce que les autorités compétentes (en France l'Anssi) "disposent des pouvoirs et des moyens nécessaires pour évaluer le respect par les opérateurs de services essentiels des obligations qui leur incombent".

Elles devront notamment pouvoir demander à ces opérateurs qu'ils fournissent "les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information" et "des éléments prouvant la mise en oeuvre effective des politiques de sécurité". La directive cite ici l'exemple des audits de sécurité.

Si la cybersécurité des opérateurs ne semble pas satisfaisante aux autorités nationales, ces dernières pourront leur "donner des instructions contraignantes" afin de "remédier aux défaillances identifiées".

LES PRESTATAIRES DE SERVICES NUMÉRIQUES CONCERNÉS

Le chapitre 5 de la directive décline les mêmes dispositifs de contrôle et de remontées des incidents décrits précédemment pour le secteur des fournisseurs de trois types de services numériques: les places de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage ("cloud").

Ces prestataires d'opérateurs de services essentiels sont chargés de "prendre les mesures techniques et organisationnelles nécessaires et proportionnées" afin de garantir la sécurité de leur système d'information et de leurs installations, la gestion des incidents et de la continuité des activités, le suivi, l'audit et le contrôle de leurs réseaux et systèmes et le respect des normes internationales.

A noter que ce chapitre ne s'applique pas aux micro-entreprises (moins de 10 salariés et un chiffre d'affaires inférieur à 2 millions d'euros) et petites entreprises (moins de 50 salariés et chiffre d'affaires inférieur à 10 millions d'euros).

L'article 21 de la directive engage les Etats à prévoir des sanctions "effectives, proportionnées et dissuasives" afin de veiller au respect du texte. Ces mesures doivent être transmises à la Commission européenne "au plus tard le 9 mai 2018".

La Commission présentera le 9 mai 2019 au plus tard au Parlement et au Conseil européen "un rapport évaluant la cohérence de l'approche adoptée pour les Etats membres pour identifier les opérateurs de services essentiels", précise la directive.

Directive 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, publiée au Journal officiel européen le 19 juillet 2016

rm/ab/

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Cybersécurité: 18 incidents liés à des rançongiciels dans la santé traités par l'Anssi en 2019

PARIS (TICsanté) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) a traité 18 incidents liés à des rançongiciels dans la santé en 2019, ce qui en fait le secteur le plus touché devant les collectivités territoriales (14 incidents), les services (7) et l'éducation (6), selon un rapport du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) publié le 29 janvier.

0 145

E-santé

"Comme l'hygiène sanitaire, l'hygiène numérique doit rentrer dans les mœurs des professionnels de santé" (Anssi)

PARIS (TICsanté) - "Comme l'hygiène sanitaire, l'hygiène numérique doit rentrer dans les mœurs des professionnels de santé", a souligné Bernard Cassou-Mounat, coordonnateur santé à l'Agence nationale de la sécurité des systèmes d'information (Anssi) à l'occasion d'un "Data Coffee" organisé le 18 septembre par la start-up Dr.Data sur la protection des données de santé.

0 397

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 5 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019

Les offres APMjob.com

https://www.santexpo.com/infos-pratiques/obtenez-badge-visiteur/?utm_campaign=SE&utm_source=SW&utm_medium=BAN&utm_term=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2020

    Du 20/03/2020 au 22/03/2020

  • 8e congrès de l'Apssis

    Du 31/03/2020 au 02/04/2020

  • 3e colloque sur l'imagerie à l'heure de l'IA

    Le 22/04/2020

  • 6e Journées des start-up innovantes du dispositif médical

    Le 12/05/2020

  • SIDO 2020

    Du 12/05/2020 au 13/05/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 26/05/2020 au 28/05/2020

  • 12e colloque données de santé en vie réelle

    Le 16/06/2020

  • HealthTech Innovation Days

    Du 22/06/2020 au 23/06/2020