Le nombre de cyberattaques graves visant des organisations européennes ne cesse d’augmenter. Le secteur de la santé est particulièrement exposé : selon l’ENISA, plus de la moitié des attaques contre hôpitaux et cliniques impliquent des ransomwares. Dans ce contexte, l’UE a introduit NIS2 – un cadre réglementaire qui impose, pour la première fois, aux organisations plus petites d’ancrer la cybersécurité de manière systématique.
NIS2 en bref : qui est concerné – et pourquoi
Avec la directive NIS2 de l’UE, les obligations de cybersécurité s’étendent à 18 secteurs, dont la santé, l’eau/assainissement, les transports, l’énergie, l’administration publique et les services numériques. Les entreprises de taille moyenne ainsi que les prestataires privés de santé peuvent être classés comme entités « essentielles » ou « importantes ». Les entreprises suisses ayant un lien avec l’UE (établissement, chaîne d’approvisionnement, services) sont également concernées de facto.
Exigences clés : article 21 (gestion des risques) & article 23 (notification des incidents)
L’article 21 impose notamment des analyses régulières des risques, des plans de continuité et de reprise d’activité (BCP/DRP), la sécurité de la chaîne d’approvisionnement, des dispositifs de sauvegarde et de chiffrement, ainsi que la formation – en engageant explicitement la responsabilité de la direction. L’article 23 prévoit une notification progressive des incidents significatifs : alerte précoce sous 24 heures, rapport détaillé sous 72 heures, puis rapport final en général dans le mois. L’ENISA publie des guides et FAQ officiels.
ECSF comme passerelle : des rôles pour mettre NIS2 en pratique
Le European Cybersecurity Skills Framework (ECSF) définit douze rôles (p. ex. Cyber Incident Responder, Cybersecurity Architect, Cyber Risk Manager, Cyber Legal/Compliance). Le guide de l’ENISA « Mapping NIS2 Obligations with ECSF Role Profiles » (2025) associe chaque obligation NIS2 à des rôles concrets – clarifiant qui fait quoi (politiques, BCP/DRP, audits fournisseurs, notification d’incidents).
Cas européen : MOVEit et la chaîne d’approvisionnement
La vulnérabilité MOVEit (2023) a entraîné des centaines de violations de données dans le monde – un cas d’école pour les exigences NIS2 en matière de contrôles des tiers et de la supply chain logicielle. Pour les acteurs de santé, cela implique une diligence accrue sur les logiciels de laboratoire et de cabinet, des contrats robustes (clauses de sécurité, droits d’audit) et des voies d’escalade claires en cas d’incident.
Contexte suisse : notification nationale & secteur de la santé
Depuis le 1er avril 2025, la Suisse impose une obligation légale de notification des incidents pour les infrastructures critiques auprès de l’Office fédéral de la cybersécurité (BACS). Le secteur de la santé a été touché à plusieurs reprises ces dernières années (p. ex. attaques contre des hôpitaux, pannes IT). Concrètement, les hôpitaux ont besoin de modèles de notification prêts à l’emploi, de listes de contacts à jour et d’une équipe d’intervention formée, capable d’agir en quelques heures – en cohérence avec NIS2.
Conclusion
NIS2 et l’ECSF fournissent un schéma opérationnel permettant aux hôpitaux et aux PME de traduire les exigences en rôles, processus et contrôles. Celles qui dès maintenant clarifient les responsabilités, auditent leur chaîne d’approvisionnement et testent leurs circuits de notification renforcent sécurité, conformité – et fiabilité des soins.
CISO as a Service – Votre prochain pas
NIS2 exige des organisations qu’elles établissent des responsabilités claires et des processus de sécurité robustes. Un poste de CISO permanent n’est pas toujours prévu – la responsabilité demeure néanmoins. Avec notre offre CISO as a Service, vous accédez à des experts chevronnés qui vous accompagnent avec souplesse : stratégie cybersécurité, gouvernance, gestion des risques et soutien en situation de crise.
Vous bénéficiez ainsi de la même expertise qu’avec un CISO interne – dans un modèle qui s’adapte à votre organisation et à votre budget. Contactez-nous pour un échange sans engagement et découvrez comment respecter vos obligations NIS2 de façon pragmatique et efficace.
À retenir – Commencer par l’essentiel
Traitez d’abord l’article 21 (risques, BCP/DRP, supply chain, formation) et l’article 23 (chaîne de notification). Utilisez le cadre ECSF pour attribuer clairement les responsabilités – en interne ou avec des partenaires.
